ISO課程個人理解

# ISO課程個人理解 ## 🧩 ISO 的角色 ISO 的工作其實很單純：它只負責制定標準，例如 ISO 27001、22301、9001。它不稽核企業、不發證書，也沒有官方課程、官方講師或教材，甚至沒有規定誰可以教。 ISO 會召集國際專家學者共同制定標準，並且依規定至少每五年進行一次「系統性審查」，用來決定是否需要維持現狀、修訂或撤銷現行版本。 ![image](https://hackmd.io/_uploads/ByOwTJwxZe.png) > 圖 1：ISO 27001 證照修訂生命週期 [^iso-lifecycle] ISO 是寫規則的人，但不是執行的人。 --- ## 🌍 國際互認：IAF 的角色 IAF（International Accreditation Forum）本身 **不負責制定 ISO 標準內容**，而是負責建立「管理系統驗證的國際互認架構」，包含多邊互認協議（IAF MLA）以及對各國認證機構（Accreditation Body, AB）的要求。各國的認證機構（AB）（例如：台灣 TAF、英國 UKAS、美國 ANAB、日本 JAB、澳洲／紐西蘭 JAS-ANZ 等），必須依照 IAF 的規範接受評鑑，確保它們認可 SGS、BSI、TUV 等驗證機構的方式大致一致。因此： > 不是 IAF 在規定 ISO 怎麼稽核，而是 IAF 確保「各國認證機構的標準一致」，讓不同國家發出的 ISO 管理系統證書可以透過 IAF MLA 在國際間互相承認。 --- ## 🇹🇼 台灣：TAF 的角色 TAF（財團法人台灣認證基金會）是台灣政府所指定、具有國家代表性的「認證機構（AB）」。依照 ISO/IEC 17011 與國際 IAF 規範，TAF 負責評鑑 SGS、BSI、TUV 等驗證機構（Certification Body, CB）的能力，並授予認證（Accreditation）。 TAF 不會直接去企業稽核，也不會自己發 ISO 證書。真正前往企業進行審查並核發 ISO 管理系統證書的，是 SGS、BSI、TUV 等驗證機構；而這些機構可以選擇使用 **TAF** 或 **其他國家認證機構（如 UKAS、ANAB、JAS-ANZ 等）** 的認可來發證。換句話說： > **TAF 是「驗證機構的評鑑者」，不是「企業的審查者」，也不是授權誰可以發 ISO 證書的主管機關。** 此外，TAF 的認可品質每年也會受到國際 IAF 的同儕審查（Peer Evaluation）。若認可流程未符國際規範，最嚴重可能導致 TAF 的 IAF 互認資格被暫停或取消，進而影響 **台灣企業取得的 ISO 證書是否能被國際承認**。 ![image](https://hackmd.io/_uploads/HyWaTA8xZx.png) > 圖 2：TAF 官網 ISO 27001 可認證機構清單[^taf-iso27001] --- ## 🏫 ISO 課程其實都是民間課程外面你看到的「ISO 課程」全部都是民間自行開設的： SGS、BSI、顧問公司、補習班、企業內訓、大學都可以開。課後發的證書只是「上課證明」，不具有官方資格效力。 ISO 沒有規定誰能教 ISO，也沒有官方認可的課程。 --- ## 🧾 CQI / IRCA 認證課程是什麼？ CQI / IRCA 不是 ISO，也不是 IAF，也不是官方指定的審核員制度。它是一個依照 **ISO/IEC 17024（個人認證制度）精神**所建立的「審核員資格登錄與課程認可平台」，提供： - 審核員登錄 - 訓練機構課程認可（Approved Training Partner, ATP） - 類似「審核員履歷庫」的功能世界上還有其他類似的民間審核員認證平台，例如： - Exemplar Global（美國／澳洲） - PECB（加拿大） - NRBPT（印度）因此 CQI / IRCA 並不是 ISO 的官方要求，也不是唯一標準，只是目前全球最常被使用、也最具知名度的審核員證照系統之一。 TKSG 對 CQI / IRCA 稽核員與主導稽核員註冊流程有詳細說明，可參考。[^tksg-irca] --- ## 👥 認證機構的審核員養成方式決定一個人能不能成為 SGS、BSI、TUV 等驗證機構（CB）的審核員，其實取決於： - **驗證機構依照 ISO/IEC 17021-1 所建立的內部審核員管理制度**（訓練、能力評估、見習、資格維持等） - **個人是否符合該驗證機構自己定義的能力要求** - **是否具備審核經驗與持續維持能力** 換句話說，審核員是否合格，是由驗證機構（CB）依照 17021-1 的要求自行管理與確認，而不是由 IRCA、PECB 或其他課程證書決定。課程證書（例如 IRCA Lead Auditor）可以作為能力參考，但 **不是必要條件，也不是 ISO 或 IAF 的強制規定**。 --- ## ⚖️ 資通安全管理法證照清單承認哪些與 ISO 相關的個人資格？因為 ISO 課程是完全自由市場，誰都可以開課、品質不一。