[證照]ISO 27001 LA培訓心得

今年六月時歷經五天密集的ISO 27001資訊安全主導稽核員的培訓,這個課程真的和以往所有的技術課程不同,因為沒有技術性的操作,但多了許多關於定義、制度、系統、程序、流程、權責、授權、能力、證據、聲明、政策、架構、文件化程序等等管理面的東西,學會如何識別風險、決定可接受等級、風險評鑑、如何採取控制措施、訂定適用性聲明書

今年六月時歷經五天密集的ISO 27001資訊安全主導稽核員的培訓,這個課程真的和以往所有的技術課程不同,因為沒有技術性的操作,但多了許多關於定義、制度、系統、程序、流程、權責、授權、能力、證據、聲明、政策、架構、文件化程序等等管理面的東西,學會如何識別風險、決定可接受等級、風險評鑑、如何採取控制措施、訂定適用性聲明書,尤其是PDCA的流程運用一直不斷出現在課程中,這算是我第一次上比較管理面的課程,全新的體驗 是個很好的開始,未來除了技術性層面,管理層面也要不斷加強。

這五天最大的心得就是深刻體會ISO 27001不是只在做文件和表單而已,它真正的用意是要確保企業內資訊安全政策被有效地落實重點是"有效"!! 做了再多的文件和表單,若沒有全體單位、同仁和長官的配合,ISO 27001只是浪費時間、人力及金錢而已,倒不如不要做,但是現在業界有著不太好的風氣,導入ISO 27001只是為了要拿到證書,至於是否真的有落實 好像不是重點,所以這時稽核員的角色就更顯重要。

稽核員不是來找麻煩的,而是協助企業發現內部資安的弱點和威脅,那些真正會嚴重影響到企業資產的問題,稽核員的工作就是將這些隱藏的問題找出來,提供企業有個改進的方向,這樣的稽核才是良性和正確的,所以就實際面來看,有沒有開CAR或觀察也不是最重要的,這些都是制定出來要求企業改善的一種方式,但若是企業是真的關心資安的議題,看重資安三大元素A.I.C,其實就算只是口頭告知企業稽核員的發現,我相信企業還是會投入人力時間金錢去改善。

另外我也發現自己有一個特質不適合當稽核員,因為稽核員所做的每件事、所說的每句話都有其目的,尤其在稽核的當下需要嚴密的控制受稽核者的回答,以及需要其提出各項證據,這和諮商員的訓練是剛好相反的,所以在演練時老師扮演的顧問或是企業老闆的角色,總是對我們(稽核員)有很多的意見
或是堅持他的想法阻礙稽核的進行,這時我就會很自然地想讓老師先把想說的話說完,等其情緒過去後再接下來談,但是這樣的行為是不被充許的,因為稽核員被要求要控制時間、緊扣目的、不要被拖著走等等,十足目的導向,所以我就發生了自我定位的衝突,我想這是需要花些時間突破的。

也因為這門課的關係,首次正式接觸到"管理",經過五天的演練以及老師的帶領,學會了凡事都要思考"重點是什麼? 有什麼想法? 如何應用?",以及當想要瞭解一件事實或思考如何執行時朝著 "何人 何事 何時 何地 為何 如何" 的方向去走,尤其是"為何 如何" 這兩個問題總是可以讓自己看到原本看不到的盲點,每件事都是一連串發生活動的前後因果關係組成的結果,結果雖然重要,但其中的流程是如何運作的,以及它的軌跡是怎麼走的更是重要,這五天下來不只學到專業知識與技術,更讚的是它幫助我建立的腦中的組織架構及邏輯,有了這些思考和行動模式 ,看事情時就能看到一些以往看不見的角度,我相信這樣訓練會讓我習慣用更有組織的方式面對事物,也引出了我對管理的興趣。


從諮商輔導人心
到諮商輔導資訊系統及網路世界
雖繞了一大圈 但都是極具意義的事
秉持著過去所學 朝著自己的興趣
體驗著一輩子只有一次的人生~~