ISO 27001 LA 主導稽核員 考照心得
由於資安事件層出不窮,資訊安全日益受到重視,然而資訊安全的層面非常的廣,除了程式開發端、伺服器端,實體資訊工作環境也是需要被防護的一環。
ISO 27001是針對ISMS (Information Security Management System)制定的標準,也是列在行政院資通安全專業證照名單內的其中一張證照。
目前許多的大企業大多有在落實ISO 27001的合規環境,除了寫程式的人常常會被稽核之外,身為App開發人員的我,也想找個時間來了解ISO 27001的規範,就算目前還沒有要當稽核員,對於資訊安全的觀念也會更加全面。
報名
網路上查都有滿多這門課的報名管道,自行選擇喜歡的機構,以及打聽一下上課的地點,有些是在高級的飯店上課,環境、伙食就會都不錯。雖然通過拿到證照才是重點,但同樣都要花這筆大錢了,當然選間上課環境更舒服的地方也會比較開心一點 🤣。
費用
平日:50000、假日班:39900
這次我是自費去上課考照的,由於沒有公司的補助,所以是選擇費用比較便宜一些的假日班去上課。
上課之前
在正式上課之前,上課的機構會先寄一份課前資安調查的題目,要求先做一份對於資訊安全的了解程度的線上測驗。雖然是說分數不達標準就無法參加此課程,但其實題目也不難,大多都是靠想像的就可以選得到正確的選項。題目都是選擇題多選,而且不是我們傳統認為的全部選擇都答對才得分,而是有勾選到正確的選項都會有得到一些分數,所以只要勾選多一點的選項就可以通過了。
開始上課
分組
到了正式上課的第一天,首先會先分組,然後成員的自我介紹。而我們這組有人來自公部門,也有人本身就是PM,也有網管,也有工程師。
老師為了讓同隊的組員有更加深認識組員的機會,用輪流介紹另一位組員的方式進行,也就是A介紹B讓大家認識、B介紹C讓大家認識、C介紹A讓大家認識。
於是就有聽到其中有一組是相關稽核背景的,實力就相當堅強。
上課
課程主要圍繞在ISO 27001:2013的條文,其中包含了「本文」與「附錄A」。
如果你也是跟我一樣是第一次接觸這個領域,一定會有很多都不太懂的地方,上課就要更專心聽,老師會針對條文中的名詞定義,加上稽核實務的對應到的條文加以比對說明。
例如:你是稽核員,當你到了受稽方現場,看到程式碼是公司裡的任何人都可以自由存取,請問不符合哪些條款?
這個時候就要去翻條文,本文跟附錄A都可以找,發現與稽核現場相關的條文為:
| 條款 | 名稱 | 控制內容 |
| A.9.4.1 | 資訊存取限制 | 應依存取控制政策,限制對資訊及應用系統功能之存取。 |
| A.9.4.5 | 對程式源碼之存取控制 | 應限制對程式源碼之存取。 |
至於條文要哪裡取得呢? 上課的機構會提供網站可以讓你下載,也會有印出來的上課紙本講義。
隨堂練習
老師在每上完一定的章節,就會有個隨堂練習。而隨堂練習是整組共同合作的作業,每次的作業寫完都要上傳繳交到機構的網站上。
所以上課要很專心,一個放空,等下要交作業就會寫不出來。
稽核練習
課堂上會有一則模擬稽核實務的過程,會要求分組輪流練習進行稽核方與受稽方。
首先各組要模擬和自己的組員一起成立了一間公司來成為受稽方,訂出公司名稱與業務別。
並且也要選出小組長來成為稽核方,舉辦稽核會議。
課後多問多讀
考試
Open Book
目前考試是Open Book,但有提到之後要改成電腦應試的選擇題作答方式。電腦應試的好處是有沒有通過可以很快就開獎,但缺點是聽說難度會變高。
雖然說是Open Book,但考試也只能帶考前統一發放的制式、空白標準條文-本文與附錄A而已。
稽核查檢表
稽核查檢表是很重要的考題,一定要學會。而本文、附錄A就是一個大的查檢表,也就是說,對於名詞都要了解,最好是能夠背熟是在第幾條,因為考試只能如此帶空白標準條文,如此才能看到考題很快的就能翻到在哪個條目。
盡量多寫
結語
這張證照的取得算是滿累的,訓練課程壓縮在5天內一口氣上完,而且隨堂作業很多,幾乎是幾個小時就要立刻做一題,可以說這5天真的很燒腦。
平常在上課的時候就要非常專心聽老師說的內容,因為是第一次接觸,所以很多名詞不是很容易了解,而且考試的重點也會常常出現在老師多次提點的部份都要背熟。如此才能夠在考試的時候,一看到題目就能夠立刻反應是在哪個條文裡面。
考過這張還只能算是當稽核員的門票而已,嚴格上來說只是對於ISO 27001的規範有一定程度的了解,但是對於實際要能成為獨單一面的稽核員,還要再經過受訓,以及要多經歷幾場稽核現場,成為稽核觀察員(像是實習生)的階段才比較有辦法。
證書
電子證書可以在網站上下載得到,大約考完後的3~4週就可以查得通過的證書下載。
而紙本證書還要再等一段時間,可能也跟疫情有關,會比較晚才收到。
留言
張貼留言