🎯 考試重點情報（SGS Academy 課堂精華）

考試基本資訊

• 考試時間：課程最後一天起算30日內完成
• 及格標準：總分必須達到50%，且每一領域成績至少達到38%
• 考試性質：Open book（可參考筆記和ISO管理系統標準副本，但不能用網路搜索）
• 題庫參考：https://www.actual4test.com/exam/ISO-IEC-27001-Lead-Auditor-CN-questions

老師課堂金句：「所有的問題交由電腦評分。當您一旦完成作答並按下『下一步』按鈕後，您將無法重新檢視或改變您的答案。這是一個降低舞弊風險的安全措施」

📊 資安事件管理流程圖

資安事件管理五大核心控制措施

🔄 ISMS PDCA 循環心智圖

🏗️ 稽核流程架構圖

稽核證據收集要點

根據課堂重點，稽核證據需要具備：

1. 充分性：足夠支撐稽核結論
2. 適切性：與稽核目標相關
3. 可信性：來源可靠且準確
4. 可驗證性：能夠重複驗證

課堂重點提醒：「稽核審查在允許的時間內檢查稽核發現並確認標準的遵循程度」

📋 Annex A 控制措施分類總覽

四大控制類別對應表

🎓 Day 1 學習重點檢核

核心概念掌握度自評

• [ ] 考試規則理解：了解考試時間、及格標準、作答限制
• [ ] PDCA循環：能清楚說明每階段對應的標準條文
• [ ] 資安事件管理：熟記5個核心控制措施的執行順序
• [ ] 稽核流程：掌握從計畫到追蹤的完整流程
• [ ] Annex A分類：能快速區分四大控制類別

明日預習重點

1. 深入Annex A控制措施：重點關注組織控制措施的實務應用
2. 稽核技巧演練：準備實際案例分析
3. 風險評估方法：學習定量與定性風險評估技術

💡 實務應用提醒

從理論到實踐的關鍵轉換

記住這個核心邏輯：

1. 不是背條文，是理解風險邏輯
2. 不是找缺失，是驗證有效性
3. 不是批評指正，是專業建議
4. 不是一次性查核，是持續改善支援

常見陷阱避免

⚠️ 混淆概念：Scope（範圍）≠ SOA（適用性聲明）
⚠️ 順序錯誤：風險評估必須在風險處理之前
⚠️ 忽略證據：所有稽核發現都需要充分證據支持

📚 參考資料

• ISO/IEC 27001:2022 資訊安全管理系統要求事項
• ISO/IEC 27002:2022 資訊安全控制措施
• SGS Academy 課程教材
• 課堂板書重點整理

本筆記整合SGS Academy五天課程第一天精華，結合ISO 27001:2022標準條文，為考試準備與實務應用提供完整指引。