# ISO 課程、審核員資格與認證體系:台灣實務整理 許多人以為花幾萬元上完 ISO 課程,就能成為官方認可的「主導稽核員」;或是以為 ISO 會派人來公司發證書。其實,這背後牽涉到一個龐大且嚴謹的國際互認生態系。這篇文章將帶你一次搞懂 ISO、IAF、TAF 的差異,並破解市面上常見的 ISO 課程迷思。 > ℹ️ **聲明**:本文純粹是個人學習整理,目的是釐清 ISO 認證體系的架構與運作方式。文中引用的公司案例皆來自官方公開資訊,僅作為「如何判讀證書」的教學範例,不涉及對任何機構或企業的評價。 ## 🧩 ISO 的角色 ISO 的工作其實很單純:它只負責制定標準,例如 ISO 27001、22301、9001。 它不稽核企業、不發證書,也沒有官方課程、官方講師或教材,甚至沒有規定誰可以教。 ISO 會召集國際專家學者共同制定標準,並且依規定至少每五年進行一次「系統性審查」, 用來決定是否需要維持現狀、修訂或撤銷現行版本。 ![image](https://hackmd.io/_uploads/ByOwTJwxZe.png) > 圖 1:ISO 27001 證照修訂生命週期 [^iso-lifecycle] ISO 是寫規則的人,但不是執行的人。 --- ## 🌍 國際互認:IAF 的角色 IAF(International Accreditation Forum)本身 **不負責制定 ISO 標準內容**,而是負責建立「管理系統驗證的國際互認架構」,包含多邊互認協議(IAF MLA)以及對各國認證機構(Accreditation Body, AB)的要求。 各國的認證機構(AB)(例如:台灣 TAF、英國 UKAS、 美國 ANAB、日本 JAB、澳洲與紐西蘭 JAS-ANZ 等),必須依照 IAF 的規範接受評鑑,確保它們認可 SGS、BSI、TUV 等驗證機構的方式大致一致。 因此: > 不是 IAF 在規定 ISO 怎麼稽核,而是 IAF 確保「各國認證機構的標準一致」,讓不同國家發出的 ISO 管理系統證書可以透過 IAF MLA 在國際間互相承認。 > ℹ️ **補充**:IAF 與 ILAC(國際實驗室認證聯盟)自 2019 年起推動合併,已於 2024 年 12 月在紐西蘭註冊為「全球認證合作組織(Global Accreditation Cooperation Incorporated)」,預計 2026 年起正式運作,2029 年起全面取代 IAF MLA 與 ILAC MRA 標記[^taf-gaci]。但截至本文撰寫時仍在過渡期,TAF 已具正會員資格,原有簽署的國際相互承認協議不受影響。本文仍以「IAF」稱之。 --- ## 🇹🇼 台灣:TAF 的角色 TAF(財團法人台灣認證基金會)是台灣政府所指定、具有國家代表性的「認證機構(AB)」。 依照 ISO/IEC 17011 與國際 IAF 規範,TAF 負責評鑑 SGS、BSI、TUV 等驗證機構(Certification Body, CB)的能力,並授予認證(Accreditation)。 TAF 不會直接去企業稽核,也不會自己發 ISO 證書。 真正前往企業進行審查並核發 ISO 管理系統證書的,是 SGS、BSI、TUV 等驗證機構;而這些機構可以選擇使用 **TAF** 或 **其他國家認證機構(如 UKAS、ANAB、JAS-ANZ 等)** 的認可來發證。 換句話說: > **TAF 是「驗證機構的評鑑者」,不是「企業的審查者」, 也不是授權誰可以發 ISO 證書的主管機關。** 此外,TAF 的認可品質每年也會受到國際 IAF 的同儕審查(Peer Evaluation)。 若認可流程未符國際規範,最嚴重可能導致 TAF 的 IAF 互認資格被暫停或取消,進而影響 **台灣企業取得的 ISO 證書是否能被國際承認**。 