(課程註冊編號：2541)

什麼是 ISO/IEC 27001？

ISO/IEC 27001 是目前全球最廣為組織所接受的資訊安全管理系統（information security management systems, ISMS）國際標準。 它定義了一個有效的 ISMS 必須滿足的要求。

ISO/IEC 27001 國際標準為任何規模和所有型態的公司，提供了建立、實施、維護和持續改進資訊安全管理系統的指引。

符合 ISO/IEC 27001，意味著組織或企業已經建立了一套管理系統，來管理與公司所擁有 (例如營業秘密、智慧財產) 或處理的資料 (例如個人資料隱私 ) 安全相關的風險，並且展現該管理系統符 合ISO/IEC 27001 國際標準中所有最佳做法和原則。

為什麼需要 ISO/IEC 27001？

隨著網路犯罪 (cyber crime) 的上升和新威脅的不斷出現，管理網宇風險 (Cybersecurity) 似乎很困難甚至不可能。 ISO/IEC 27001 幫助組織提高風險意識，並主動識別和管理弱點與控制資訊安全相關風險 (例如合規風險)。

ISO/IEC 27001 國際標準提倡資訊安全的整體方法：包含審查人員、政策和技術等。 根據本標準實施的資訊安全管理系統是資訊安全風險管理、網路復原力和卓越運營的工具。

本課程目的在協助學員建立根據管理系統稽核指引 (ISO 19011) 對 資訊安全管理系統 (ISMS, ISO/IEC 27001) （與 ISO/IEC 27002）進行第一方、第二方和管理系統驗證一般要求 (ISO/IEC 17021) (如果適用) 進行第三方驗證稽核所需的知識和技能，包括識別稽核證據 (audit evidence) 以確定符合 (conformity) 或不符合 (nonconformity) 的能力。

本課程是為了已經暸解資訊安全管理原則和概念以及 ISO/IEC 27001（含 ISO/IEC 27002）要求的學員而設計。 

CQI/IRCA 主導稽核員訓練課程的目的，不是對標準條款要求的解析課程，所以不會對 ISO/IEC 27001 相關條款進行逐條說明、分析。為了協助學員複習、更新課前知識，課程中可能包含對 ISO/IEC 27001 特定的資訊安全管理相關條款的摘要說明。

完成並且考試通過 CQI/IRCA 國際認證資訊安全管理系統 (ISMS, ISO/IEC 27001) 主導稽核員訓練課程，是註冊成為 IRCA 國際稽核員註冊協會資訊安全管理系統稽核員之必要條件之一。詳細內容與註冊要求，請參考 [ CQI/IRCA 稽核員/主導稽核員註冊程序 ]。

課前知識與經驗要求 

參加本課程的學員，必須具備下列知識：

a) 管理系統

• 管理系統流程 (計畫-執行-確認-改善, PDCA)

• 暸解管理系統的主要活動，包含高階管理人員的領導能力與責任、功能與管理活動之間的相互關係、營運目標與政策、目標、規劃、計畫執行、績效量測、定期審查、與持續改善等活動。

b) 資訊安全管理

了解以下資訊安全管理原則和概念：

• 對資訊安全需求的認知;

• 資訊安全的責任配置;

• 納入管理階層承諾和關注方的利益;

• 提升社會價值;

• 使用風險評估的結果，來確定適當的控制措施以達到可接受的風險水平;

• 將資訊安全納入網絡和系統的基本要素;

• 積極預防與偵測資訊安全事件;

• 確保採用全面的資訊安全管理方法;

• 持續重新評估資訊安全並視需要進行修改.

c) ISO/IEC 27001

• 了解 ISO/IEC 27001（與 ISO/IEC 27002）的要求以及 ISO/IEC 27000 中常用資訊安全管理術語和定義，這些知識可以通過完成 CQI/IRCA 認證的 ISMS 基礎培訓課程或同等課程獲得.

