本課程主要協助已經完成資訊安全管理系統 (ISMS, ISO/IEC 27001:2013) 稽核員課程的專業人士，了解 ISO/IEC 27001:2022 新版標準對於管理系統所帶來的改變，並且作為知識與技能持續專業進修 (Continuing professional development (CPD)) 活動的一部份。

參加本課程的學員，必須具備下列知識：

a) 管理系統

• 管理系統流程 (計畫-執行-確認-改善, PDCA)

• 暸解管理系統的主要活動，包含高階管理人員的領導能力與責任、功能與管理活動之間的相互關係、營運目標與政策、目標、規劃、計畫執行、績效量測、定期審查、與持續改善等活動。

b) 資訊安全管理

了解以下資訊安全管理原則和概念：

• 對資訊安全需求的認知;

• 資訊安全的責任配置;

• 納入管理階層承諾和關注方的利益;

• 提升社會價值;

• 使用風險評估的結果，來確定適當的控制措施以達到可接受的風險水平;

• 將資訊安全納入網絡和系統的基本要素;

• 積極預防與偵測資訊安全事件;

• 確保採用全面的資訊安全管理方法;

• 持續重新評估資訊安全並視需要進行修改.

c) ISO/IEC 27001

• 了解 ISO/IEC 27001（與 ISO/IEC 27002）的要求以及 ISO/IEC 27000 中常用資訊安全管理術語和定義，這些知識可以透過完成 ISMS 基礎培訓課程獲得.

備註：課程考試內容，除了 ISO/IEC 27001 之外，可能會跟本課程課前必備知識有關。如果需要，建議您參加我們提供的合規管理系統 (ISO 37301)、風險管理指引 (ISO 31000)、資訊安全管理系統 (ISO/IEC 27001)、管理系統稽核指引 (ISO 19011) 等基礎課程。

• 管理系統相關名詞與定義

• 管理系統框架、結構與流程導向 (PDCA)

• 風險思維 - 組織合規風險與機會管理

• 了解組織經營內、外部環境對管理系統的影響

• 了解利害相關方希望透過管理系統解決的要求與期望 (包含法令、法規、合約、標準、政策與程序等要求)

• 管理系統範圍

• 風險思維 - 組織資訊安全風險與機會管理

• 資訊資產管理 (資產清冊、資產擁有者)

• 資訊安全風險管理要求與過程

• 風險評鑑 (鑑別風險、風險擁有者、風險分析、風險評估)

• 風險處理 (風險處理選項、選擇控制措施、適用性聲明 (SoA)、風險處理計畫)

• 規劃變更

• 領導統御能力與承諾

• 高階管理展現領導能力、管理系統政策與目標

• 管理系統支持與文件化資訊

• 管理系統支持、資源與管理系統文件化要求