參加 ISO-27001 資訊安全稽核師訓練課程心得 邱秀莉 2007.07.01 為配合行政院政府機關資訊安全分級作業施行計畫,本校為 B 級 資訊安全單位,須於 96 年底取得至少一張資安專業證照,感謝館長 同意讓我於繁忙的公務中硬是擠出五天(5 月 21 日至 5 月 25 日) 的時間,報名參加環奧國際驗證有限公司於高雄舉辦之 Information Security Auditor 課程。課程內容主要分為三大部分:一、ISO27001 / ISO17799 標準,二、風險評鑑,三、ISO27001 稽核。扣除半天的 測驗時間,實際上課的時間只有四天半,由於內容相當多,故課程安 排非常緊湊。
ISO27001 / ISO17799 標準主要介紹 ISO27001 / ISO17799 系列 標準之歷史及發展、ISMS 架構、ISO27001 控制措施,此課程讓我了 解 ISO27001 系列標準的發展及各階段標準的特色;藉由 PDCA 模式 如何建立與管理、實施與操作、監控與審查、維持及改進資訊安全管 理系統(ISMS);ISO27001 共分為安全政策、資訊安全的組織、資 產管理、人力資源安全、實體與環境安全、通訊與作業管理、存取控 制、資訊系統獲取開發及維護、資訊安全事故管理、營運持續管理、 遵循性等十一項控制措施,透過各項控制措施條文介紹並配合範例解 說,了解各項控制措施及其對應之控制目標。風險評鑑課程則是介紹 風險評鑑要素、方法,評估風險方式,確認 ISMS 管理範圍內有價值 之資訊資產,如何採取適切的控制措施使風險降低至可接受程度。 ISO27001 稽核課程介紹稽核的分類,稽核工作的規劃與執行,稽核 員應具備之能力及經驗,稽核的面談技巧,如何透過預先檢視及現場 稽核收集資料,評鑑不符合項,產生稽核結論並撰寫稽核報告。此課 程引用了大量的實例說明整個稽核工作之進行,讓我除了可以了解稽 核過程的重點工作,亦可吸取其他機關導入 ISMS 的經驗作為未來本 校導入 ISMS 之參考。 唯一美中不足的地方是由於課程內容很多,時間不夠用,故犧牲 掉一些分組討論主題實作的練習,還好透過授課老師與學員們的經驗 交流,稍稍彌補不足。經過了四天半的課程內容介紹,最後豋場的是 此課程的重頭戲─Information Security Auditor 證照測驗,為了 順利通過測驗,取得證照,每天上完課回家後就開始讀書,覺得自己 好像回到學生時代準備考試的情景,在此特別要感謝網路通訊組同仁 在公事上的幫忙及家中一大一小的配合,讓我在這段期間能心無旁鶩 專心準備考試,終於順利通過測驗取得證照,完成此行的任務。
此次課程不僅通過考試取得証證、獲得 ISO27001 相關知識,最 重要的是認識許多高雄地區(如:高雄市政府資訊中心、高雄海洋科 技大學、高雄第一科技大學、義守大學、高雄國際航空站)推動資安 工作的先進,大家彼此交換推動資安工作遇到的問題與解決方案,相 信這些經驗對於本館未來推動資安工作有所助益。課程雖然結束了, 但本館導入 ISMS 的腳步才剛要邁出,期待經過此次課程的洗禮,能 使本館未來導入 ISMS 的腳步更加穩固、踏實。