延伸閱讀新聞: [如果BSI和SGS核發的ISO 27001證書,沒有全國認證基金會TAF標誌,還有效嗎?](https://www.ithome.com.tw/news/133528) ![image](https://hackmd.io/_uploads/HyWaTA8xZx.png) > 圖 2:TAF 官網 ISO 27001 可驗證機構清單[^taf-iso27001] --- ## 🔍 如何查詢哪些 CB 可以在 TAF 認可下發證? TAF 官網提供認可名錄查詢,可以查到每一家驗證機構(CB)目前在 TAF 認可範圍內可以發哪些標準的證書: - 管理系統驗證機構名錄:https://www.taftw.org.tw/directory/scheme/msv/ - 個別 CB 的認可項目(scope)可在名錄中點進去查看 例如: - **SGS 台灣(MS001)**:TAF scope 列出 ISO 9001、14001、45001、22000、27001、50001[^taf-ms001] - **BSI 台灣(MS004)**:TAF scope 列出 ISO 9001、45001、27001[^taf-ms004] ### 📋 台灣目前 TAF 認可的管理系統驗證機構一覽 截至本文撰寫時,TAF 認可的管理系統驗證機構共有 9 家: | 編號 | 名稱 | 背景簡介 | |:-----|:-----|:---------| | MS001 | **SGS 台灣**(台灣檢驗科技) | 瑞士總部,全球最大驗證機構之一,台灣最常見的 CB | | MS004 | **BSI 台灣**(英國標準協會) | 英國老牌,ISO 標準的制定參與者之一,台灣市場常見 | | MS012 | **法標國際**(AFNOR) | 法國標準協會集團(AFNOR Group)旗下 | | MS013 | **環奧國際(TCIC)** | 總部在加拿大,台灣本土團隊運營,專精資安領域,發出台灣第一張 ISO 27001 證書 | | MS017 | **亞瑞仕(ARES)** | 台灣本土 CB,台南起家,近 20 年經驗,也做碳盤查和 ESG 相關驗證 | | MS020 | **台灣商品檢測驗證中心(ETC)** | 財團法人,偏向商品檢測與實驗室認證,也涵蓋無人機資安等特殊領域 | | MS031 | **TÜV NORD 台灣** | 德國北德技術監護集團 | | MS034 | **愛台灣驗證(AiTC)** | 台灣本土品牌,專注 ISO 27001 ISMS 驗證 | | MS035 | **通用國際驗證** | 較新的本土 CB | ### ⚠️ 「CB 有提供某標準驗證服務」≠「該 CB 台灣法人在 TAF 認可範圍內可發該標準證書」 以 ISO 27701 和 ISO 22301 為例: SGS 和 BSI 的官網都有提供這兩個標準的驗證服務,新聞稿也看得到實際發證案例(例如立榮航空通過 BSI 的 ISO 27701 驗證[^uniair-27701]、高雄銀行通過 SGS 的 ISO 22301 驗證[^kaohsiung-22301])。 但如果你去查這兩家台灣法人的 TAF 認可範圍,目前都**沒有列出 27701 和 22301**。 這代表那些證書很可能是掛其他國家 AB 的認可標誌(例如 UKAS、ANAB)來發的,而不是掛 TAF。 要理解這個現象,問題要拆成兩層: 1. **TAF 有沒有開放這個認證方案?** 2. **CB 有沒有去向 TAF 申請並取得認可?** #### ISO 27701 的狀況 TAF 已於 2024 年 12 月 31 日公告開放「隱私資訊管理系統驗證方案」(ISO/IEC 27701)之認證制度,並自 2025 年 2 月 1 日起受理申請[^taf-27701]。 也就是說 TAF 這扇門已經開了。如果你在名錄上查不到某家 CB 有 27701,比較合理的解讀是**該 CB 還沒申請或還沒取得**,而不是 TAF 不給發。 > ℹ️ **標準動態**:ISO/IEC 27701 已於 2025 年 10 月發布新版,從原本必須依附 ISO 27001 的延伸標準,變為**可獨立驗證的管理系統標準**。這是重大改變,未來企業可以單獨導入 27701 而不需要先取得 27001。TAF 認證方案是否同步調整,需留意後續公告。 #### ISO 22301 的狀況 目前(2025 年 4 月查詢)沒有查到像 27701 那樣明確的「現行開放公告」,因此無法判定是 TAF 尚未開放這個認證方案,還是已開放但沒有 CB 取得並顯示在名錄裡。 #### CB 不一定要走 TAF CB 也可以走其他國家的 AB 來發證。例如 SGS 的 ISO 27701 服務可在 UKAS 與 ANAB 認可下提供,BSI 也有掛 ANAB。所以在 TAF 查不到,不代表那家 CB 不能發,只代表不是用「台灣 TAF 認可」這條路在發。 > 💡 **判讀原則**:「TAF 名錄查不到某標準」有三種可能——TAF 尚未開放該認證方案、CB 尚未向 TAF 申請取得認可、或 CB 是走其他 AB 認可來發證。不能直接劃等號說「不能發」。 ### 🔎 如何驗證一張 ISO 證書的認可狀態? 1. 看證書上有沒有 AB 標誌(例如 TAF、UKAS、ANAB) 2. 確認發證單位是哪個法人實體(有時是集團別國法人發的,不一定是台灣分公司) 3. 到 [IAF CertSearch](https://www.iaf.nu/iaf-certsearch/) 查公司名或證書號,確認標準、CB、AB、有效狀態是否對得上 #### 實際案例:同一家 CB 發的證書,AB 標誌可能完全不同 這裡用幾張公開可查的證書來示範怎麼判讀,純粹作為學習如何閱讀證書的參考: 以台灣資服(TIST)為例[^tist-cert],兩張證書都是 TÜV NORD 發的,但仔細看左下角: - **ISO 27001 證書**:有 IAF + TAF(MS031)標誌 → 屬於 TAF 認可範圍內的認證證書 - **ISO 27701 證書**:沒有任何 AB 標誌 → 這代表該證書是由 TÜV NORD 自行發出,不在任何認證機構(AB)的認可範圍內 再看集保結算所(TDCC)的 ISO 22301 證書[^tdcc-cert],是 BSI 發的,左下角掛的是 **ANAB**(美國的認證機構),不是 TAF。 > 💡 **沒有 AB 標誌不代表證書「假的」或「無效」**,CB 本身仍然具備專業稽核能力,企業也確實經過了審查。差別在於:有 AB 標誌的證書代表該驗證活動受到認證機構的監督與認可,具備國際互認的基礎;沒有 AB 標誌的則不在這個互認架構內。如果你的場景需要「TAF 認可的證書」(例如資通安全管理法的要求),就必須確認證書上確實有 TAF 標誌,不能只看到有證書就以為符合。 --- ## 🏫 ISO 課程其實都是民間課程 外面你看到的「ISO 課程」全部都是民間自行開設的:SGS、BSI、顧問公司、補習班、企業內訓、大學都可以開。 課後發的證書只是「上課證明」,不具有官方資格效力。ISO 沒有規定誰能教 ISO,也沒有官方認可的課程。 --- ## 🧾 CQI / IRCA 認證課程是什麼? CQI / IRCA 不是 ISO,也不是 IAF,也不是官方指定的審核員制度。 它是一個依照 **ISO/IEC 17024(個人認證制度)精神**所建立的「審核員資格登錄與課程認可平台」,提供: - 審核員登錄 - 訓練機構課程認可(Approved Training Partner, ATP) - 類似「審核員履歷庫」的功能 世界上還有其他類似的民間審核員認證平台,例如: - Exemplar Global(美國與澳洲) - PECB(加拿大) - NRBPT(印度) 因此 CQI / IRCA 並不是 ISO 的官方要求,也不是唯一標準,只是目前全球最常被使用、也最具知名度的審核員證照系統之一。 TKSG 對 CQI / IRCA 稽核員與主導稽核員註冊流程有詳細說明,可參考。[^tksg-irca] ### 📊 訓練證書 ≠ 註冊資格:IRCA 等級制度 台灣市場上常見的誤解是:上完主導稽核員訓練課程 = 取得主導稽核員資格。 事實上,CQI/IRCA 的稽核員等級是分層的,每一級都有明確的經驗門檻: | IRCA 等級 | 訓練要求 | 稽核經驗要求 | |:----------|:---------|:-------------| | **Associate Auditor** | 完成 IRCA 認證課程 | 不需要任何稽核經驗 | | **Auditor** | 完成 IRCA 認證課程 | 至少 4 次完整稽核、累計 20 天、其中 15 天 on-site | | **Lead Auditor** | 完成 IRCA 認證課程 | 在 Auditor 基礎上,另須帶隊主導至少 3 次完整稽核、累計 15 天、其中 10 天 on-site | | **Principal Auditor** | 完成 IRCA 認證課程 | 更多帶隊經驗 + 高階稽核 | 換算下來,真正的 IRCA Lead Auditor 需要累計 **7 次稽核、35 天稽核時數、25 天 on-site**,其中至少 3 次要帶領團隊。 也就是說,大部分上完課拿到訓練證書的人,在 IRCA 的分級中其實對應的是 **Associate Auditor**(不需要任何稽核經驗即可註冊),而非 Lead Auditor。 #### 台灣市場現狀 這個落差之所以長期存在,是因為市場各方都缺乏主動釐清的誘因: - **課程機構**:課程名稱通常叫「主導稽核員訓練班」,但不一定會在宣傳中清楚說明「完成訓練」與「取得 IRCA 註冊資格」之間的差距,學員容易自行解讀為已取得資格。 - **學員**:花了數萬元上課後,在履歷或公司內部說「完成訓練課程」的存在感,確實不如直接說「取得主導稽核員」來得直覺,這也是人之常情。 - **企業**:實務上需要的往往是合規文件。當主管機關或客戶問「有沒有培養稽核員?」時,訓練證書通常就足以交差,至於持證者是否真的具備帶隊稽核的經驗,較少被深入追問。 - **顧問公司**:市場上顧問輔導的報價從數萬到數百萬都有,品質落差極大。有些顧問會根據企業現況量身規劃制度,也有些做法是直接提供其他客戶已建好的文件範本,改掉公司名稱和基本資訊後就交付使用。這種做法雖然能快速通過驗證,但企業人員可能對自己的管理制度一知半解,後續維運容易流於形式。 #### 如何精確描述自己的資格 | 描述方式 | 精確度 | |:---------|:------:| | 「ISO 27001 主導稽核員」 | ⚠️ 容易讓人誤解已有註冊資格或稽核經驗 | | 「完成 ISO 27001 主導稽核員訓練課程(CQI/IRCA 認證)」 | ✅ 精確 | | 「ISO 27001 LAC(Lead Auditor Course)」 | ✅ 精確且簡潔 | > ⚠️ 「主導稽核員」不是法律保護的頭銜(不像醫師、律師、會計師),台灣沒有法規規定必須在 IRCA 註冊才能自稱。但如果沒有實際稽核經驗,使用這個頭銜在面對國際客戶或外國同業時可能造成誤解。 --- ## 👥 驗證機構的審核員養成方式 決定一個人能不能成為 SGS、BSI、TUV 等驗證機構(CB)的審核員,其實取決於: - **驗證機構依照 ISO/IEC 17021-1 所建立的內部審核員管理制度**(訓練、能力評估、見習、資格維持等) - **個人是否符合該驗證機構自己定義的能力要求** - **是否具備審核經驗與持續維持能力** 換句話說,審核員是否合格,是由驗證機構(CB)依照 17021-1 的要求自行管理與確認,而不是由 IRCA、PECB 或其他課程證書決定。 課程證書(例如 IRCA Lead Auditor)可以作為能力參考,但 **不是必要條件,也不是 ISO 或 IAF 的強制規定**。 --- ## ⚖️ 資通安全管理法證照清單承認哪些與 ISO 相關的個人資格? 因為 ISO 課程是完全自由市場,誰都可以開課、品質不一。 資通安全管理法要的是「具備可驗證能力的審核員」,而不是「上過課的人」。 因此在審核員資格上,法規承認的是: - **已簽署 IAF MLA(ISO/IEC 27006 範圍)的認證機構(含 TAF)所認可的 ISMS 驗證機構,其開立的審核相關課程證明** → 這裡的「含 TAF」代表 TAF 是合格的認證機構之一,但不是唯一選項。只要是 IAF MLA 簽署成員(如 UKAS、ANAB、JAB 等)認可的 CB 都符合資格 - **國際性的個人審核員證照**(例如:CQI/IRCA、PECB、Exemplar Global) → 屬於 ISO/IEC 17024 類型的審核員個人認證體系 - **實務審核經驗要求**:Lead Auditor 相關證照除了需維持有效性外,每年還須提供至少 2 次實際參與該證照內容有關的稽核經驗證明 ![image](https://hackmd.io/_uploads/Sy8AzJvxbx.png) > 圖 3:資通安全證照認證清單中 ISO 類證照資格截圖[^cert-list] 一般補習班、顧問公司、企業內訓的 ISO 課程,只能算「上課證明」,不屬於正式審核員資格,因此不會被資通安全管理法採認。 法規的目的在確認實際能力,而不是課堂出席率。 --- ## ⚖️ 資通安全管理法承認哪些與 ISO 相關的公司資格? 全球每個國家都有自己的認可機構(AB),例如: - 台灣:TAF - 美國:ANAB - 日本:JAB - 英國:UKAS - 澳洲與紐西蘭:JAS-ANZ 這些認可機構都屬於 IAF 多邊互認協議(IAF MLA)之下, 因此 **一般情況下**,由不同國家認可機構所認可的 ISO 27001 證書彼此互認。 --- ### ⚠️ 但資通安全管理法有「特別規定」: 對 **企業的 ISO 27001 證書**,法規採取「限定採認」[^moda-670]: >資通安全責任等級分級辦法所規定ISMS取得公正第三方驗證,驗證證書須有TAF標誌。 - **企業的 ISMS(ISO 27001)驗證證書** → 法規明確要求:**必須使用 TAF 認可版本** (即使 UKAS、ANAB、JAB 版本在國際上有效,在台灣的資通安全法仍不採認) --- ## 💰 ISO 標準文件要付費才能看 ISO 標準文件必須從 [ISO 官網](https://www.iso.org/) 或各國國家標準機構購買,大部分標準一份要價 100~200 瑞士法郎(約新台幣 3,500~7,000 元)。ISO 本身的營收有相當比例來自標準文件的銷售與授權金[^iso-paywall]。 ### 為什麼 ISO 要收費? ISO 不是政府機關,也不像 NIST 有國家預算支撐。每一份標準的制定過程都需要召集來自世界各國的專家學者,經過多年的會議、草案、審查、投票才能定稿發布。這些專家的差旅、會議運作、秘書處維護、以及至少每五年一次的系統性審查,都需要經費支撐。標準文件的銷售收入是 ISO 維持這套國際標準制定機制的主要財源之一。 換句話說,ISO 收費的邏輯是:**你買的不只是一份文件,而是背後整套國際專家共識的產出成本**。 ### 🔥 但也有不少批評聲音 儘管如此,國際上對 ISO 付費模式有持續的批評。主要論點是:當標準被法規要求遵循時,付費才能閱讀等於把法律鎖在付費牆後面,對學生和小型企業不利。相較之下,NIST、IETF、W3C 等組織的標準文件全部免費公開[^hn-paywall]。CircleID 上甚至有一篇文章直接以〈NIST as a Cyber Threat Actor〉為題,批評 NIST 引用大量需付費的 ISO 標準,導致使用者要花超過 1,500 美元才能看完所有被引用的文件[^nist-threat]。 ### ⚠️ 非官方來源的風險 因為正版要付費,實務上很多人會從網路上下載非官方版本。這帶來一個隱藏風險:**如果有人放了一份被竄改或過期的版本,使用者可能在不知情的狀況下依據錯誤的內容來建置管理系統**。 對於企業導入和稽核來說,這種資訊落差可能造成實質影響。因此如果你需要依據 ISO 標準來做事,建議: 1. 確認你手上的版本是否為最新版(可到 [ISO 官網](https://www.iso.org/) 查標準的發布日期與版本號) 2. 優先使用正式購買或機構授權的版本 3. 如果預算有限,可以先參考 NIST 對應的免費文件(例如 NIST SP 800-53 對應 ISO 27001 的控制措施概念),再對照 ISO 標準補齊差異 ### 🇹🇼 台灣的替代方案:國家標準(CNS)線上全文閱覽 ISO 官網只提供標準文件的前幾章(約到第 3 章)作為免費預覽(Sample),完整內容需要付費購買。 但台灣的經濟部標準檢驗局(BSMI)有與 ISO 合作,將部分 ISO 標準翻譯為對應的中華民國國家標準(CNS)。例如 ISO/IEC 27001 對應的是 CNS 27001。這些翻譯版本可以在 [國家標準(CNS)網路服務系統](https://www.cnsonline.com.tw/) 上**免費線上全文閱覽**(需註冊帳號),如果需要下載 PDF 則只要花幾百塊台幣。 對於想看完整標準內容但預算有限的人來說,這是一個合法且實用的管道。 > 💡 **注意**:CNS 版本是中文翻譯版,使用上有幾點要留意: > - **翻譯時程不即時**:因為是由國家機構委託翻譯,更新速度會晚於 ISO 原版。例如 ISO/IEC 27701 在 CNS 系統上雖然有對應版本(CNS X6140,109 年 12 月 14 日發布),但目前尚未看到對應最新版的翻譯。 > - **編號不一定完全對應**:有些標準 ISO 編號會直接對應 CNS 編號(例如 ISO 27001 → CNS 27001),但有些不同,例如 ISO 9001 對應的是 **CNS 12681** 而非 CNS 9001。查詢時如果用 ISO 編號找不到,建議改用標準名稱搜尋。 > > ![image](https://hackmd.io/_uploads/H1kg_xv3Zl.png) > 圖:CNS 網站查詢結果,可見 ISO 9001 對應的 CNS 編號為 12681 而非 9001 > - **用語差異**:中文翻譯的用語可能與英文原版略有出入,如果是要做國際稽核或與外國客戶溝通,仍建議以 ISO 英文原版為準。 --- ## 🤝 顧問公司的角色 在 ISO 生態系中,除了 AB(認證機構)和 CB(驗證機構),還有一個常見但容易混淆的角色:**顧問公司**(Consulting Firm)。 顧問公司的工作是**協助企業導入管理系統**,例如幫你做差距分析、建立文件、規劃流程、準備稽核。但顧問公司本身不發 ISO 證書,發證是 CB 的工作。 常見的 ISO 顧問公司包括四大會計師事務所的管理顧問部門(如 KPMG、Deloitte、EY、PwC),以及各種專精資安或品質管理的中小型顧問公司。 ### ⚠️ 顧問公司和驗證機構不能是同一家 根據 ISO/IEC 17021-1 的規範,**驗證機構(CB)不能對自己輔導過的客戶進行驗證**,這就是所謂的「球員兼裁判」問題。TAF 也明確指出,驗證公司不能與顧問輔導公司有聯合行銷的行為。 實務上的做法是:如果你請 SGS 的顧問團隊協助導入,驗證就要找 BSI 或其他 CB 來做,反之亦然。這樣才能確保驗證的獨立性與客觀性。 ### ❓ 常見 Q&A **Q:一定要請顧問公司嗎?** A:不一定。ISO 標準並沒有規定企業必須聘請顧問才能導入或取得驗證。如果組織內部有足夠的專業人力和時間,完全可以自己讀標準、建制度、準備稽核。顧問公司的價值在於節省摸索時間和降低導入風險,但不是必要條件。 **Q:顧問公司輔導完,一定會通過驗證嗎?** A:不保證。驗證是否通過取決於 CB 的稽核員依據標準進行獨立判斷,不是顧問公司能決定的。如果有顧問公司「保證通過」,反而要留意是否有球員兼裁判的疑慮。 **Q:CB 自己可以當顧問嗎?** A:CB 可以提供教育訓練課程(例如 ISO 27001 LA 課程),但不能對同一個客戶同時提供輔導顧問和驗證服務。部分大型 CB(如 SGS、BSI)內部會把顧問和驗證的業務分開,但對同一客戶仍須避免利益衝突。 --- ## 🗺️ ISO 生態系架構圖示意圖 > ℹ️ 以下為概念示意圖,用於幫助理解各機構之間的角色關係,並非正式治理架構圖。 ```mermaid flowchart TB ISO["ISO<br/>(制定標準)"] IAF["IAF<br/>(全球互認規則)"] ISO --> IAF %% 各國認可機構 subgraph NABs ["各國認可機構(AB)"] direction LR TAF["TAF<br/>(台灣)"] ANAB["ANAB<br/>(美國)"] JAB["JAB<br/>(日本)"] UKAS["UKAS<br/>(英國)"] JASANZ["JAS-ANZ<br/>(澳洲與紐西蘭)"] end IAF --> NABs %% 驗證機構 subgraph CBs ["驗證機構(CB)"] direction TB SGS["SGS"] BSI["BSI"] TUV["TUV Rheinland"] end TAF --> CBs ANAB --> CBs JAB --> CBs UKAS --> CBs JASANZ --> CBs Company["企業<br/>(被稽核者)"] Consultant["顧問公司<br/>(協助導入)"] CBs --> Company Consultant --> Company ``` ## 🗺️ 審核員資格與訓練系統示意圖 ```mermaid flowchart TB %% 審核員與課程系統 subgraph AuditorSys["審核員與課程系統"] direction TB IRCA["IRCA<br/>(英國)"] Exemplar["Exemplar Global<br/>(美國與澳洲)"] PECB["PECB<br/>(加拿大)"] Auditor["審核員<br/>(由驗證機構培訓)"] end IRCA --> Auditor Exemplar --> Auditor PECB --> Auditor ``` --- ### 📚 參考資料與腳註 [^iso-lifecycle]: ISO 27001 證照修訂生命週期。官方查詢頁面:https://www.iso.org/standard/27001#lifecycle [^taf-iso27001]: TAF 台灣認證基金會管理系統驗證機構名錄(ISO/IEC 27001)。