延伸您的資訊安全管理系統到雲服務，包含，資訊安全法規與技術符合性、資訊安全風險管理、資訊資產管理、資訊安全控制(環境與基礎設施、設備、人員、通訊、網絡、系統、應用程式)、資安事件管理、營運持續過程中的資訊安全管理...等。隨著科技的逐漸成熟，組織、客戶對雲服務的需求也越來越明顯，IT 服務的範圍，也從原本的組織延伸到雲服務。

課程介紹 

本課程是學習雲服務資訊安全管理系統的基礎，是您想繼續成為信息安全管理系統 (ISMS, ISO/IEC 27001) 規劃、建置專家、審核員的先修課程。同時，也是成為雲服務資訊安全管理系統推動小組成員之必要條件之一。

參加本課程的學員，必須具備下列知識：

1. 瞭解管理系統的基本觀念 (ISO 19600)：
   
   • 管理系統流程 (Plan-Do-Check-Act)
   • 管理系統對於組織營運風險管理的要求
   • 管理系統對於高階與一般經理人如何展現領導能力的要求
   • 規劃管理系統時，必須考慮的項目
   • 管理系統需要那些支持、資源？
   • 管理系統日常維運要求、注意事項
   • 如何評估管理系統的有效性？
   • 如何改善管理系統？
2. 瞭解下列風險管理原則與概念 (ISO 31000)：
   • 如何建立適切的組織風險管理制度
   • 風險管理流程
   • 建立風險管理規範
   • 風險鑑別
   • 風險分析
   • 風險評估
   • 風險處理原則與控制方法
3. 必須先具備/完成 IT 服務管理系統 (ITSM, ISO/IEC 20000-1) 基本知識
4. 必須先具備/完成資訊安全管理系統 (ISMS, ISO/IEC 27001)  或 資訊安全技術 (ISO/IEC 27002) 基本知識

備註：課程認證考試內容，除了 ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 之外，可能會跟本課程課前必備知識有關。如果需要，建議您參加我們提供的管理系統符合性指引 (ISO 19600) 或 風險管理 (ISO 31000) 相關課程。

課程對象

管理系統是組織日常營運活動的一部份，任何參與組織營運活動的內、外部人員，對於國際標準的了解，皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中，擔任下列功能的人員參加：

• 暸解雲服務客戶 (CSC, cloud service customer) 與 雲服務供應商 (CSP, cloud service provider)
• 資訊技術 (IT) 與信息安全 (IS) 相關經理人
• 風險管理相關經理人
• 公司治理、政策制定經理人
• 諮詢、顧問
• 審核員
• 法務人員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等，透過參與式 (participated learning) 學習，培養學員下列的能力：

• 了解雲服務資訊安全管理系統的目的、對組織帶來的益處、管理系統與相關標準
• 了解雲服務資訊安全風險管理過程，以及如何運用資訊安全控制措施降低風險
• 了解雲服務個人數據管理過程，以及如何運用資訊安全控制措施降低洩露風險

課程效益

• 提升學員對於雲服務資訊安全管理系統的認知
• 協助組織有效地推動雲服務資訊安全管理系統，確保組織保護敏感資料 (例如，個人數據、營業秘密保護等)，符合利害相關方的期望與公司治理要求。
• 了解現行雲服務資訊安全管理系統與國際標準的差異，持續強化管理系統能力。

課程大綱 

第一天, 資訊安全 (ISO/IEC 27001)、雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018)控制措施

• 法令、規範符合性，例如：
  • 個人資料保護法 (Data Protection Act.)
  • 資通安全管理法
  • 中國網絡安全法 (China CyberSecurity Act.)
  • 歐盟一般數據保護法案 (EU GDPR)
  • 歐盟網路安全法 (EU Cybersecurity Act.)
• 資訊安全、雲服務安全與個人數據隱私風險管理
• 資訊資產管理 (Asset management)
• 風險管理過程 (Risk management) 
• 雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018) 控制措施：
• 安全政策 (security policy - cloud service and personal data protection) 控制措施指引
• 組織安全 (organizational security) 控制措施指引
• 人員安全 (human resource security) 控制措施指引
• 個人數據與資產管理 (personal data and asset management) 控制措施指引

第二天, 雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018) 控制措施

• 雲服務安全 (ISO/IEC 27017) 與雲服務個人數據安全 (ISO/IEC 27018) 控制措施：(續)
• 存取控制 (access control) 控制措施指引
• 加密技術 (cryptography) 控制措施指引
• 實體 (physical security) 與 作業安全管理 (operational security) 控制措施指引
• 通信與網路安全 (communication and network security) 與 系統與應用程式安全 (system and application security) 控制措施指引
• 供應商安全 (supplier security) 控制措施指引
• 安全事件管理 (incident management) 包含：安全事件預防、偵測活動與通報 (例如， CERT 緊急應變中心)
• 雲服務與個人數據可用性管理 (continuity management) 控制措施指引
• 課程總結 / 問題提問 / 課程考試

課程包含 

• 授權課程媒體、講義 
• 課程考試
• 國際認證培訓機構課程證書 (若考試成績未達通過標準，僅獲頒課程參加證書)

課程注意事項

1. 請參加課程學員，了解 [ 課程注意事項 ]內容，並於上課前一週完成項目 5.1.j [ 課程案例研討文件 - 組織環境、管理系統要求與範圍 ]。
2. 課程時數：16 小時，每日課程時間：09:00 ~ 18:00 
   
3. 上課期間，視課程進度需要，可能會有夜間作業。
4. 課程人數限制：每班最低開課人數為 4 人，最多 20 位學員。
5. 課程講義、簡報等，皆透過 www.TKSG.global 線上學習系統提供，上課地點必須提供高速上網服務，學員必須自備電腦或可上網設備 (例如筆記型電腦、平板)。

如果有任何其他需求，歡迎您與我們聯繫：info@tksg.global