ISO 27001：2022 認證不求人！四大重點無痛Get

 
一、課前準備

1、上課前基礎知識，要扎實的念完，條文及專有名詞一定要熟悉，在進行課程時比較能提早進入狀況

2、課前也最好把標準原文和控制措施讀過一次，讓自己對於這些有個初步印象。(因為考試時，要能快速翻到自己想去引用的標準)--摘自

二、上課中的建議

1.        教育業/麗珍：課中可勇於發問。只有透過不斷的提問和實作，才能真正掌握稽核的精髓--摘自

2.        公部門職員/美霞：可以選擇假日進修，中間有時間可以課後複習

3.        資訊業/佳慧：課堂出的回家作業，作業一定要做，除了幫助複習外加深印象，而且對考試是有幫助的--摘自

4.        公部門政風人員：團隊演練一定要認真投入，講師不只會從投入的情形打分數，也可以從演練中知道自己的盲點在哪裡！

 

如何通過ISO 27001主導稽核員考試？網上少見的海量分享文你一定不能錯過

為因應不斷升級進化的資安威脅，今年7月行政院會通過「資通安全管理法」修正草案，其中就包含，依據特定非公務機關資通安全維護計畫實施情形稽核辦法，增訂特定非公務機關應置資通安全長及應符合資通安全責任等級之要求設置專職人員。

資安專職人力職能，依其業務職掌分為策略面、管理面及技術面3個面向之應備能力

策略面包括具資安策略規劃、業務審查、資源協調、績效管考等能力

管理面包括資安機制規劃、管理維運、風險評估、維運管理、業務稽核等能力

技術面包括網路管理、事件處理、資安檢測、軟體/系統管理、情資分析等能力

今天我們來談談資安專職人力職能的管理面。
難道只有資安稽核員才需要學稽核 ? 資訊安全管理系統主導稽核員都在做什麼？

本文，集結新版ISO 27001 : 2022上路後，我們系統式整理各行業相關經驗人士不私藏分享，以及他們在執行ISO 27001管理後發揮了什麼優勢，網路上少見的海量親身經歷分享文，這對想提升自我職場競爭力的你，一定不能錯過 !

【考試心得分享】ISO 27001 : 2022資訊安全管理系統主導稽核員訓練課程

【備考分享案例一】講師用深入淺出及多元互動的教學方式，讓我短時間內取得認證

文/ 吳儷君   現職/公部門人員

老師在第1天就先解說整份試題都是以申論的方式作答，不免令人擔心無法完整作答，還好老師在課程中除了用案例講解條文、進行小組案例討論及報告外，每天還會以考試出題重點，當成回家作業讓同學做練習，第5天也會提醒考試的注意事項，只要平時上課有認真跟上小組討論進度，並認真完成回家作業及複習，便可以輕鬆順利通過考試及格門檻並取得證照全文

【學習分享案例二】原以為15年的內部稽核經驗應可駕輕就熟，但經過五天的課程，讓我對稽核有另一層面的認識

文/賴篁穗   現職/金融業

印象最深刻的是，過去擔任內部稽核，重心一直放在寫受查單位的查核缺失，比較負面，但老師卻強調，驗證稽核的目標是要發證，所以要多寫些受查單位符合的項目，而不符合項目的重點則是在改善，改善後的終極目標還是要發證給受查單位，這樣的態度是較正面的。

老師在課程中反覆讓我們練習PDCA及Risk Base Thinking，直至每個學員都十分熟練，並一再強調這種管理模式適用於公司各種管理系統，無論是ISMS或是洗錢防制系統等，均可運用，在公司管理面的應用非常廣，讓我覺得學好這項課程後，在未來的工作上將受益無窮。全文

【備考分享案例三】說真的這類證照不好考，但因為老師有足夠的複習及重點整理，所以在準備考試時不會讓同學們很沒有把握

文/陸彥汝     現職/資訊業/業務助理

第一天上課老師並不是立馬開始上講義中的內容，而是關鍵的內容ISO 27001的核心精神，還有公司取證的機構及稽核機構整個循環方式，可以由此可知老師是位非常重實務的人，實務經驗的累積，而證照是入門，老師也會額外給自己整理的講義，所以資源真的非常多。

