資訊安全管理系統 (ISO/IEC 27001:2013) 擴充雲服務個人資料保護 (ISO/IEC 27018:2019) 主導稽核員培訓課程

延伸您的資訊安全管理系統到雲服務,包含,資訊安全法規與技術符合性、資訊安全風險管理、資訊資產管理、資訊安全控制(環境與基礎設施、設備、人員、通訊、網絡、系統、應用程式)、資安事件管理、營運持續過程中的資訊安全管理...等。隨著科技的逐漸成熟,組織、客戶對雲服務的需求也越來越明顯,IT 服務的範圍,也從原本的組織延伸到雲服務。


課程介紹 

本課程是學習雲服務資訊安全管理系統的基礎,是您想繼續成為信息安全管理系統 (ISMS, ISO/IEC 27001) 規劃、建置專家、審核員的必修課程。同時,也是成為雲服務資訊安全管理系統推動小組成員之必要條件之一。

參加本課程的學員,必須具備下列知識:

a) 管理系統

  • 管理系統流程 (計畫-執行-確認-改善, PDCA)
  • 暸解管理系統的主要活動,包含高階管理人員的領導能力與責任、功能與管理活動之間的相互關係、營運目標與政策、目標、規劃、計畫執行、績效量測、定期審查、與持續改善等活動。

b) 資訊安全管理

了解以下資訊安全管理原則和概念:

  • 對資訊安全需求的認知;
  • 資訊安全的責任配置;
  • 納入管理階層承諾和關注方的利益;
  • 提升社會價值;
  • 使用風險評估的結果,來確定適當的控制措施以達到可接受的風險水平;
  • 將資訊安全納入網絡和系統的基本要素;
  • 積極預防與偵測資訊安全事件;
  • 確保採用全面的資訊安全管理方法;
  • 持續重新評估資訊安全並視需要進行修改.

c) ISO/IEC 27001, ISO/IEC 27018

  • 了解 ISO/IEC 27001(與 ISO/IEC 27002), ISO/IEC 27018 的要求以及 ISO/IEC 27000 中常用資訊安全管理術語和定義,這些知識可以通過完成 CQI/IRCA 認證的 ISMS 基礎培訓課程或同等課程獲得.

備註:課程認證考試內容,除了 ISO/IEC 27001 之外,可能會跟本課程課前必備知識有關。如果需要,建議您參加我們提供的合規管理系統 (ISO 37301)、管理系統稽核指引 (ISO 19011/CNS 14809)、資訊安全管理系統 (ISO/IEC 27001)、雲服務資訊安全管理 (ISO/IEC 27017) 與 雲服務個人資料保護 (ISO/IEC 27018) 基礎課程

課程對象

管理系統是組織日常營運活動的一部份,任何參與組織營運活動的內、外部人員,對於國際標準的了解,皆有助於組織業務相關活動的推動與提升有效性。

本課程建議組織中,擔任下列功能的人員參加:

  • 雲服務客戶 (CSC, cloud service customer) 與 雲服務供應商 (CSP, cloud service provider)
  • 資訊技術 (IT) 與信息安全 (IS) 相關經理人
  • 資訊安全管理, 個人資訊管理權責人員
  • 資訊安全管理, 個人資訊管理顧問, 風險管理相關經理人
  • 公司治理、政策制定經理人
  • 諮詢、顧問
  • 審核員, 資訊安全, 雲服務安全稽核人員
  • 法務人員
  • 曾取得 ISO/IEC 27001、ISO/IEC 27701、BS 10012 主導稽核員證書或其他具備相關知識及經驗之人員

課程目標 

本課程結合課堂簡報、小組討論、經驗交流、角色扮演、情境演練等,透過參與式 (participated learning) 學習,培養學員下列的能力:

  • 了解資訊安全管理與公有雲服務個人資料安全 (ISO/IEC 27018) 管理系統的目的、對組織帶來的益處、管理系統與相關標準、管理系統內部稽核、供應商稽核與第三方認證等要求。
  • 了解管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 中,稽核員的角色與能力的要求,包含稽核計畫、執行、報告、發現追蹤到完成稽核。
  • 如何應用管理系統稽核指引 ISO 19011 (與認證規範  ISO 17021) 要求,進行資訊安全管理系統稽核 (包含稽核計畫、執行、報告、發現追蹤到完成稽核),以確保組織的資訊安全管理系統的有效性,並符合國際標準 ISO 27001 (或 ISO 27002) 與公有雲服務個人資料安全 (ISO/IEC 27018) 要求。

