雲服務資訊安全管理 (ISO/IEC 27017) 與 雲服務個人數據保護 (ISO/IEC 27018) 基礎課程

延伸您的資訊安全管理系統到雲服務,包含,資訊安全法規與技術符合性、資訊安全風險管理、資訊資產管理、資訊安全控制(環境與基礎設施、設備、人員、通訊、網絡、系統、應用程式)、資安事件管理、營運持續過程中的資訊安全管理...等。隨著科技的逐漸成熟,組織、客戶對雲服務的需求也越來越明顯,IT 服務的範圍,也從原本的組織延伸到雲服務。

雲服務資訊安全管理 (ISO/IEC 27017) 與 雲服務個人數據保護 (ISO/IEC 27018) 基礎課程

課程介紹 

本課程是學習雲服務資訊安全管理系統的基礎,是您想繼續成為信息安全管理系統 (ISMS, ISO/IEC 27001) 規劃、建置專家、審核員的先修課程。同時,也是成為雲服務資訊安全管理系統推動小組成員之必要條件之一。

參加本課程的學員,必須具備下列知識:

  1. 瞭解管理系統的基本觀念 (ISO 19600):
    • 管理系統流程 (Plan-Do-Check-Act)
    • 管理系統對於組織營運風險管理的要求
    • 管理系統對於高階與一般經理人如何展現領導能力的要求
    • 規劃管理系統時,必須考慮的項目
    • 管理系統需要那些支持、資源?
    • 管理系統日常維運要求、注意事項
    • 如何評估管理系統的有效性?
    • 如何改善管理系統?
  2. 瞭解下列風險管理原則與概念 (ISO 31000):
    • 如何建立適切的組織風險管理制度
    • 風險管理流程
    • 建立風險管理規範
    • 風險鑑別
    • 風險分析
    • 風險評估
    • 風險處理原則與控制方法
  3. 必須先具備/完成 IT 服務管理系統 (ITSM, ISO/IEC 20000-1) 基本知識
  4. 必須先具備/完成資訊安全管理系統 (ISMS, ISO/IEC 27001)  或 資訊安全技術 (ISO/IEC 27002) 基本知識

備註:課程認證考試內容,除了 ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 之外,可能會跟本課程課前必備知識有關。如果需要,建議您參加我們提供的管理系統符合性指引 (ISO 19600) 或 風險管理 (ISO 31000) 相關課程。

課程對象

管理系統是組織日常營運活動的一部份,任何參與組織營運活動的內、外部人員,對於國際標準的了解,皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中,擔任下列功能的人員參加:

  • 暸解雲服務客戶 (CSC, cloud service customer) 與 雲服務供應商 (CSP, cloud service provider)
  • 資訊技術 (IT) 與信息安全 (IS) 相關經理人
  • 風險管理相關經理人
  • 公司治理、政策制定經理人
  • 諮詢、顧問
  • 審核員
  • 法務人員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等,透過參與式 (participated learning) 學習,培養學員下列的能力:

  • 了解雲服務資訊安全管理系統的目的、對組織帶來的益處、管理系統與相關標準
  • 了解雲服務資訊安全風險管理過程,以及如何運用資訊安全控制措施降低風險
  • 了解雲服務個人數據管理過程,以及如何運用資訊安全控制措施降低洩露風險

課程效益

  • 提升學員對於雲服務資訊安全管理系統的認知
  • 協助組織有效地推動雲服務資訊安全管理系統,確保組織保護敏感資料 (例如,個人數據、營業秘密保護等),符合利害相關方的期望與公司治理要求。
  • 了解現行雲服務資訊安全管理系統與國際標準的差異,持續強化管理系統能力。

課程大綱 

第一天, 資訊安全 (ISO/IEC 27001)、雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018)控制措施

  • 法令、規範符合性,例如:
    • 個人資料保護法 (Data Protection Act.)
    • 資通安全管理法
    • 中國網絡安全法 (China CyberSecurity Act.)
    • 歐盟一般數據保護法案 (EU GDPR)
    • 歐盟網路安全法 (EU Cybersecurity Act.)
  • 資訊安全、雲服務安全與個人數據隱私風險管理
    • 資訊資產管理 (Asset management)
    • 風險管理過程 (Risk management) 
  • 雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018) 控制措施:
    • 安全政策 (security policy - cloud service and personal data protection) 控制措施指引
    • 組織安全 (organizational security) 控制措施指引
    • 人員安全 (human resource security) 控制措施指引
    • 個人數據與資產管理 (personal data and asset management) 控制措施指引

第二天, 雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018) 控制措施

  • 雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018) 控制措施:(續)
    • 存取控制 (access control) 控制措施指引
    • 加密技術 (cryptography) 控制措施指引
    • 實體 (physical security) 與 作業安全管理 (operational security) 控制措施指引
    • 通信與網路安全 (communication and network security) 與 系統與應用程式安全 (system and application security) 控制措施指引
    • 供應商安全 (supplier security) 控制措施指引
    • 安全事件管理 (incident management) 包含:安全事件預防、偵測活動與通報 (例如, CERT 緊急應變中心)
    • 雲服務與個人數據可用性管理 (continuity management) 控制措施指引
  • 課程總結 / 問題提問 / 課程考試

課程包含 

  • 授權課程媒體、講義 
  • 課程考試
  • 國際認證培訓機構課程證書 (若考試成績未達通過標準,僅獲頒課程參加證書)

課程注意事項

  1. 請參加課程學員,了解 [ 課程注意事項 ]內容並於上課前一週完成項目 5.1.j [ 課程案例研討文件 - 組織環境、管理系統要求與範圍 ]
  2. 課程時數:16 小時,每日課程時間:09:00 ~ 18:00 
  3. 上課期間,視課程進度需要,可能會有夜間作業。
  4. 課程人數限制:每班最低開課人數為 4 人,最多 20 位學員。
  5. 課程講義、簡報等,皆透過 www.TKSG.global 線上學習系統提供,上課地點必須提供高速上網服務,學員必須自備電腦或可上網設備 (例如筆記型電腦、平板)。

Last modified: Thursday, 1 October 2020, 4:40 PM