考試的部分，由於沒上過這類課程，所以做模擬試題覺得非常吃力，但是老師很不錯的是會幫同學做複習及重點整理，不會讓同學們很沒有把握，重點整理時也會說那些大概，雖然還是得天天熬夜讀法條但至少有了方向，就算複習中有不會的問題也是可以隨時提問老師也是隨時講解，說真的這類證照不好考可是老師給予同學們很大的幫助，就算下課間提問老師也是樂於回答問題。全文

【學習分享案例四】這門課是非常有深度的，並不是單純資安管理，而是包含了稽核能力稽核

文/張簡宏祥     現職/機房維運

第一天跟第二天老師先把條文和附錄上完並且每節課都會有小作業，第三天跟第四天開始跟同組的同學實在開始準備稽核的文書、工作以及學習如何實際去稽核。

第五天上午複習下午接著考試，我覺得這門課其實很特別，一般課程通常都是以講義內容教學，但這門課特別在會讓你實際去操作，老師也會講解每組稽核的問題在哪讓你知道以後真有去稽核時你能怎麼樣的去實際操作，每節課都會有作業而且都要交這些都是你上課發證的證明之一，並不是去上課聽一聽就走。

每天的課程都會很充實，上課認真聽講寫作業，回家要寫功課而且還要預習明天的內容。這是我第一次認真覺得24小時真的不夠用，最後一天下午接著考試說，認真說真的非常的不好考，必須要很努力的弄清楚條文如何實際搭配在你的應用上，才能比較有系統的將考券寫好，時間絕對是不夠用，所以不能花太多時間在思考上。

【統整最多實際案例】個人取得ISO 27001證照的好處?!

培養資安管理思維已不只是企業的事

過去，企業組織可以參考ISO 27001資安管理系列標準作為優化基礎，可以讓企業在重大事故發生前，經由事先預防，把損失降到最低。除了企業通過ISO 27001認證之外，近年來也有越來越多公司會鼓勵員工考取ISO 27001主導稽核員的證照，資安工程師或MIS取得證照的好處 :

確保組織的資安管理系統的有效性

了解資訊安全管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。

提升自我職場競爭力

除了提供公司助益，在個人職業發展上有所幫助，畢竟資安人才的稀缺，取得認證，提升自我競爭力。以下我們整理各行業人士，在接受了ISO 27001資安管理主導稽核員培訓後在職場上發揮什麼優勢

【資安大趨勢】光只做好資安不夠 ? 企業應由ISO 27701指引做好個資數位證據保存

ISO / IEC 27701：2019是世界上第一個用於個人身份信息（PII）的隱私權管理的標準，此版本中不僅整合了 資安稽核證照ISO/IEC 27001 與 ISO/IEC 27002 隱私保護要求和控制措施，更能有效地落實個人資料保護原則與控制措施，是目前相關標準中最新的版本，也與全球關注議題有相當程度的接軌，就如國內的台灣個資法、資通安全管理法與歐盟GDPR等。深入探討可參考iThome展望後疫新趨勢。

資訊安全與個資保護的延伸關係

過去因為個人資料保護法規定複雜，並且無法符合國內企業成本架構，面對太多的監管要求導致企業因應困難，新版ISO 27701 通過導入一組通用的管理與控制措施，使組織透過ISO的通用框架，可以整合多個法規要求，實現管理的一致性與有效性。

5G時代來臨 帶來更具威脅的資安挑戰

行政院的資通安全管理處是一個國家級的資安專責單位，英文名稱「Department of Cyber Security」，儘管有了資源和新法案之後，但是行政院發現，就是推動資安業務的人力不足。

資安法將八大關鍵基礎設施提供者納入規範，包括：能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等，包括今年電信業者完成競標的5G，也會是資安法列管對象，公務與非公務機關，都負有資安通報和資訊分享的義務及需接受資通安全行政檢查。

資安法新三大議題已在在各產業全面啓動

金融業的保險、銀行與證期業者就要遵循法規照辦，，只要是資本額100億元以上的公司，或是上年底為臺灣50指數成分的公司，或是電子商務與人力銀行業為主的公司，必須要設置資安長以及專責單位。至於其他上市櫃公司，則要求在2023年底前，必須設置資安專責主管及至少1名資安專責人員，而且，即便是每股淨值低於10元、近三年稅前純益連續虧損的公司，政府也採鼓勵態度，建議至少設置1名資安專責人員。(資料來源iThome)

