第一篇|接到指示與課程前置說明「黃志宏,下週一開始你要去上 ISO/IEC 27001 的資安訓練課,五天,請安排好你手上的工作。」
我一邊點頭,一邊在心裡泛起一絲疑問:ISO 27001?那是什麼?稽核員的訓練?我還沒搞懂資安三要素怎麼運用,就要考證照了?
我今年才剛轉進研鏵科技的資訊部門,資安小組算是邊緣中的邊緣單位,平常工作就是維運資安軟體、追蹤弱點通報和協助填寫資安問卷。這次被派去上課,也許是想栽培我吧?但更多的是一種「部門代表」的意味——總得有人去考,誰都不想去,我這個新來的就很自然地被派上了。
部門內部會議:沒人爭也沒人拒
接獲通知後,資訊部開了一場快速會議。李育誠組長坐在會議桌前,劈頭就說:「這次課程是由『睿質顧問有限公司』辦的,學完要考 ISO/IEC 27001:2022 的 Lead Auditor 證照。這個證照未來推動資安稽核時會需要,有就加分。」
陳郁琳點開一份 PDF:「五天全日課,總時數 40 小時,最後一天直接考試。你一個人去,我們這邊暫時讓乃文幫你 cover 一下日常作業。」
徐乃文笑了一下:「我可以,但你要補請我喝咖啡。」
會議氣氛算輕鬆,可我越聽越緊張,特別是「考試」那兩個字,一直在我腦子裡反覆盤旋。我不是學生好一陣子了,要怎麼準備這種專業考試?
前置說明會:12人小班制、分組活動、不能混
正式課程開始前一天,我收到來自顧問公司的電子郵件,主旨是《ISO/IEC 27001 課程前置提醒》。裡面詳細列出上課時間、地點、需攜帶的文件,以及令人發毛的幾行文字:
課程總時數為40小時,為確保證照認證效力,請學員全程參與。
內容涵蓋條文逐章講解、案例分析、分組討論與稽核模擬,最終將進行Lead Auditor證照考試。 為利分組討論,將進行預設分組,全程需配合小組活動與角色扮演演練。
我這才知道,原來不是聽講就好,還要動手做、上台演練、角色互換。我突然覺得,這不只是學習,根本是一次準備成為資安實戰部隊的一環。
角色分布初探:不只有資訊人員參與
隔天一早,我提前到達課程地點,才發現參與課程的不只有我們資訊部,還有來自人資部的張庭瑄與財會部的吳彥民。
「你也來了啊?」我對張庭瑄打招呼。
她點頭,有點苦笑:「據說我們明年要負責員工資安訓練計畫,所以被要求參與一下 ISO 課程,先熟悉流程跟概念。」
至於財會部的吳組長,他淡淡地說:「我們部門其實沒什麼資安系統維護的角色,不過合約與財報常被稽核關注,來學一下也無妨。」
看著不同部門的同仁都坐在教室裡,我意識到這不只是一堂資安課,更像是一場部門之間的共同修煉。而我,也被擺在了最前線。
顧問公司的支援與說明
開場後,顧問公司派出的協助人員在教室內穿梭,協助處理網路、講義發送與講師簡報設定。有一位年輕顧問特地走到我座位旁:「你是黃先生嗎?資訊部代表對吧?等下會請你協助說明部門內的資安實作情境。」
我一愣,點點頭。才第一天就要發言?我還沒暖機啊!
講師隨後進入,開始說明 ISO/IEC 27001 的整體訓練安排、預期學習成果與考試規定,還特別點出:「這五天,你們不是來聽課的,是來當準備接受認證的稽核員,所以每個人都要動起來。」
第一印象:不是來學理論,是來練真功夫
離開教室的路上,我回頭看了一眼那張寫著「資安訓練場」的門牌,心裡浮出一個念頭:
這不只是個課程,而是我踏入資安這條路的真正開始。
🌀內部反思問題(給自己與部門):
- 為何是我被選派參加這場訓練?是否為職涯中的轉機?
- 公司是否已將資安視為全員參與而不僅是資訊部的任務?
- 面對跨部門資安訓練,我應該如何建立合作關係並爭取資源?
🤖AI 協作創作聲明
本篇由 AI 協助創作,根據使用者提供角色與組織設定撰寫,內容純屬虛構,僅供學習與觀察用途。
