ISO/IEC 27001:2022 主導稽核員 (ISMS, 資訊安全管理系統) 訓練課程


 (課程註冊編號:2541)


課程介紹 

透過管理系統稽核與認證,組織可以展現其符合利害相關方對於法律 (i.e. 歐盟隱私權一般規範, 個人資料保護法, 智慧財產權法)、規範標準 (i.e. ISO, IEC, IEEE)、合約義務 (例如,營業秘密保護、智財授權保護)、政策與程序要求的最佳證明; 同時展現組織具備規劃、維運、持續改善管理系統風險、達成管理系統預期目標的能力。

本課程目的在協助學員建立根據管理系統稽核指引 (ISO 19011) 管理系統驗證一般要求 (ISO/IEC 17021) (如果適用)對資訊安全管理系統 (ISMS) 進行第一方、第二方和第三方稽核所需的知識和技能 。

完成並且考試通過 CQI/IRCA 國際認證資訊安全管理系統 (ISMS, ISO/IEC 27001) 主導稽核員訓練課程,是註冊成為 IRCA 國際稽核員註冊協會資訊安全管理系統稽核員之必要條件之一。詳細內容與註冊要求,請參考 CQI/IRCA 稽核員/主導稽核員註冊程序 ]


課前知識與經驗要求 

參加本課程的學員,必須具備下列知識:

a) 管理系統

    • 管理系統流程 (計畫-執行-確認-改善, PDCA)
    • 暸解管理系統的主要活動,包含高階管理人員的領導能力與責任、功能與管理活動之間的相互關係、營運目標與政策、目標、規劃、計畫執行、績效量測、定期審查、與持續改善等活動。

b) 資訊安全管理

了解以下資訊安全管理原則和概念:

    • 對資訊安全需求的認知;
    • 資訊安全的責任配置;
    • 納入管理階層承諾和關注方的利益;
    • 提升社會價值;
    • 使用風險評估的結果,來確定適當的控制措施以達到可接受的風險水平;
    • 將資訊安全納入網絡和系統的基本要素;
    • 積極預防與偵測資訊安全事件;
    • 確保採用全面的資訊安全管理方法;
    • 持續重新評估資訊安全並視需要進行修改.

c) ISO/IEC 27001

    • 了解 ISO/IEC 27001(與 ISO/IEC 27002)的要求以及 ISO/IEC 27000 中常用資訊安全管理術語和定義,這些知識可以通過完成 CQI/IRCA 認證的 ISMS 基礎培訓課程或同等課程獲得.


備註:認證課程考試內容,除了 ISO/IEC 27001 之外,可能會跟本課程課前必備知識有關。如果需要,建議您參加我們提供的合規管理系統 (ISO 37301)、管理系統稽核指引 (ISO 19011)、資訊安全管理系統 (ISO/IEC 27001)等基礎課程。


課程對象

管理系統是組織日常營運活動的一部份,任何參與組織營運活動的內、外部人員,對於國際標準的了解,皆有助於組織業務相關活動的推動與提升有效性。

本課程主要對象,是那些希望獲得稽核整個組織的 ISMS ,以確保滿足 ISO/IEC 27001 要求能力的人員,無論是作為第三方 (獨立) 稽核員,還是第二方 (供應商/客戶) 稽核員。

或者,組織中擔任下列功能的人員參加,作為組織管理人員之知識與技能持續專業進修 (Continuing professional development, CPD) 的一部份:

    • 資訊技術 (IT) 與信息安全 (IS) 相關經理人
    • 風險管理相關經理人
    • 公司治理、政策制定經理人
    • 諮詢、顧問
    • 第一方 (內部) 稽核員


課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等,透過參與式 (participated learning) 學習,培養學員下列的能力:

    • 了解資訊安全管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
    • 了解管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 中,稽核員的角色與能力的要求,包含稽核計畫、執行、報告、發現追蹤到完成稽核。
    • 如何應用管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 要求,進行資訊安全管理系統稽核 (包含稽核計畫、執行、報告、發現追蹤到完成稽核),以確保組織的資訊安全管理系統的有效性,並符合國際標準 ISO 27001 (或 ISO 27002)要求