而資安危機的背後也是龐大的商機，在金管會拍板定案下推動Open banking計畫的前提下，銀行資安標準因自我要求導入ISO 27001和ISO 27701，這也是未來一定要做的事情。

資訊安全及個資管理不可偏廢

GDPR的特性，就是在談個資保護時，裡面有安全方面的處理要求，ISO 27701剛好又是兼顧兩者，而不是個資保護及安全處理分開，經由這樣的管理制度運行，相關的證據就比較容易保存出來，如果再配合第三方的稽核機制，它的可信度又更具公信力。

ISO 27701相當強調數位證據，如紀錄、軌跡資料的保存，又比如說誰可以存取、誰不行存取，以及保存的時間與方式。企業在運作ISO 27701管理制度時，須定義紀錄保存期限到底要多長，如果有適法性的因素存在，就應按照適法性的要求處理。

近期有些洩漏個資的案例在法院上攻防時，如果沒有建立「個人資料檔案安全維護計畫」就導致敗訴；就算有作資訊安全防護如防火牆，但是沒有建立管理制度也還是敗訴；還有一個案例是某企業委託資安公司做弱點掃描，也有導入PCI-DSS（支付卡產業資料安全標準），但最後法院是以「缺乏個資保護的有效性」而被判敗訴。也就是雖然你做了資安，但是洩漏的是個資，而且不是只有一次，因此法官認定為無效，最終還是敗訴。

目前在公部門、電信業、金融業最熱門的隱私稽核員認證

ISO / IEC 27701：2019目前是世界上最權威的隱私保護標準之一，臺灣金融業因為開放銀行的趨勢，金管會要求所有參加開放銀行（Open banking）和開放API（Open API）的生態鏈業者，都必須落實「Open API業務安全控管作業規範」在這個前提之下，已經成為金融業在今年必須遵從的個資安全標準。

透過實際角色演練，了解資訊安全管理與個人資料隱私保護管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。

由金融從業人員現身分享課程培訓心得：「個資保護議題逐年受到重視，企業在處理個人敏感性資料若稍有不慎，可能造成客怨，甚至是法律問題，這已經是我第3次來恆逸培訓國際標準法了，在這裡除了學到管理系統知識，對於工作上的想法也有很大的幫助...詳細證言內容」

✅業界熱門課程推薦

🔰以下課程為恆逸「數位發展部資通安全署」認可之資通安全專業證照

📌ISO 27701個人資料隱私管理系統稽核員/主導稽核員培訓課程

📌ISO 27001資訊安全管理系統主導稽核員訓練課程
📌ISO 22301:2019 主導稽核員 (BCMS, 營運持續管理系統) 培訓課程

✅最新熱門課程推薦

📌雲服務資訊安全管理 (ISO/IEC 27017)與

雲服務個人資料保護管理 (ISO/IEC 27018)主導稽核員訓練課程

以上內容文獻參考

1、行政院資安處-國家資通安全發展方案

2、「NACS台灣文官學會」T&D 飛訊第262期刊

3、「國土及公共安全治理」108年12月季刊-整合資安與個資管理系統的國際標準-ISO/IEC 27701 簡介與應用
4、iThome
5、CIO IT經理人

6、國立台灣大學計算機及資訊網路中心 第0050期刊

企業管理者推行IT治理需要哪三大利器？

作　　者：許明治 精誠資訊恆逸教育訓練中心顧問
技術分類：管理訓練

IT治理的三大利器為COBIT、ITIL、ISO 27001。IT治理(IT Governance)是公司治理在資訊時代的重要發展，是一種引導和控制企業各種關係和流程的架構，旨在保持資訊科技與業務目標一致，推展業務發展，促使收益最大化，合理利用資訊科技資源，適當管理與資訊科技相關的風險，增加價值，以實現企業目標。IT治理的目標為協助管理階層建立以組織策略為導向，以外界環境為依據，以業務與資訊科技整合為中心的理念，正確定位資訊科技部門在整個組織中的作用。

