2019年因為公司職務需要,參加了主導稽核員的訓練並與同時間通過資格考試。訓練為期五天,對於離開學生時期已經一段時間的我,要短時間準備考試備感壓力,但也是很特別的回憶,在這記下當時的感想紀錄:
「ISO27001:2013資訊安全管理系統 主導稽核員訓練課程」是為了培訓可以符合國際稽核準則ISO/IEC27001:2013的合格稽核員,並取得國際課程證照。
主導電腦稽核員的證照考試,需要先參加固定時數的課程,所以課程與考照是包含在一起的。我參加的是由電腦稽核協會舉行的認證課程,上課期間為期五天,時間從早上八點半到下午六點,中午供餐與點心。第五天考試,只有半天不供餐
課程內容
上課由BSI的講師授課,課程包含兩大部分,第一階段講解ISO 27001:2013條文,上課方式除了老師講解外,需與同學分組討論與報告。課程第二部分,主要說明作為主導稽核員如何進行稽核,並以實際範例來討論與模擬稽核過程。
五天的課程下來其實很辛苦,雖然在環境很好的飯店會議廳上課,也提供美味的餐點,但短時間要吸收大量的知識,還是有難度的。
課程中覺得較特別的是,因為稽核的是資訊系統相關,多少需要一些資訊方面的基本知識,所以針對比較複雜的密碼學部分,主辦單位還有外聘教授來簡單講解資料加密的概念。
由於自己是資訊背景,所以只要稍微提示,是可以回憶起學生時代所學的內容,但對於沒有資訊背景的學員們,我想應該是比較辛苦的。
考試重點
最後一天考試前,有模擬試題範本讓學員熟悉考試題型,老師也會做一些考試重點整理。
★ 有關名詞解釋的部分建議要背熟
因為考試時間雖然有2個小時,其實是不太夠用的,每題不能猶豫太久,書寫的速度要快。名詞解釋的題型如果有背好,可以節省一些思考時間。
★本文大綱要熟悉
考試是open book,但只能翻考前老師提供的空白標準條文,不能帶自己的筆記與講義,所以最好可以記住各條文位置,以便於考時較快翻閱到要參考的章節。
★ 稽核報告的寫法
最後一大題是給一段稽核情境,根據情境來決定是否有缺失、如何提出證據,以及如何寫稽核報告,這段就是考對本文與附錄條款的理解與應用程度了。
★ 考題每題都一定要寫
考前,前輩給的忠告都是「所有的考題就是絕對不要留空白,有寫,批卷老師才能有機會給分」,所以大家拼命就是要在兩個小時內盡量寫完、寫滿。
如果有人想參加這項訓練,希望以上訊息對你有幫助~