課程效益

  • 提升學員對於雲服務資訊安全管理系統的認知。
  • 協助雲端服務的客戶與雲端服務提供者間契約化協議的訂定。
  • 提供雲端服務客戶及提供者於使用/提供雲端運算服務及處理個人資訊時可遵循的國際標準作業規範。
  • 提供內部及外部稽核員規劃與執行雲端安全稽核、後續報告與追蹤的準則。
  • 協助組織有效地推動雲服務資訊安全管理系統,確保組織保護敏感資料 (例如,個人資料、營業秘密保護等),符合利害相關方的期望與公司治理要求。
  • 了解現行雲服務資訊安全管理系統與國際標準的差異,持續強化管理系統能力。

課程大綱 

第一天, 資訊安全 (ISO/IEC 27001) 與公有雲服務個人資料安全 (ISO/IEC 27018) 控制措施

  • 管理系統框架、結構與流程導向 (PDCA)
  • 管理系統合規風險管理 - 組織營運風險 與 個人資料隱私保護管理要求
    • 了解組織經營內、外部環境,利害相關方、要求與期望 (包含法令、規範、合約、標準、政策與程序符合性要求)
    • 管理系統範圍
    • 管理系統範圍
  • 領導統御能力與承諾
    • 高階管理展現領導能力、管理系統政策與目標
    • 管理系統支持與文件化資訊
    • 雲服務與公有雲個人資料管理
  • 管理系統合規風險管理 - 資訊安全與個人資料處理風險管理
    • 資訊資產與個人資料管理 (資產清冊、資產擁有者)
    • 資訊安全與個人資料風險管理要求與過程
    • 風險評鑑 (鑑別風險、風險擁有者、風險分析、風險評估)
    • 風險處理 (風險處理選項、適用性聲明 (SoA)、風險處理計畫)
  • 資訊安全管理系統安全控制措施

第二天, 資訊安全 (ISO/IEC 27001) 與公有雲服務個人資料安全 (ISO/IEC 27018) 控制措施

  • 資訊安全管理系統延伸 - ISO/IEC 27018 公有雲個人資料安全控制措施
  • 管理系統績效評估與持續改善機制
    • 管理系統績效評估
    • 內部稽核
    • 管理審查
  • 稽核小組成員角色、能力與責任
  • 不同形式的稽核,內部稽核、供應商稽核與第三方認證稽核要求

第三天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核準備 與 計畫 

  • 稽核方案與稽核目的
  • 稽核起始、準備與可行性評估
  • 稽核演練 - 第一階段稽核 (文件審查、第二階段稽核可行性評估)
  • 準備第二階段稽核 - 現場稽核計畫
  • 準備稽核工作文件 - 稽核查檢表與稽核軌跡

第四天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核起始會議、執行現場稽核活動、稽核員角色與稽核技巧 演練

  • 起始會議 (Opening meeting)
  • 稽核過程演練 - 稽核場景 與 稽核員角色演練
  • 稽核技巧演練 - 訪談、稽核證據 (Audit evidence) 搜集、準備稽核發現 (Audit finding)
  • 稽核發現演練 - 包含符合(Conformance)、缺失 (Non-conformity, NC) 與建議可改善事項 (Opportunity for Improvement, OFI)
  • 準備稽核報告 (Audit reporting)

第五天, 管理系統稽核指引 (ISO 19011) - 稽核過程演練 - 稽核結束會議、稽核發現追蹤與認證 

  • 稽核結論 (Audit conclusion)
  • 結束會議 (Close meeting) 
  • 稽核發現追蹤 
  • 管理系統認證
  • 稽核員課程考試

課程包含 

  • 授權課程媒體、講義 
  • 課程考試
  • 國際認證培訓機構課程證書 (若考試成績未達通過標準,僅獲頒課程參加證書)

課程注意事項

Last modified: Thursday, 7 October 2021, 7:17 PM