歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
ISMS稽核訓練課程芻議
2005 / 02 / 03
樊國楨
在IRCA公布之ISMS主導稽核員訓練課程驗證規範中,分為知識(Knowledge)與技能(Skills)兩類訂定不同之賦能目標(Enabling Objectives)。
表一是其最少上課5天每天8小時的訓練標的之示意說明;在第2天的賦能目標中明定必須將ISO/IEC TR 13335-3資訊技術(Information Technology,簡稱IT)-管理IT安全之指導綱要(Guidelines for the management of IT Security )(註:ISO/IEC TR13335之簡稱為GMITS)中之第3部分:管理資訊技術安全的技術(Techniques for the Management of IT Security)與第4部分選擇保護措施(Selection of Safeguards)納入。
個人於2000年12月1 日~2001年8月31日應BSi之邀,擔任5次UKAS規範之ISMS主導稽核員講師,謹以所知,整理UKAS(目前)與IRCA對ISMS第三者稽核/主導稽核員訓練課程之主要差異如表一所示。其中ISO 19011是新版稽核品質系統之指導綱要。
台灣地區自2000年9月25~29日起開始,至2003年5月所舉辦的資訊安全管理系統主導稽核員訓練課程均遵循表一中UKAS之要求,唯無論是在課程內容還是上課時間各方面與IRCA公布之規範均有明顯的落差。由於GMITS是資訊技術安全風險管理中著名之國際標準,資訊安全風險管理是BS 7799-2:2002的基石,IRCA之要求宜做為我國ISMS第三者稽核訓練課程規範的參考藍本。
稽核工作之良窳關係資訊安全管理系統(Information Security Management Systems,簡稱ISMS)執行之成效,第3者稽核(Third Party Audit)更是ISMS驗證工作的礎石。資訊安全管理系統(ISMS)第三者稽核之訓練課程未通過IRCA之驗證,上完課且考試及格之稽核員無法至IRCA登錄,經其稽核過之ISMS的驗證合格證書在國際上自然不被認同。
在國家資通安全會報的要求下,政府機關即將開始ISMS之驗證,如何規範ISMS資訊安全管理系統第三者稽核之訓練課程及其登錄機制,與ISMS第三者稽核定期(每年)應有之「持續專業發展(Continuing Professional Development,簡稱CPD)的要求」等,已是必須面對之國際接軌的問題。
在另一方面,除了ISMS第三者稽核外,ISMS第一者與第二者稽核之訓練課程亦宜早做規範,謹慎區分期待性思考(Wishful Thinking)與事實判斷之差異,方不致重蹈ISO9000品質管理驗證在我國推動之初時,「稽核報告不實,人員素質不佳」與ISO14000環境管理驗證啟動時,「知易行難」等傳言覆轍。
數位社會中,沒有安全之資訊系統,其脆弱性應無法面對數位化的威脅。如果忽視此事實,任何資訊安全管理系統將有如建置在沙灘上城堡般不堪一擊。根基於此,在如圖一所示之資訊系統安全驗證機制運作中,稽核工作宜具備之知識與技能的議題,由於BS7799-2:2002與如表一中對ISMS稽核員(第三者稽核)的訓練課程需求,並未包含資訊技術安全評估驗證所需之知識及技能;參照IRCA之規範,我們提出如表二所示之ISMS第一者稽核與第二者稽核訓練課程,以供芻議做為討論的基礎。
最新活動
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
趨勢科技與Palo Alto Networks 發布多項重要安全更新
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話