# ISO 27001 考試小建議 ###### tags: `Common` 最近二個學妹在談 ISO 考試的事,雖然前一次考試已經離我很久了,所以我無法告訴你整個程序內容。但;關於如何準備考試這點,我想有些東西是不會變的,這邊分享一下**考試準備方式**。 ## 考試規範 <BR> * 線上考 * Open Book, 但是會發一本空白的標準給您參考 如果有什麼訊息歡迎分享給我,以利更新。 <br> ## 考試目的與準備方式 **考試目的的重要性在於了解如何出題,以及當遇到變化時該如何因應以及有效處理。** <BR> 1. 評估受候者是否具備稽核員應有素養 雖然這是資訊安全的認證資考試,但,它考的是"稽核員"這個角色。所以,稽核員的**人格特質**與**現場作業的心態、應對與發現處理方式**要很清楚。 開放而沒有預設的立場--包含**對與錯**和**事情應該怎麼做**,一切**憑證據說話**是稽核員的核心要求。 2. 評估候選人是否了解 ISMS 的運作要求 我個人都會建議把 ISMS 想成一個正三角形,管理審查委員會在上,二個邊分別是**制度規範**與**活動/記錄**,這樣子比較方便記憶。 然後思考這些問題以幫助你整理腦海中的架構: * 管理審查委員會(管審會)該如何組成,為什麼要那樣組成以及該做什麼事? * 制度規範該如何組定,對應那些條文?文件與表單的相關規範是什麼? * ISMS 下的各種作業與活動,都應該遵照 ISO 條文要求與制度規範的要求並產生記錄。記錄的要求有那些? 3. 評估候選人對條文的了解程度 * **自己**將本文與附錄的內容,個別整理二張結構圖。 * 在結構圖中各自建立一個流水線,試著將內容串接成流程。 * 試著找出這二個結構圖中相關聯的部份 <BR><span style="color:RED"> 請特別注意標準中的關鍵字,如"應","需","且"…等,這些關鍵字載明條文的要求強度與時間。準備過程中,看到這些字時,請把該字畫紅線,並把前後項目框列起來。 </span> <br> ## 考試技巧與注意事項 * 盡可能列出相關的項目,覺得有相關就列上去,多列沒關係、少列就可能失去得分的機會了。 * 答題時,如果題目中沒有寫"沒有看到"、"未發現"、"查無"…等否定的關鍵字,就不要預設立場說"不行"。 * 主要缺失是當 ISMS 失能、或是累積的次要缺失足以使 ISMS 失能時才會開立,"不是可以隨便開立的東西",千萬不要隨便寫"開立主要缺失"這種答案。 * 稽核員必需客觀、公正且開放,所以答題時要把觀察到的客觀事實、條文要求與引用該條文的原因寫上去就好,簡潔有力而不要寫成論述題。 * 稽核員應具備那些素養,這東西很重要。 <br> ## 考試準備 - 小小題庫(?) **想一下內容,以及對應的條文有那些** 1. 如何證明高階人員支持與推動 ISMS? 2. 管理審查委員會應進行那些活動,召開時應輸入與輸出那些項目? 3. 人力資源部門在 ISMS 中會扮演那些角色,以及該推動那些項目?(招幕、訓練、離職) 4. 資訊資產的相關規定有那些? 5. 風險管理的相關規定有那些? 6. 資訊系統開發、測試與變更,應該要做什麼?且規格/要求應該包含什麼? 7. 人員的實體安全會包含那些議題? 8. 機房的實體安全,應該有那些管控?環境監控、火災、門禁、機櫃或主機本身 9. 紙本與電磁記錄的規範有那些? 10. 災難復原與營運持續的制定方式、流程與演練週期。 <br><br> 上面這些例子都只是幫助你去架構與組織條文內容,讓你更容易記憶。當我們看到一個條文項目時,應該試著去思考: * 什麼東西會適用這個條文?(資產) * 怎樣的管控實作,才能保證**管控的有效性**? * 這東西會產生記錄嗎? * 這東西會對應到什麼樣的風險?有被納入風險管理中嗎? <BR><span style="color:BLUE"> 祝,考試順利 :) </span> 13 年前寫的文章,現在都沒那個耐心寫這麼多字了:http://snoopyintw.blogspot.com/2008/01/iso-27001.html
×
Sign in
Email
Password
Forgot password
or
By clicking below, you agree to our
terms of service
.
Sign in via Facebook
Sign in via Twitter
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Wallet (
)
Connect another wallet
New to HackMD?
Sign up