資通安全管理法要的是「具備可驗證能力的審核員」，而不是「上過課的人」。因此在審核員資格上，法規承認的是： - **TAF 認可、並在 IAF MLA 架構下的驗證機構（CB，如 SGS、BSI、TCIC）所開立的審核相關課程證明** → 屬於企業證書體系的延伸，是因歷史沿革而保留下來的採認方式 - **國際性的個人審核員證照**（例如：CQI/IRCA、PECB、Exemplar Global） → 屬於 ISO/IEC 17024 類型的審核員個人認證體系 - **實務審核經驗要求**（例如一年至少參與兩次稽核） ![image](https://hackmd.io/_uploads/Sy8AzJvxbx.png) > 圖 3：資通安全證照認證清單中 ISO 類證照資格截圖[^cert-list] 一般補習班、顧問公司、企業內訓的 ISO 課程，只能算「上課證明」，不屬於正式審核員資格，因此不會被資通安全管理法採認。法規的目的在確認實際能力，而不是課堂出席率。 --- ## ⚖️ 資通安全管理法承認哪些與 ISO 相關的公司資格？全球每個國家都有自己的認可機構（AB），例如： - 台灣：TAF - 美國：ANAB - 日本：JAB - 英國：UKAS - 澳洲／紐西蘭：JAS-ANZ 這些認可機構都屬於 IAF 多邊互認協議（IAF MLA）之下，因此 **一般情況下**，由不同國家認可機構所認可的 ISO 27001 證書彼此互認。 --- ### ⚠️ 但資通安全管理法有「特別規定」：對 **企業的 ISO 27001 證書**，法規採取「限定採認」[^moda-670]： >資通安全責任等級分級辦法所規定ISMS取得公正第三方驗證，驗證證書須有TAF標誌。 - **企業的 ISMS（ISO 27001）驗證證書** → 法規明確要求：**必須使用 TAF 認可版本** （即使 UKAS、ANAB、JAB 版本在國際上有效，在台灣的資通安全法仍不採認） --- ## 🗺️ ISO 生態系架構圖示意圖 ```mermaid flowchart TB ISO["ISO （制定標準）"] IAF["IAF （全球互認規則）"] ISO --> IAF %% 各國認可機構 subgraph NABs ["各國認可機構(AB)"] direction LR TAF["TAF （台灣）"] ANAB["ANAB （美國）"] JAB["JAB （日本）"] UKAS["UKAS （英國）"] JASANZ["JAS-ANZ （澳洲／紐西蘭）"] end IAF --> NABs %% 認證機構 subgraph CBs ["認證機構(CB)"] direction TB SGS["SGS"] BSI["BSI"] TUV["TUV Rheinland"] end TAF --> CBs ANAB --> CBs JAB --> CBs UKAS --> CBs JASANZ --> CBs Company["企業 （被稽核者）"] Consultant["顧問公司 （協助導入）"] CBs --> Company Consultant --> Company ``` ## 🗺️ 審核員資格與訓練系統示意圖 ```mermaid flowchart TB %% 審核員與課程系統 subgraph AuditorSys["審核員與課程系統"] direction TB IRCA["IRCA （英國）"] Exemplar["Exemplar Global （美國／澳洲）"] PECB["PECB （加拿大）"] Auditor["審核員 （由認證機構培訓）"] end IRCA --> Auditor Exemplar --> Auditor PECB --> Auditor ``` --- ### 📚 參考資料與腳註 [^iso-lifecycle]: ISO 27001 證照修訂生命週期。官方查詢頁面：https://www.iso.org/standard/27001#lifecycle [^taf-iso27001]: TAF 台灣認可基金會管理系統認證機構名錄（ISO/IEC 27001）。官方查詢頁面：https://www.taftw.org.tw/directory/scheme/msv/ [^cert-list]: 資通安全證照認證清單中，ISO 證照資格擷取自官方公告文件。此清單用於《資通安全責任等級分級辦法》之資格判定。 https://moda.gov.tw/ACS/laws/certificates/676 [^tksg-irca]: TKSG，《CQI / IRCA 稽核員／主導稽核員註冊說明》，https://www.tksg.global/mod/page/view.php?id=26148 [^moda-670]: 數位發展部《資通安全責任等級分級辦法 FAQ》第 4.17 題，說明 ISMS 必須取得具 TAF 標誌之公正第三方驗證。https://moda.gov.tw/ACS/laws/faq/04/670