ISO 27001 LA 主導稽核員 考照心得

由於資安事件層出不窮,資訊安全日益受到重視,然而資訊安全的層面非常的廣,除了程式開發端、伺服器端,實體資訊工作環境也是需要被防護的一環。

ISO 27001是針對ISMS (Information Security Management System)制定的標準,也是列在行政院資通安全專業證照名單內的其中一張證照。

目前許多的大企業大多有在落實ISO 27001的合規環境,除了寫程式的人常常會被稽核之外,身為App開發人員的我,也想找個時間來了解ISO 27001的規範,就算目前還沒有要當稽核員,對於資訊安全的觀念也會更加全面。


報名

網路上查都有滿多這門課的報名管道,自行選擇喜歡的機構,以及打聽一下上課的地點,有些是在高級的飯店上課,環境、伙食就會都不錯。雖然通過拿到證照才是重點,但同樣都要花這筆大錢了,當然選間上課環境更舒服的地方也會比較開心一點 🤣。


費用

平日:50000、假日班:39900

這次我是自費去上課考照的,由於沒有公司的補助,所以是選擇費用比較便宜一些的假日班去上課。


上課之前

在正式上課之前,上課的機構會先寄一份課前資安調查的題目,要求先做一份對於資訊安全的了解程度的線上測驗。雖然是說分數不達標準就無法參加此課程,但其實題目也不難,大多都是靠想像的就可以選得到正確的選項。題目都是選擇題多選,而且不是我們傳統認為的全部選擇都答對才得分,而是有勾選到正確的選項都會有得到一些分數,所以只要勾選多一點的選項就可以通過了。


開始上課

分組

到了正式上課的第一天,首先會先分組,然後成員的自我介紹。而我們這組有人來自公部門,也有人本身就是PM,也有網管,也有工程師。

老師為了讓同隊的組員有更加深認識組員的機會,用輪流介紹另一位組員的方式進行,也就是A介紹B讓大家認識、B介紹C讓大家認識、C介紹A讓大家認識。

於是就有聽到其中有一組是相關稽核背景的,實力就相當堅強。


上課

課程主要圍繞在ISO 27001:2013的條文,其中包含了「本文」與「附錄A」。

如果你也是跟我一樣是第一次接觸這個領域,一定會有很多都不太懂的地方,上課就要更專心聽,老師會針對條文中的名詞定義,加上稽核實務的對應到的條文加以比對說明。

例如:你是稽核員,當你到了受稽方現場,看到程式碼是公司裡的任何人都可以自由存取,請問不符合哪些條款?

這個時候就要去翻條文,本文跟附錄A都可以找,發現與稽核現場相關的條文為:

條款  名稱  控制內容
A.9.4.1  資訊存取限制  應依存取控制政策,限制對資訊及應用系統功能之存取。
A.9.4.5  對程式源碼之存取控制  應限制對程式源碼之存取。


至於條文要哪裡取得呢? 上課的機構會提供網站可以讓你下載,也會有印出來的上課紙本講義。


隨堂練習

老師在每上完一定的章節,就會有個隨堂練習。而隨堂練習是整組共同合作的作業,每次的作業寫完都要上傳繳交到機構的網站上。

所以上課要很專心,一個放空,等下要交作業就會寫不出來。


稽核練習

課堂上會有一則模擬稽核實務的過程,會要求分組輪流練習進行稽核方與受稽方。

首先各組要模擬和自己的組員一起成立了一間公司來成為受稽方,訂出公司名稱與業務別。

並且也要選出小組長來成為稽核方,舉辦稽核會議。


課後多問多讀

如果你也是第一次接觸到稽核相關的課程,一定會有很多不理解的地方,一定要在課堂休息的時候,對於不懂的名詞多問老師。

下課之後回到家,也要針對標準條文多看幾篇,對於考試會有很大的幫助。


考試

Open Book

目前考試是Open Book,但有提到之後要改成電腦應試的選擇題作答方式。電腦應試的好處是有沒有通過可以很快就開獎,但缺點是聽說難度會變高。

雖然說是Open Book,但考試也只能帶考前統一發放的制式、空白標準條文-本文與附錄A而已。

稽核查檢表

稽核查檢表是很重要的考題,一定要學會。而本文、附錄A就是一個大的查檢表,也就是說,對於名詞都要了解,最好是能夠背熟是在第幾條,因為考試只能如此帶空白標準條文,如此才能看到考題很快的就能翻到在哪個條目。

盡量多寫

考題不要放棄任何一題,但由於考試只有兩個小時,所以要分配時間。對於沒有辦法一下子就寫得出來的題目先到下一題。

但是千萬不要空白不寫,閱卷官在批改考卷時會依你寫的內容去對應到分數,所以擦到一點邊,就算不是全對也會有一些些分數,而有時就是只差那麼一點點的分數決定通過與否。

結語

這張證照的取得算是滿累的,訓練課程壓縮在5天內一口氣上完,而且隨堂作業很多,幾乎是幾個小時就要立刻做一題,可以說這5天真的很燒腦。

平常在上課的時候就要非常專心聽老師說的內容,因為是第一次接觸,所以很多名詞不是很容易了解,而且考試的重點也會常常出現在老師多次提點的部份都要背熟。如此才能夠在考試的時候,一看到題目就能夠立刻反應是在哪個條文裡面。

考過這張還只能算是當稽核員的門票而已,嚴格上來說只是對於ISO 27001的規範有一定程度的了解,但是對於實際要能成為獨單一面的稽核員,還要再經過受訓,以及要多經歷幾場稽核現場,成為稽核觀察員(像是實習生)的階段才比較有辦法。

證書

電子證書可以在網站上下載得到,大約考完後的3~4週就可以查得通過的證書下載。



而紙本證書還要再等一段時間,可能也跟疫情有關,會比較晚才收到。







留言

這個網誌中的熱門文章

Android如何實作強制App版本更新

如何實作從API抓取資料顯示在列表頁(ListView)上