# ISO 27001 考試小建議 ###### tags: `Common` 最近二個學妹在談 ISO 考試的事，雖然前一次考試已經離我很久了，所以我無法告訴你整個程序內容。但；關於如何準備考試這點，我想有些東西是不會變的，這邊分享一下**考試準備方式**。 ## 考試規範 <BR> * 線上考 * Open Book, 但是會發一本空白的標準給您參考 如果有什麼訊息歡迎分享給我，以利更新。 <br> ## 考試目的與準備方式 **考試目的的重要性在於了解如何出題，以及當遇到變化時該如何因應以及有效處理。** <BR> 1. 評估受候者是否具備稽核員應有素養 雖然這是資訊安全的認證資考試，但，它考的是"稽核員"這個角色。所以，稽核員的**人格特質**與**現場作業的心態、應對與發現處理方式**要很清楚。 開放而沒有預設的立場--包含**對與錯**和**事情應該怎麼做**，一切**憑證據說話**是稽核員的核心要求。 2. 評估候選人是否了解 ISMS 的運作要求 我個人都會建議把 ISMS 想成一個正三角形，管理審查委員會在上，二個邊分別是**制度規範**與**活動/記錄**，這樣子比較方便記憶。 然後思考這些問題以幫助你整理腦海中的架構： * 管理審查委員會(管審會)該如何組成，為什麼要那樣組成以及該做什麼事？ * 制度規範該如何組定，對應那些條文？文件與表單的相關規範是什麼？ * ISMS 下的各種作業與活動，都應該遵照 ISO 條文要求與制度規範的要求並產生記錄。記錄的要求有那些？ 3. 評估候選人對條文的了解程度 * **自己**將本文與附錄的內容，個別整理二張結構圖。 * 在結構圖中各自建立一個流水線，試著將內容串接成流程。 * 試著找出這二個結構圖中相關聯的部份 <BR><span style="color:RED"> 請特別注意標準中的關鍵字，如"應"，"需"，"且"…等，這些關鍵字載明條文的要求強度與時間。準備過程中，看到這些字時，請把該字畫紅線，並把前後項目框列起來。 </span> <br> ## 考試技巧與注意事項 * 盡可能列出相關的項目，覺得有相關就列上去，多列沒關係、少列就可能失去得分的機會了。 * 答題時，如果題目中沒有寫"沒有看到"、"未發現"、"查無"…等否定的關鍵字，就不要預設立場說"不行"。 * 主要缺失是當 ISMS 失能、或是累積的次要缺失足以使 ISMS 失能時才會開立，"不是可以隨便開立的東西"，千萬不要隨便寫"開立主要缺失"這種答案。 * 稽核員必需客觀、公正且開放，所以答題時要把觀察到的客觀事實、條文要求與引用該條文的原因寫上去就好，簡潔有力而不要寫成論述題。 * 稽核員應具備那些素養，這東西很重要。 <br> ## 考試準備 - 小小題庫(?) **想一下內容，以及對應的條文有那些** 1. 如何證明高階人員支持與推動 ISMS？ 2. 管理審查委員會應進行那些活動，召開時應輸入與輸出那些項目？ 3. 人力資源部門在 ISMS 中會扮演那些角色，以及該推動那些項目？（招幕、訓練、離職） 4. 資訊資產的相關規定有那些？ 5. 風險管理的相關規定有那些？ 6. 資訊系統開發、測試與變更，應該要做什麼？且規格/要求應該包含什麼？ 7. 人員的實體安全會包含那些議題？ 8. 機房的實體安全，應該有那些管控？環境監控、火災、門禁、機櫃或主機本身 9. 紙本與電磁記錄的規範有那些？ 10. 災難復原與營運持續的制定方式、流程與演練週期。 <br><br> 上面這些例子都只是幫助你去架構與組織條文內容，讓你更容易記憶。當我們看到一個條文項目時，應該試著去思考： * 什麼東西會適用這個條文？(資產) * 怎樣的管控實作，才能保證**管控的有效性**？ * 這東西會產生記錄嗎？ * 這東西會對應到什麼樣的風險？有被納入風險管理中嗎？ <BR><span style="color:BLUE"> 祝，考試順利 :) </span> 13 年前寫的文章，現在都沒那個耐心寫這麼多字了：http://snoopyintw.blogspot.com/2008/01/iso-27001.html