創新思維,迄立標竿。為配合資通安全責任等級分級辦法C級單位資通安全專職人員應持有一張以上資通安全專業證照,今年一月被派去上了5天的「ISO27001:2013資訊安全管理系統 主導稽核員訓練課程」。
該課程是為了培訓可以符合國際稽核準則ISO/IEC27001:2013的合格稽核員,並取得國際課程證照。
課程包含兩大部分,第一階段講解ISO 27001:2013條文,上課方式除了老師講解外,需與同學分組討論與報告。課程第二部分,主要說明作為主導稽核員如何進行稽核,並以實際範例來討論與模擬稽核過程。
防微杜漸,直視惡魔的眼睛。這個課程特別的地方在於沒有技術性的操作,但多了許多關於定義、制度、程序等等管理面的東西,學會如何識別風險、決定可接受等級、風險評鑑、如何採取控制措施、訂定適用性聲明書,歷經五天密集的培訓,最大的心得就是深刻體會ISO 27001不是只在做文件和表單而已,它真正的用意是要確保單位內資訊安全政策被有效地落實,做了再多的文件和表單,若沒有全體單位、同仁和長官的配合,ISO 27001只是浪費時間、人力及金錢而已,導入ISO 27001不只是為了要拿到證書,更重要的是利用標準化的規範排除資安弱點和威脅。