耶~大家中秋節快樂!!!!!
中秋連假假期沒有烤肉,所以會持續更新的!
好啦再回來講到稽核的相關課程 XD
如果沒有完整上完培訓的課程,那麼稽核流程、作業及相關的知識可能都不熟,那麼怎麼執行稽核呢?
所以想要成為稽核員的第一件事,就是先上完 ISO 27001:2013 的課啦~
但如果已經有證照或是經驗的話,有些驗證單位還是會安排相關受訓課程。
所以,不管是公司內部稽核員、主管機關稽核員或是第三方稽核員,第一步還是需要從相關標準的培訓課程開始~
坊間有很多授課單位,我會建議參加由經國際驗證較知名的第三方驗證單位的課程,像說:BSI、SGS、TUV、艾法諾、貝爾…等等,或是符合國際標準的驗證單位來授課,在說明稽核活動、適用標準比較不會有認知偏差。
常見的例子像說在授課的翻譯版本在密碼(X) 跟 加密(O)上解讀會有混淆,但其實原文指的是加密(encryption),另外通行碼有些課程的翻譯會用於通行證的卡片(X),但其實原文翻譯我們較常用於密碼(Password),但常常還蠻常遇到混淆的狀況啦…
上課的時候會很期待講師有多年稽核經驗,在講解完流程作業標準時,加上有實際應用及情境分享很生動有趣。資安鬼故事分享(?
如果組織或企業已經在進行或預計進行 ISO 27001 的驗證及導入專案,這個時候可以跟驗證單位確認專案中有沒有包含原廠認證課程或是相關的優惠專案。
不過,常常有客戶問說授課單位、認證單位跟輔導單位,可以找同一家單位嗎?
這是不行的!
因為驗證單位作為發證標準,但若為輔導單位,不就球員兼裁判了嗎? 自己會開立自己輔導的缺失嗎?
這是違反公正性的,所以如果有單位說可以驗證兼輔導,這是會被開罰的。
但如果發證單位如果有相關的教育訓練,那是很推薦的,因為課一定會很豐富精采~很多八卦~。
ISO 27001 主導稽核員都會有** 5 天的課程或是 40 個小時以上**以滿足稽核員教育訓練的要求。課程對沒有經驗的我來說是覺得很硬啦
坊間課程大同小異,大部份有會包含以下內容:
第一天的內容是了解 ISO 27001 管理管理系統框架
講完專有名詞定義之後,
計劃(Plan)、執行(Do)、
檢查(Check)、改善(Act) 的精神,
逐一來說明 14 個控制領域 的標準要求,以符合組織資訊安全政策、法令、規範、合約、標準、政策與程序符合性要求,了解組織運營的內、外部環境及利害相關方的要求與期望,再來講解到組織對於合規風險、適用性聲明與風險管理、有效性量測指標、風險評鑑、內稽內控、管理審查、矯正措施……等等。
附錄 A - 資訊安全控制目標與控制措施
講完資訊管理系統管理框架,會講到附錄 A - 資訊安全35 個控制目標 及 114 控制措施,通常這裡會用小組分組來討論應用實作的情境讓學員比較有參與感以外,學員彼此也會分享在彼此組織的應用控管方式,而講師除了會糾正不適用的標準,也會分享業界常見實務。
或是在老師沒有補充到的部份,也可以自行參閱 ISO 27002 資訊安全管理系統:一般原則指南,會有更詳盡的說明。
在我們對於 ISO 27001:2013 的標準熟悉之後,我們會需要知道如何準備稽核計畫、安排稽核行程及完成稽核報告,以完成整個稽核計畫。
我們在這個階段會先了解稽核流程的相關知識,像說有幾種稽核方式、稽核角色、稽核員的必備條件、道德守則及相關特質等等,在生動有趣的情境下學會完成稽核查檢表與稽核軌跡,學員們亦能以愉快心情完成回家作業的模擬試題。
其中,老師也會引導各位學員,如果身為稽核員受到稽核方行賄之後的可怕下場。
如果你在稽核攻防演練時被收買,那麼你真的不適合擔任稽核員這樣的工作。
在完成稽核準備規劃之後,學員將扮演稽核員及企業資安小組來進行攻防討論,準備好我們的稽核查檢表與稽核軌跡,加上先前老師所教授的問話技巧來進行稽核演練。
搭配上老師提出的情境,很多狀況都是老師實際稽核的案例分享;或是有些老師會以課程影片、原廠教材的個案討論來做小組討論,也會提醒各位身為稽核員的時候,有什麼樣的狀況是可以進一步討論風險控管及不符合事項的標準及如何撰寫不符合報告。
在個案研究時也會提醒到開缺失,或是如果遇到這樣的情境不開缺失,那是不是稽核員的缺失?
好的老師會多帶幾種方式來進行稽核活動的討論方式會比較讓人印象深刻!
在課程的最後一天,預計上午會是講師精心準備的重點複習,這個部份最重要的是學會傾聽,
如果有什麼實作或是情境想要討論,請保留在後續再問,因為這個總複習是濃縮精華,請做好筆記!
而下午就會是考試時間,但受限於疫情的關係,目前的認證考試都會是線上遠距進行,然後就會靜待考試結果。
ISO 27001:2013 的線上考核會限制要開鏡頭驗證身份、環境、聲音及網路狀況,我在考試的時候,遇到比較麻煩的狀況是:
(1) 身份證驗證時需要摘眼鏡會比較好辨識
(2) 出現在鏡頭內的電風扇搖擺也是不允許的 我弄這個快弄 10 分鐘…後來才知道是電風扇…
(3) 網路斷線導致重新驗證的時間也計入考試時間內 把握作答時間分配
(4) 鏡頭若因權限或是設定未預期開啟,會需要重新進行考核 (而且題目不一樣)
(5) 分批課程的考試、補考的題目都不相同,所以沒有考古題
建議在最後一天中午之前可以留一下老師、助教及同學的聯絡方式,
之後在準備其他稽核考核或是在進行稽核活動的情境可以討論。或是可以一起補考
因為遠端連線,我有發現我的鏡頭燈沒有亮 或是 連線異常中斷的關係造成考試狀態異常,
然後就會被通知要補考了… Q"Q 而且我同學也要補考一起一起
基本上補考的步驟跟正式考試差不多,只是題目都會是新的,而且彼此試卷不同,
但這一次就沒有總複習囉,所以一定要花時間好好準備哦!
上完課之後,就更清楚 ISO 27001 稽核員要具備哪些技能了吧?
記得要背熟標準讓自己看起來更專業哦!
BSI 訓練學苑:https://www.bsigroup.com/zh-TW/ISO-27001-Information-Security/ISO-27001-training-courses/
SGS Academy:https://twap.sgs.com/Trainsys/iso27001/iso27001.html?gclid=CjwKCAjwvuGJBhB1EiwACU1AiQWTJla1lJnIACNgdTMqFQQHU-W9-U_RkFN7RdFpi_PJB7BLRdWGmBoCCQwQAvD_BwE
恆逸教育訓練中心(SGS):https://www.uuu.com.tw/Course/Partner/sgs/section=certification/title=ISO%2027001%E4%B8%BB%E5%B0%8E%E7%A8%BD%E6%A0%B8%E5%93%A1%E8%AA%8D%E8%AD%89
中華民國電腦稽核學院:https://www.caa.org.tw/course.php?kindid=113
資策會數位教育研究所:https://www.iiiedu.org.tw/sgsiso27001/
中華資安國際:https://www.chtsecurity.com/service/m403
工研院:https://college.itri.org.tw/