先講筆者的建議及結論：
1.無論ISO27001或TISAX都要求「定期」，建議至少一年一次。
2.要資安宣導、資安教育訓練等年度計畫，並經管理階層核准及公告。
3.要有針對不同目標族群的課程設計及執行，例如：
　(1) 一般員工和管理階層
　(2) 新進人員
　(3) IT及資安專業人員
　(4) 外部關注方，如供應商 (重點在資安政策及供應商安全要求認知，可用文件閱讀方式)
4.針對事件進行訓練及認知。例如：
　(1) 配合社交工程
　　* 一般人員認知宣導
　　* 獎勵名單 (有回報)
　　* 加強教育訓練人員(誤點人員)
　(2) 配合弱掃結果
　　* 資安人員/資訊人員
5.「資訊安全聯繫窗口/負責人」要公告，讓全體員工知道 (可設計在內網EIP及教育訓驗內容)
6.為員工進行意識和培訓的概念已經準備就緒。至少要考慮以下方面：(TISAX合規要求，ISO27001驗證Only的企業可斟酌參考)

• 資訊安全政策
• 資訊安全事件報告
• 對發生惡意軟體的反應
• 有關用戶帳戶和登錄資訊的政策（例如密碼政策）
• 資訊安全合規性問題
• 轉發需要保護的資訊時有關使用保密協議的要求和程序
• 使用外部IT服務/雲服務的規定
• 違反資安規定的懲處
• 讓員工認識資訊安全聯絡人員
• 特定主題、資安新聞時事之資安宣導

以下針對ISO27001要求、ISO27002的指引、TISAX的要求整理如下：

ISO27001:2022要求彙整

• (本文)7.3認知：資安政策、可有效性貢獻與改善績效益處、違反規定之後果
• A.5.1.1資訊安全政策：資訊安全政策及主題特定政策應予以定義，由管理層核可、發布、傳達予相關人員及相關關注方，且其係知悉，並依規劃期間及發生重大變更時審查。
• A.6.3資訊安全認知及教育訓練：組織及相關關注方之人員，均應接受與其工作職能相關的組織資訊安全政策、主題特定政策及程序之適切資訊安全認知及教育訓練，並定期更新。
• A.8.7防範惡意軟體：應實作防範惡意軟體之措施，並由適切的使用者認知支援之。

ISO27002:2022指引建議彙整

ISO27002為ISO27001的指引，是ISO27001控制要求官方最完整的建議參考。
7.6.3 資訊安全認知、教育及訓練：

通則：

• 應根據本組織的資訊安全政策和相關程序制訂資訊安全意識、教育和訓練方案，同時考慮到本組織需要保護的資訊以及為保護資訊而實施的控制措施。
• 應定期開展資訊安全意識、教育和訓練。 最初的認識、教育和訓練可能適用於新人員，以及那些調到新職位或角色的人員，這些職位或角色具有實質上不同的資訊安全要求。

宣導

• 資訊安全意識方案應旨在使人員意識到他們對資訊安全的責任以及履行這些責任的管道。
• 在規劃提高認識方案時，應考慮到組織內人員的作用，包括內部和外部人員（如外部顧問、供應商人員）。
• 提高認識方案中的活動應按時間安排，最好是定期安排，以便重複這些活動並涵蓋新人員。 還應借鑒從資訊安全事件中吸取的經驗教訓。
• 提高認識方案應包括通過適當的實體或虛擬通路開展的一些提高認識活動，如宣傳活動、小冊子、海報、通訊、網站、資訊會議、簡報、電子學習模塊和電子郵件。 應在意識、教育或訓練活動結束時評估人員的理解，以測試知識轉移和意識方案的有效性。 資訊安全意識還應包括以下一般方面：
  a）說明管理層對整個組織資訊安全的承諾；
  b）需要熟悉並遵守資訊安全政策和特定主題政策、標準、法律、法規、規章、契约和協定中定義的適用資訊安全規則和義務；
  c）個人對自己的作為和不作為的責任，以及保護屬於組織和相關方的資訊的一般責任；
  d）基本資訊安全程序（如資訊安全事件報告）和基本控制（如密碼安全、惡意軟體控制和清除案頭）；
  e）聯系窗口和資源，以獲取關於資訊安全事項的更多資訊和建議，包括進一步的資訊安全意識資料。

教育和訓練

• 組織應確定、編制和實施適當的科技團隊訓練計畫，這些團隊的角色需要特定的技能和專業知識。 科技團隊應具備配置和維護設備、應用程序和雲服務所需安全級別的技能。 如果缺少技能，組織應採取行動並獲取這些技能。
• 教育和訓練方案應考慮不同的形式，例如講座或自學，由專家工作人員或顧問指導（在職訓練），輪換工作人員從事不同的活動，招聘已經熟練的人員，以及聘用顧問。 它可以使用不同的交付媒體，包括課堂、遠距學習、網路、自定進度等。 科技人員應通過訂閱時事通訊和雜誌或參加旨在提高科技和專業水準的會議和活動，使其知識保持最新。
• 資訊安全教育和訓練應定期進行。 初始教育和訓練應適用於新人員以及那些調到具有實質性不同資訊安全要求的新職位或角色的人員。

TISAX Information security (ISA 5.1.0 /6.0.1適用)要求彙整

1.1.1政策以適當的形式（例如內網）提供給員工。
1.2.4負責人員受到充分的培訓(外部IT/雲服務商之負責人員)
2.1.3讓員工認知處理資訊所產生的風險並對其進行訓練，要實施到什麼程度？

• M1:員工要接受訓練並提高認知。
• S1:為員工進行意識和培訓的概念已經準備就緒。至少要考慮以下方面：
  -資訊安全政策
  -資訊安全事件報告
  -對發生惡意軟體的反應
  -有關用戶帳戶和登錄資訊的政策（例如密碼政策）
  -資訊安全合規性問題
  -轉發需要保護的資訊時有關使用保密協議的要求和程序
  -使用外部IT服務/雲服務的規定
• S2:在訓練概念中識別並考慮訓練和認知措施的目標群體 (例如： 新進員工、管理者、可以存取客戶網路的員工）。
• S3:該概念已得到負責管理層的核准。
• S4:定期和針對事件進行訓練和提高認知措施。
• S5:文件化參與訓練和認知措施。
• S6:讓員工認識資訊安全聯絡人員。

7.1.1遵循法規和合約條款要確認到什麼程度 ?

• M2:定義、實施並傳達給負責人有關遵循要求事項的政策

TISAX Prototype Protection (ISA 5.1.0 /6.0.1適用)要求彙整

8.2.3有關原型處理的培訓和意識措施

• M1:確保訓練 /認知計劃由管理層進行
• M2:在進入專案時訓練員工和專案成員處理原型。
• M3:對員工進行原型處理方面的定期（最少每年）訓練
• M4:確保員工和專案成員了解各自的保護需求以及由此產生的公司內部措施
• M5:每個員工和專案成員都必須參與培訓和意識措施
• M6:文件化執行內容
• M7:關於原型保護的訓練概念是一般訓練概念的一個組成部分（參見資訊安全控制 2.1.3)

本文作者：AllanLo，資安顧問，ISO27001、TISAX認證輔導顧問。
企業資安議題歡迎交流。
allanlo.plus@gmail.com