回憶起這段ISO 27001 Lead Auditor (資訊安全管理系統主導稽核員)的五天訓練課程和考試, 真的排得上人生考試中算是蠻痛苦的前幾名, 因為這五天真的非常煎熬, 白天上課, 晚上在飯店處理白天沒弄完的工作後, 還要複習教材並寫作業, 但重點是老師自己講的很High, 但殊不知他已經無法體會初學者的徬徨與無助, 完全無法用入門的語言來說明ISO法規與實務之間的關聯, 一整天下來包含課堂上的案例演練實在讓人非常心累, 因為感覺一直處於渾沌的狀態@@ 你可能會問 : 哪幹嘛去上這堂ISO課? 因為本身有接政府標案的專案, 所以公司政策上協助PM們去取得相關資訊安全法規所要求的一些教育訓練與證照的資格!
此外, 我覺得大家可能有一個迷思, 那就是要學資安, 就要學ISO 27001 ? 不不, 這可真是大錯特錯了~經過此次學習經驗後, 你就會明白ISO 27001 ISMS 是所謂的"管理系統" 而不是資安技術或觀念, 雖然有提到跟資安相關的, 但是都屬於"附錄的範圍", 就是不在ISO本文裡面的意思, 而且就是一些技術名詞, 不會再深入介紹這些內容, 所以換言之, 你只會學到ISO管理系統的精神和要求, 以及稽核流程和做法, 並不會知道實務上的資安到底是怎麼做的? 所以這也是為什麼我後來決定安排去學習ISC2的Certificate of Cyber Security (C.C)證照的原因, 因為這才能真正學到資訊安全的基礎~~
最後, 我想說的是雖然熬過了五天課程, 和最後一天下午三個半小時的紙筆測驗, 臨時抱佛腳在前一晚熬夜苦讀後, 終於有一點點融會貫通的感覺並豁然開朗到底整個ISO在幹嘛之後, 以68分低空飛過及格65分的門檻 @@"" 而且我發覺這種問答題的考試, 拿去問ChatGPT的效果不太好, 或者需要進一步的prompt提示說明參考答案才會符合考試的要求, 所以還是那句老話"拿到證照, 才是責任的開始" 我想同時也是打開"資安領域"大門的契機, 因為有了證照, 人家會開始丟資安相關的專案任務過來, 所以還是從CC開始學資安吧~