全世界各國組織和專家都投入了很大的精力來研究IT治理架構，並提出了很多行之有效的實務(Practice)。其中較為成熟的實務有美國IT治理協會(IT Governance Institute, ITGI)的COBIT (Control Objectives for Information and related Technology)、英國政府的ITIL服務管理實務(ITIL Service Management Practice)、國際資訊安全管理標準ISO/IEC 27001。

COBIT著重點於IT的控制與衡量
成立於1969年的美國資訊系統稽核與控制協會(ISACA)，於1996年推出了用於IT稽核的知識體系COBIT。IT稽核已經成為眾多國家的政府部門、企業對IT的計劃與組織、採購與實施、服務提供與服務支持、監督與控制等進行全面考核與認可的規範。COBIT包含34個資訊科技控制流程，並歸納為四個控制域：IT規劃和組織(Planning and Organization)、系統獲得和實施(Acquisition and Implementation)、交付與支援(Delivery and Support)以及資訊系統運行性能監控(Monitoring)。

COBIT基於已有的許多架構，如SEI (Software Engineering Institute)的能力成熟度模型，以及IS0 9000等標準，著重於企業需要什麼，而不是企業需要如何做。COBIT不包括具體的實施指南和實施步驟，它是一個控制架構(Control Framework)，而非具體過程架構(Process Framework)。COBIT從策略(Strategy)、戰術(Tactic)、維運(Operation)層面提出對IT的評測、量度和稽核方法。

ITIL著重於IT服務生命週期管理
ITIL為一套被廣泛用於有效實施IT服務管理的實踐準則。1980年以來，英國政府商務辦公室(OGC)為解決IT服務品質不佳的問題，逐步提出一整套對IT服務品質進行管理的完善方法體系。ITIL的根本目的就是為企業提供質量可靠的服務，為達到此一目標，ITIL著重於IT服務生命週期管理，歸納為五個階段：服務策略(Service Strategy)、服務設計(Service Design)、服務移轉(Service Transition)、服務維運(Service Operation)及持續服務改善(Continual Service Improvement)，致力於對服務客戶的IT人員提供支援，並讓他們肩負起服務交付的責任，這些人員的職責包括為客戶提供業務諮詢，指導客戶進行具體操作，收集客戶意見，提供緊急服務以及監控服務水準等等。另一方面，ITIL促使企業從整體的角度來設計服務，企業必須考慮到涉及服務交付的各個面向，包括功能技術性元素，交付和維護服務所需的人員，確保這些服務正常運轉的必需流程等等。對當前環境可能存在的風險和面臨的影響也應納入計畫中進行評估。

ISO/IEC 27001著重於IT安全控制
ISO/IEC 27001由國際標準化組織和國際電子技術委員會(International Organization for Standardization and the International Electrotechnical Commission)發佈，是資訊安全管理的框架。該標準首先發佈於2000年，並於2005年6月進行了更新。它在12個領域內明確提出了最佳的安全實踐，引導組織、企業建立一個完整的資訊安全管理體系，對資訊安全以分析組織及企業面臨的安全風險為起點，對企業的資訊安全風險進行動態的、全面的、有效的、持續改善的管理，建立訊息安全管理體系(ISMS)，使組織或企業的資訊安全以最小代價達到需要的水準。它以“計畫(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式，將管理體系規範導入組織或企業內，以達到持續改善的目的。

為了實現IT治理的目標，需要做到對IT組織結構和角色、稽核、流程、技術、控制及人員等方面進行管理，COBIT、ITIL、ISO/IEC 27001在IT管理各有優勢。在組織中採用IT治理實務時，應該注意︰
1. 要專注於解決組織中最大的問題，對於任何一個組織而言，採用整套實務都是不可行的，應該從最大的問題著手。
2. 透過對實務的理解，評估一下目前組織的環境，找出最適合組織環境的實施方案。
3. 在專案實施前，先完成人員相關知識的培訓。

此外，組織在具體實施的過程中，其他組織成功實施的案例、培訓機構和第三方諮詢機構都可以提供絕佳的助益。


本文作者：
恆逸資深講師-許明治 Meiji Hsu
專長：資訊科技服務管理、專案管理、資訊安全、資料倉儲及商業智慧
認證：PMP、ITSM認證、ISO 20000顧問認證、ISO 20000主導稽核員認證
經歷：新光組合ITSM 資深顧問、精誠資訊資訊安全事業部協理、組合國際(ca)諮詢顧問總監