[Day03]菜鸡稽核员上课罗

耶～大家中秋节快乐！！！！！
中秋连假假期没有烤肉，所以会持续更新的！

好啦再回来讲到稽核的相关课程 XD
如果没有完整上完培训的课程，那麽稽核流程、作业及相关的知识可能都不熟，那麽怎麽执行稽核呢？
所以想要成为稽核员的第一件事，就是先上完 ISO 27001:2013 的课啦～
但如果已经有证照或是经验的话，有些验证单位还是会安排相关受训课程。

授课单位

所以，不管是公司内部稽核员、主管机关稽核员或是第三方稽核员，第一步还是需要从相关标准的培训课程开始～
坊间有很多授课单位，我会建议参加由经国际验证较知名的第三方验证单位的课程，像说：BSI、SGS、TUV、艾法诺、贝尔…等等，或是符合国际标准的验证单位来授课，在说明稽核活动、适用标准比较不会有认知偏差。

常见的例子像说在授课的翻译版本在密码(X) 跟 加密(O)上解读会有混淆，但其实原文指的是加密(encryption)，另外通行码有些课程的翻译会用於通行证的卡片(X)，但其实原文翻译我们较常用於密码(Password)，但常常还蛮常遇到混淆的状况啦…

上课的时候会很期待讲师有多年稽核经验，在讲解完流程作业标准时，加上有实际应用及情境分享很生动有趣。资安鬼故事分享(？

教育训练、辅导上线、稽核发证可以全权委托同一家验证单位吗？

如果组织或企业已经在进行或预计进行 ISO 27001 的验证及导入专案，这个时候可以跟验证单位确认专案中有没有包含原厂认证课程或是相关的优惠专案。

不过，常常有客户问说授课单位、认证单位跟辅导单位，可以找同一家单位吗？
这是不行的！
因为验证单位作为发证标准，但若为辅导单位，不就球员兼裁判了吗？ 自己会开立自己辅导的缺失吗？
这是违反公正性的，所以如果有单位说可以验证兼辅导，这是会被开罚的。
但如果发证单位如果有相关的教育训练，那是很推荐的，因为课一定会很丰富精采~很多八卦~。

课程内容

ISO 27001 主导稽核员都会有** 5 天的课程或是 40 个小时以上**以满足稽核员教育训练的要求。
课程对没有经验的我来说是觉得很硬啦
坊间课程大同小异，大部份有会包含以下内容：

Day01 资讯管理系统管理框架

第一天的内容是了解 ISO 27001 管理管理系统框架
讲完专有名词定义之後，
计划(Plan)、执行(Do)、
检查(Check)、改善(Act) 的精神，
逐一来说明 14 个控制领域 的标准要求，以符合组织资讯安全政策、法令、规范、合约、标准、政策与程序符合性要求，了解组织运营的内、外部环境及利害相关方的要求与期望，再来讲解到组织对於合规风险、适用性声明与风险管理、有效性量测指标、风险评监、内稽内控、管理审查、矫正措施……等等。

Day02 资讯安全管理系统：附录 A

附录 A - 资讯安全控制目标与控制措施
讲完资讯管理系统管理框架，会讲到附录 A - 资讯安全35 个控制目标 及 114 控制措施，通常这里会用小组分组来讨论应用实作的情境让学员比较有参与感以外，学员彼此也会分享在彼此组织的应用控管方式，而讲师除了会纠正不适用的标准，也会分享业界常见实务。
或是在老师没有补充到的部份，也可以自行参阅 ISO 27002 资讯安全管理系统：一般原则指南，会有更详尽的说明。

Day 03 规画稽核活动及相关先备知识

在我们对於 ISO 27001:2013 的标准熟悉之後，我们会需要知道如何准备稽核计画、安排稽核行程及完成稽核报告，以完成整个稽核计画。
我们在这个阶段会先了解稽核流程的相关知识，像说有几种稽核方式、稽核角色、稽核员的必备条件、道德守则及相关特质等等，在生动有趣的情境下学会完成稽核查检表与稽核轨迹，学员们亦能以愉快心情完成回家作业的模拟试题。
其中，老师也会引导各位学员，如果身为稽核员受到稽核方行贿之後的可怕下场。
如果你在稽核攻防演练时被收买，那麽你真的不适合担任稽核员这样的工作。

