【統整最多實際案例】個人取得ISO 27001證照的好處?!

培養資安管理思維已不只是企業的事

過去，企業組織可以參考ISO 27001資安管理系列標準作為優化基礎，可以讓企業在重大事故發生前，經由事先預防，把損失降到最低。除了企業通過ISO 27001認證之外，近年來也有越來越多公司會鼓勵員工考取ISO 27001主導稽核員的證照，資安工程師或MIS取得證照的好處 :

確保組織的資安管理系統的有效性

了解資訊安全管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。

提升自我職場競爭力

除了提供公司助益，在個人職業發展上有所幫助，畢竟資安人才的稀缺，取得認證，提升自我競爭力。以下我們整理各行業人士，在接受了ISO 27001資安管理主導稽核員培訓後在職場上發揮什麼優勢

【案例一】稽核不是上網找考古題就能融會貫通的，而是要能透徹了解加以運用

文/莊亦婷     現職/資訊科技業MIS

ISO 27001：2013 資訊安全管理系統主導稽核員訓練是目前很夯的IT必上課程之一，看似跟稽核員才有關係，但實際上不管是稽核員或是IT人員都很適合。稽核員訓練可以更了解資訊安全系統到底要稽核甚麼，而IT人員可以因此課程補強目前公司資安還不足的地方，也能讓增強客戶或供應商對公司的信心。

這五天課程會有甚麼收穫 ? 除了ISO27001的專業知識及條文，每個實作的驗證都讓我印象深刻，並且在回到公司上班可以馬上運用在公司資產盤點、回收報廢…等，還有對於資安權限的要求更嚴謹，甚至我會不自覺地搬出條文來跟同事分享，真的有那種現學現賣的感受！

【案例二】稽核有很大一部分工作與文件管理有關，並不是自己胡亂發想亂擬即可

文/郭思偉     現職/資策會資安所/研究經理

還沒上課前，其實對於資安稽核懵懵懂懂的，而透過老師的講解後，逐漸進入狀況，甚至了解到整個ISO的更大管理框架，依循框架其實不僅適用於資安，也用於品質、永續（環保）等各方面。 在課堂過程中，我比較深刻的是稽核現場的各種角色與任務，雖然課程為主導稽核員，但其實自己連更入門的一般稽核員、觀察員都還沒有實務經驗，但透過課堂上的模擬演練，也比較能感受到真實現場稽核時的氣氛。

另外，稽核有很大一部分工作與文件管理有關，本以為自己草根胡亂發想亂擬即可，等到老師分享真正業界（例如SGS、bsi、TUV等稽核驗證機構）在用的文件後，才豁然開朗，確實受益良多。

【案例三】可以從不同角度檢視自己的資安工作，不再只侷限於從技術角度的檢視

文/ 羅元邦    現職/網路系統工程師

早期MIS工作要求的是有效率及穩定的系統維運，再加上在撥接上網時代，主要是封閉式的內部網路，所以各種攻擊的擴散比較不容易，且以往病毒開發門檻較高，大多是為了炫耀自己技術的駭客開發，不像最近的駭客行為已經商業化運作，攻擊試探的頻率相對提高，防護方式也不像以往單純，只要防毒軟體+防火牆+SPAM就可以阻擋大部分的攻擊，這種趨勢帶來的是市面上不斷推陳出新的資安產品，但如何組合出合適的資安防護方案，已經不是單純技術面或產品面的問題，所以想要從另一種角度去看資安防護如何設計，評估後決定報名ISO 27001:2013主導稽核員課程。

【案例四】ISO 27701是目前國際間最新趨勢，由此可見個資處理的重要性不容小覷

文/ 李祐涵    現職/金融業資安管理人員

 ISO 27701是在2019頒布的標準，可視為ISO 27001資訊安全管理系統的擴充，強化資安系統中個人隱私的部分。

其實ISO管理類的課程考試並不容易，最重要的還是要將管理系統內的條款內容弄懂、弄熟，考題通常是給予一個情境，要假設自己如果是稽核員，應該要採取什麼行動，所以基本觀念一定要清楚，只要秉持著當稽核員的原則，再面對情境判斷時就比較有把握。

上這門課除了學到管理系統知識，對於工作上的想法也會有很大的幫助，畢竟ISO 27701算是蠻新的標準，但個資保護議題逐年受到重視，企業在處理個人敏感性資料若稍有不慎，可能造成客怨，甚至是法律問題，不容小覷！

📕想看更多精采案例分享>>>>>請點我