Apps Development Note

由於資安事件層出不窮，資訊安全日益受到重視，然而資訊安全的層面非常的廣，除了程式開發端、伺服器端，實體資訊工作環境也是需要被防護的一環。 ISO 27001是針對ISMS (Information Security Management System)制定的標準，也是列在行政院資通安全專業證照名單內的其中一張證照。 目前許多的大企業大多有在落實ISO 27001的合規環境，除了寫程式的人常常會被稽核之外，身為App開發人員的我，也想找個時間來了解ISO 27001的規範，就算目前還沒有要當稽核員，對於資訊安全的觀念也會更加全面。 報名 網路上查都有滿多這門課的報名管道，自行選擇喜歡的機構，以及打聽一下上課的地點，有些是在高級的飯店上課，環境、伙食就會都不錯。雖然通過拿到證照才是重點，但同樣都要花這筆大錢了，當然選間上課環境更舒服的地方也會比較開心一點 🤣。 費用 平日：50000、假日班：39900 這次我是自費去上課考照的，由於沒有公司的補助，所以是選擇費用比較便宜一些的假日班去上課。 上課之前 在正式上課之前，上課的機構會先寄一份課前資安調查的題目，要求先做一份對於資訊安全的了解程度的線上測驗。雖然是說分數不達標準就無法參加此課程，但其實題目也不難，大多都是靠想像的就可以選得到正確的選項。題目都是選擇題多選，而且不是我們傳統認為的全部選擇都答對才得分，而是有勾選到正確的選項都會有得到一些分數，所以只要勾選多一點的選項就可以通過了。 開始上課 分組 到了正式上課的第一天，首先會先分組，然後成員的自我介紹。而我們這組有人來自公部門，也有人本身就是PM，也有網管，也有工程師。 老師為了讓同隊的組員有更加深認識組員的機會，用輪流介紹另一位組員的方式進行，也就是A介紹B讓大家認識、B介紹C讓大家認識、C介紹A讓大家認識。 於是就有聽到其中有一組是相關稽核背景的，實力就相當堅強。 上課 課程主要圍繞在ISO 27001:2013的條文，其中包含了「本文」與「附錄A」。 如果你也是跟我一樣是第一次接觸這個領域，一定會有很多都不太懂的地方，上課就要更專心聽，老師會針對條文中的名詞定義，加上稽核實務的對應到的條文加以比對說明。 例如：你是稽核員，當你到了受稽方現場，看到程式碼是公司裡的任何人都可以自由存取，請問不符合哪些條款? 這個時候就要去翻條文，本文跟附錄A都可以找，發現與