官方查詢頁面:https://www.taftw.org.tw/directory/scheme/msv/ [^cert-list]: 資通安全證照認證清單中,ISO 證照資格擷取自官方公告文件。此清單用於《資通安全責任等級分級辦法》之資格判定。 https://moda.gov.tw/ACS/laws/certificates/676 [^tksg-irca]: TKSG,《CQI/IRCA 稽核員與主導稽核員註冊說明》,https://www.tksg.global/mod/page/view.php?id=26148 [^moda-670]: 數位發展部《資通安全責任等級分級辦法 FAQ》第 4.17 題,說明 ISMS 必須取得具 TAF 標誌之公正第三方驗證。https://moda.gov.tw/ACS/laws/faq/04/670 [^taf-ms001]: SGS 台灣 TAF 認可項目查詢:https://accreditation.taftw.org.tw/taf/public/basic/viewApplyItems.action?unitNo=MS001&language=ZH_TW [^taf-ms004]: BSI 台灣 TAF 認可項目查詢:https://accreditation.taftw.org.tw/taf/public/basic/viewApplyItems.action?unitNo=MS004&language=ZH_TW [^taf-27701]: TAF 公告「開放隱私資訊管理系統驗證方案認證服務」:https://www.taftw.org.tw/news/latest-news/TSTafNews-000739/ [^iso-paywall]: The Register,〈Tech spec experts seek allies to tear down ISO standards paywall〉,2021。https://www.theregister.com/2021/07/31/iso_paywall_battle/ [^nist-threat]: CircleID,〈NIST as a Cyber Threat Actor〉,2023。https://circleid.com/posts/20230525-nist-as-a-cyber-threat-actor [^hn-paywall]: Hacker News 討論串〈ISO obstructs adoption of standards by paywalling them〉。https://news.ycombinator.com/item?id=26390040 [^uniair-27701]: 台灣好報,〈守住資安、也守護隱私!立榮航空通過 ISO 27001、27701 雙認證〉,2026。https://newstaiwan.net/2026/01/29/404697/ [^kaohsiung-22301]: 工商時報,〈高雄銀行獲頒 ISO 22301 認證 數位防禦力全面升級〉,2026。https://tw.stock.yahoo.com/news/%E9%AB%98%E9%9B%84%E9%8A%80%E8%A1%8C%E7%8D%B2%E9%A0%92iso-22301%E8%AA%8D%E8%AD%89-%E6%95%B8%E4%BD%8D%E9%98%B2%E7%A6%A6%E5%8A%9B%E5%85%A8%E9%9D%A2%E5%8D%87%E7%B4%9A-092506837.html [^tist-cert]: 台灣資服,〈2023年6月通過 ISO 27001 及 ISO 27701 證書續證〉。https://www.tist.com.tw/mold01_20230802.html [^tdcc-cert]: 集保結算所,〈集保結算所取得 ISO 22301 營運持續管理系統證照〉,2020。https://www.tdcc.com.tw/portal/zh/news/content/402897967675418f0176b1309ce3001e [^taf-gaci]: TAF 認證報導第 56 期,〈全球認證合作組織(合併 ILAC、IAF)之進展及影響〉,2025。https://www.taftw.org.tw/report/2025/56/GACI/