ISO 27001 考試小建議

tags: Common

最近二個學妹在談 ISO 考試的事，雖然前一次考試已經離我很久了，所以我無法告訴你整個程序內容。但；關於如何準備考試這點，我想有些東西是不會變的，這邊分享一下考試準備方式。

考試規範

• 線上考
• Open Book, 但是會發一本空白的標準給您參考

如果有什麼訊息歡迎分享給我，以利更新。

考試目的與準備方式

考試目的的重要性在於了解如何出題，以及當遇到變化時該如何因應以及有效處理。

1. 評估受候者是否具備稽核員應有素養
   雖然這是資訊安全的認證資考試，但，它考的是"稽核員"這個角色。所以，稽核員的人格特質與現場作業的心態、應對與發現處理方式要很清楚。
   開放而沒有預設的立場–包含對與錯和事情應該怎麼做，一切憑證據說話是稽核員的核心要求。

2. 評估候選人是否了解 ISMS 的運作要求
   我個人都會建議把 ISMS 想成一個正三角形，管理審查委員會在上，二個邊分別是制度規範與活動/記錄，這樣子比較方便記憶。
   然後思考這些問題以幫助你整理腦海中的架構：

• 管理審查委員會(管審會)該如何組成，為什麼要那樣組成以及該做什麼事？
• 制度規範該如何組定，對應那些條文？文件與表單的相關規範是什麼？
• ISMS 下的各種作業與活動，都應該遵照 ISO 條文要求與制度規範的要求並產生記錄。記錄的要求有那些？

3. 評估候選人對條文的了解程度

• 自己將本文與附錄的內容，個別整理二張結構圖。
• 在結構圖中各自建立一個流水線，試著將內容串接成流程。
• 試著找出這二個結構圖中相關聯的部份

請特別注意標準中的關鍵字，如"應"，"需"，"且"…等，這些關鍵字載明條文的要求強度與時間。準備過程中，看到這些字時，請把該字畫紅線，並把前後項目框列起來。

考試技巧與注意事項

• 盡可能列出相關的項目，覺得有相關就列上去，多列沒關係、少列就可能失去得分的機會了。
• 答題時，如果題目中沒有寫"沒有看到"、"未發現"、"查無"…等否定的關鍵字，就不要預設立場說"不行"。
• 主要缺失是當 ISMS 失能、或是累積的次要缺失足以使 ISMS 失能時才會開立，"不是可以隨便開立的東西"，千萬不要隨便寫"開立主要缺失"這種答案。
• 稽核員必需客觀、公正且開放，所以答題時要把觀察到的客觀事實、條文要求與引用該條文的原因寫上去就好，簡潔有力而不要寫成論述題。
• 稽核員應具備那些素養，這東西很重要。

考試準備 - 小小題庫(?)

想一下內容，以及對應的條文有那些

1. 如何證明高階人員支持與推動 ISMS？
2. 管理審查委員會應進行那些活動，召開時應輸入與輸出那些項目？
3. 人力資源部門在 ISMS 中會扮演那些角色，以及該推動那些項目？（招幕、訓練、離職）
4. 資訊資產的相關規定有那些？
5. 風險管理的相關規定有那些？
6. 資訊系統開發、測試與變更，應該要做什麼？且規格/要求應該包含什麼？
7. 人員的實體安全會包含那些議題？
8. 機房的實體安全，應該有那些管控？環境監控、火災、門禁、機櫃或主機本身
9. 紙本與電磁記錄的規範有那些？
10. 災難復原與營運持續的制定方式、流程與演練週期。
    
    
    

上面這些例子都只是幫助你去架構與組織條文內容，讓你更容易記憶。當我們看到一個條文項目時，應該試著去思考：

• 什麼東西會適用這個條文？(資產)
• 怎樣的管控實作，才能保證管控的有效性？
• 這東西會產生記錄嗎？
• 這東西會對應到什麼樣的風險？有被納入風險管理中嗎？

祝，考試順利 :)

13 年前寫的文章，現在都沒那個耐心寫這麼多字了：http://snoopyintw.blogspot.com/2008/01/iso-27001.html