課程效益

    • 組織具備根據國際標準 ISO/IEC 27001,執行資訊安全管理系統內部稽核的能力,符合認證要求。
    • 參與課程並通過考試學員,將獲得國際認認課程證書,展現執行資訊安全管理系統稽核的專業知識與技能,具備擔任供應商稽核的能力。
    • 協助組織有效地執行資訊安全管理系統稽核,有助於確保組織保護敏感資料 (例如,個人資料、公司商業機密等),符合利害相關方的期望與公司治理要求。
    • 了解現行資訊安全管理系統與國際標準的差異,持續強化管理系統能力。
    • 符合 IRCA 國際稽核員協會 資訊安全管理系統稽核員認證基本要求


課程大綱 

第一天, 管理系統要求 (ISO/IEC 27001)

    • 管理系統相關名詞與定義
    • 風險思維 - 組織合規風險與機會管理
      • 了解組織經營內、外部環境對管理系統的影響
      • 了解利害相關方希望透過管理系統解決的要求與期望 (包含法令、法規、合約、標準、政策與程序等要求)
      • 管理系統範圍
    • 風險思維 - 組織資訊安全風險與機會管理
      • 資訊資產管理 (資產清冊、資產擁有者)
      • 資訊安全風險管理要求與過程
      • 風險評鑑 (鑑別風險、風險擁有者、風險分析、風險評估)
      • 風險處理 (風險處理選項、選擇控制措施、適用性聲明 (SoA)、風險處理計畫)
      • 規劃變更
    • 領導統御能力與承諾
      • 高階管理展現領導能力、管理系統政策與目標
      • 管理系統支持與文件化資訊
      • 管理系統支持、資源與管理系統文件化要求


第二天, 管理系統要求 (ISO/IEC 27001)、管理系統稽核指引 (ISO 19011)、驗證稽核要求 (ISO 17021)

    • 管理系統實作 - 資訊安全管理系統 附錄 A - 資訊安全控制措施
    • 管理系統績效評估
      • 績效評估
      • 內部稽核
      • 管理審查
    • 管理系統持續改善
    • 稽核小組成員角色、能力與責任
    • 不同形式的稽核,內部稽核、供應商稽核與第三方認證稽核要求
    • 稽核方案管理 (audit programme management) 


第三天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核準備 與 計畫 

    • 稽核起始、準備與可行性評估
    • 稽核演練 - 第一階段稽核 (文件審查、第二階段稽核可行性評估)
    • 準備第二階段稽核 - 現場稽核計畫
    • 準備稽核工作文件 - 建立稽核查檢表與稽核軌跡


第四天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核起始會議、執行現場稽核活動、稽核員角色與稽核技巧 演練

    • 起始會議 (Opening meeting)
    • 稽核過程演練 - 稽核場景 與 稽核員角色演練
    • 稽核技巧演練 - 訪談、客觀證據搜集
    • 稽核發現演練 - 包含符合(conformance)、缺失 (non-conformity) 與建議可改善事項 (OFI, Opportunity for Improvement)
    • 準備稽核報告 (audit reporting)


第五天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核結束會議、稽核發現追蹤與認證 

    • 稽核結論 (audit conclusion) 
    • 結束會議 (Closing meeting) 
    • 稽核發現追蹤 
    • 評估更正、矯正措施、根因分析與回覆稽核發現
    • 管理系統認證
    • 課程總結

    • 稽核員課程線上考試


課程包含 

    • 授權課程媒體、講義 


課程注意事項

    • 課程要求與參加指引如下:
    • 如果您是第一次參加管理系統課程,建議您先完成下列課程:


如果有任何其他需求,歡迎您與我們聯繫:info@tksg.global 


Last modified: Tuesday, 6 December 2022, 10:24 PM