備註：

• 認證課程考試內容，除了 ISO/IEC 27001 之外，可能會跟本課程課前必備知識有關。

• 如果需要，建議您參加我們提供的管理系統稽核指引 (ISO 19011)、資訊安全管理系統 (ISO/IEC 27001) 等基礎課程。

課程對象

管理系統是組織日常營運活動的一部份，任何參與組織營運活動的內、外部人員，對於國際標準的了解，皆有助於組織業務相關活動的推動與提升有效性。

本課程主要對象，是那些希望獲得稽核整個組織的 ISMS ，以確保滿足 ISO/IEC 27001 要求能力的人員，無論是作為第三方 (獨立) 稽核員，還是第二方 (供應商/客戶) 稽核員。

或者，組織中擔任下列功能的人員參加，作為組織管理人員之知識與技能持續專業進修 (Continuing professional development, CPD) 的一部份：

• 資訊技術 (IT) 與信息安全 (IS) 相關經理人

• 風險管理相關經理人

• 公司治理、政策制定經理人

• 諮詢、顧問

• 第一方 (內部) 稽核員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等，透過參與式 (participated learning) 學習，培養學員下列的能力：

• 了解資訊安全管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。

• 了解管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 中，稽核員的角色與能力的要求，包含稽核計畫、執行、報告、發現追蹤到完成稽核。

• 如何應用管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 要求，進行資訊安全管理系統稽核 (包含稽核計畫、執行、報告、發現追蹤到完成稽核)，以確保組織的資訊安全管理系統的有效性，並符合國際標準 ISO 27001 (或 ISO 27002)要求

課程效益

• 組織具備根據國際標準 ISO/IEC 27001，執行資訊安全管理系統內部稽核的能力，符合認證要求。

• 參與課程並通過考試學員，將獲得國際認認課程證書，展現執行資訊安全管理系統稽核的專業知識與技能，具備擔任供應商稽核的能力。

• 協助組織有效地執行資訊安全管理系統稽核，有助於確保組織保護敏感資料 (例如，個人資料、公司商業機密等)，符合利害相關方的期望與公司治理要求。

• 了解現行資訊安全管理系統與國際標準的差異，持續強化管理系統能力。

• 符合 IRCA 國際稽核員協會 資訊安全管理系統稽核員認證基本要求

課程大綱 

第一天, 管理系統要求 (ISO/IEC 27001)

第二天, 管理系統要求 (ISO/IEC 27001)、管理系統稽核指引 (ISO 19011)、驗證稽核要求 (ISO 17021)

• 管理系統實作 - 資訊安全管理系統 附錄 A - 資訊安全控制措施

• 管理系統績效評估

• 績效評估

• 內部稽核

• 管理審查

• 管理系統持續改善

• 稽核小組成員角色、能力與責任

• 不同形式的稽核，內部稽核、供應商稽核與第三方認證稽核要求

• 稽核方案管理 (audit programme management) 

第三天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核準備 與 計畫 

• 稽核起始、準備與可行性評估

• 稽核演練 - 第一階段稽核 (文件審查、第二階段稽核可行性評估)

• 準備第二階段稽核 - 現場稽核計畫

• 準備稽核工作文件 - 建立稽核查檢表與稽核軌跡

第四天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核起始會議、執行現場稽核活動、稽核員角色與稽核技巧 演練

• 起始會議 (Opening meeting)

• 稽核過程演練 - 稽核場景 與 稽核員角色演練

• 稽核技巧演練 - 訪談、客觀證據搜集

• 稽核發現演練 - 包含符合(conformance)、缺失 (non-conformity) 與建議可改善事項 (OFI, Opportunity for Improvement)

• 準備稽核報告 (audit reporting)

第五天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核結束會議、稽核發現追蹤與認證 

• 稽核結論 (audit conclusion) 

• 結束會議 (Closing meeting) 

• 稽核發現追蹤 

• 評估更正、矯正措施、根因分析與回覆稽核發現

• 管理系統認證

• 課程總結

• 稽核員課程線上考試

課程包含 

• 授權課程媒體、講義 

• CQI/IRCA 稽核員課程線上考試 - 學員指引

• CQI/IRCA 稽核員課程證書 (若考試成績未達通過標準，僅獲頒課程參加證書)

課程注意事項

• 課程要求與參加指引如下:

• [ 一般課堂課程 (Classroom-based) 參加指引 ]

• [ 遠距教學課程 (VILT) 參加指引 ]

• 如果您是第一次參加管理系統課程，建議您先完成下列課程：

• 管理系統共通結構認知課程 ( 2 天) ; 或

• ISO/IEC 27001:2022 (ISMS, 資訊安全管理系統) 基礎課程 (3 天)

如果有任何其他需求，歡迎您與我們聯繫：info@tksg.global