Day 04 稽核过程演练

在完成稽核准备规划之後，学员将扮演稽核员及企业资安小组来进行攻防讨论，准备好我们的稽核查检表与稽核轨迹，加上先前老师所教授的问话技巧来进行稽核演练。
搭配上老师提出的情境，很多状况都是老师实际稽核的案例分享；或是有些老师会以课程影片、原厂教材的个案讨论来做小组讨论，也会提醒各位身为稽核员的时候，有什麽样的状况是可以进一步讨论风险控管及不符合事项的标准及如何撰写不符合报告。

在个案研究时也会提醒到开缺失，或是如果遇到这样的情境不开缺失，那是不是稽核员的缺失？
好的老师会多带几种方式来进行稽核活动的讨论方式会比较让人印象深刻！

Day 05 课程总结、复习与笔试

在课程的最後一天，预计上午会是讲师精心准备的重点复习，这个部份最重要的是学会倾听，
如果有什麽实作或是情境想要讨论，请保留在後续再问，因为这个总复习是浓缩精华，请做好笔记！

而下午就会是考试时间，但受限於疫情的关系，目前的认证考试都会是线上远距进行，然後就会静待考试结果。

ISO 27001:2013 的线上考核会限制要开镜头验证身份、环境、声音及网路状况，我在考试的时候，遇到比较麻烦的状况是：
(1) 身份证验证时需要摘眼镜会比较好辨识
(2) 出现在镜头内的电风扇摇摆也是不允许的 我弄这个快弄 10 分钟…後来才知道是电风扇…
(3) 网路断线导致重新验证的时间也计入考试时间内 把握作答时间分配
(4) 镜头若因权限或是设定未预期开启，会需要重新进行考核 (而且题目不一样)
(5) 分批课程的考试、补考的题目都不相同，所以没有考古题

建议在最後一天中午之前可以留一下老师、助教及同学的联络方式，
之後在准备其他稽核考核或是在进行稽核活动的情境可以讨论。或是可以一起补考

Day 06 补考：如果不幸没有通过考试或其他意外

因为远端连线，我有发现我的镜头灯没有亮 或是 连线异常中断的关系造成考试状态异常，
然後就会被通知要补考了… Q"Q 而且我同学也要补考一起一起
基本上补考的步骤跟正式考试差不多，只是题目都会是新的，而且彼此试卷不同，
但这一次就没有总复习罗，所以一定要花时间好好准备哦！

上完课之後，就更清楚 ISO 27001 稽核员要具备哪些技能了吧？
记得要背熟标准让自己看起来更专业哦！

工商时间

验证单位课程

BSI 训练学苑：https://www.bsigroup.com/zh-TW/ISO-27001-Information-Security/ISO-27001-training-courses/

SGS Academy：https://twap.sgs.com/Trainsys/iso27001/iso27001.html?gclid=CjwKCAjwvuGJBhB1EiwACU1AiQWTJla1lJnIACNgdTMqFQQHU-W9-U_RkFN7RdFpi_PJB7BLRdWGmBoCCQwQAvD_BwE

坊间授课课程

恒逸教育训练中心(SGS)：https://www.uuu.com.tw/Course/Partner/sgs/section=certification/title=ISO%2027001%E4%B8%BB%E5%B0%8E%E7%A8%BD%E6%A0%B8%E5%93%A1%E8%AA%8D%E8%AD%89
中华民国电脑稽核学院：https://www.caa.org.tw/course.php?kindid=113
资策会数位教育研究所：https://www.iiiedu.org.tw/sgsiso27001/
中华资安国际：https://www.chtsecurity.com/service/m403
工研院：https://college.itri.org.tw/