參加 ISO-27001 資訊安全稽核師訓練課程心得

邱秀莉

 

為配合行政院政府機關資訊安全分級作業施行計畫,本校為 B 級資訊安全單位,須於 96 年底取得至少一張資安專業證照,感謝館長同意讓我於繁忙的公務中硬是擠出五天(5 月 21 日至 5 月 25 日)的時間,報名參加環奧國際驗證有限公司於高雄舉辦之 Information Security Auditor 課程。課程內容主要分為三大部分:一、ISO27001 / ISO17799 標準,二、風險評鑑,三、ISO27001 稽核。扣除半天的測驗時間,實際上課的時間只有四天半,由於內容相當多,故課程安排非常緊湊。

ISO27001 / ISO17799 標準主要介紹 ISO27001 / ISO17799 系列標準之歷史及發展、ISMS 架構、ISO27001 控制措施,此課程讓我了解 ISO27001 系列標準的發展及各階段標準的特色;藉由 PDCA 模式如何建立與管理、實施與操作、監控與審查、維持及改進資訊安全管理系統(ISMS);ISO27001 共分為安全政策、資訊安全的組織、資產管理、人力資源安全、實體與環境安全、通訊與作業管理、存取控制、資訊系統獲取開發及維護、資訊安全事故管理、營運持續管理、遵循性等十一項控制措施,透過各項控制措施條文介紹並配合範例解說,了解各項控制措施及其對應之控制目標。風險評鑑課程則是介紹風險評鑑要素、方法,評估風險方式,確認ISMS管理範圍內有價值之資訊資產,如何採取適切的控制措施使風險降低至可接受程度。ISO27001 稽核課程介紹稽核的分類,稽核工作的規劃與執行,稽核員應具備之能力及經驗,稽核的面談技巧,如何透過預先檢視及現場稽核收集資料,評鑑不符合項,產生稽核結論並撰寫稽核報告。此課程引用了大量的實例說明整個稽核工作之進行,讓我除了可以了解稽核過程的重點工作,亦可吸取其他機關導入 ISMS 的經驗作為未來本校導入 ISMS 之參考。

唯一美中不足的地方是由於課程內容很多,時間不夠用,故犧牲掉一些分組討論主題實作的練習,還好透過授課老師與學員們的經驗交流,稍稍彌補不足。經過了四天半的課程內容介紹,最後豋場的是此課程的重頭戲─Information Security Auditor 證照測驗,為了順利通過測驗,取得證照,每天上完課回家後就開始讀書,覺得自己好像回到學生時代準備考試的情景,在此特別要感謝網路通訊組同仁在公事上的幫忙及家中一大一小的配合,讓我在這段期間能心無旁鶩專心準備考試,終於順利通過測驗取得證照,完成此行的任務。

此次課程不僅通過考試取得証證、獲得 ISO27001 相關知識,最重要的是認識許多高雄地區(如:高雄市政府資訊中心、高雄海洋科技大學、高雄第一科技大學、義守大學、高雄國際航空站)推動資安工作的先進,大家彼此交換推動資安工作遇到的問題與解決方案,相信這些經驗對於本館未來推動資安工作有所助益。課程雖然結束了,但本館導入 ISMS 的腳步才剛要邁出,期待經過此次課程的洗禮,能使本館未來導入ISMS的腳步更加穩固、踏實。