2010年8月20日

ISO-27001心得

七月份的時候,去參加ISO-27001的相關課程,為期五天,最後一天就立刻測驗,成績及格之後,將發給證書,證明通過ISO-27001主導稽核員的課程。

上課的五天,內容算是很充實,也可以了解所謂的"稽核"是在做什麼的,對於所謂的"內控",有個新的了解;由於課程是針對資訊作業相關的稽核來敎授,所以其實對於資訊相關的事情還是最好有個概念比較好,但是如果單存當作是"稽核"來看,也不是說不能上,只能說沒有資訊的底子,對於稽核本文以及控制點裡面相關的定義會比較沒有概念而已,而且解讀面可能會有落差而已。

上課的過程,可能因為在工作經驗中,曾經有和稽核單位交手過,所以並不陌生,而且我發現可以有些了解稽核人員為什麼要問那樣的問題,算是對於稽核人員的工作有一個新的了解,不過我也想到,如果是我當稽核人員,我應該要怎麼稽核對方,我應該會..有點機車吧!!哈哈。

考試的時間,是最後一天的下午,考試時間是兩個小時,別看時間好像很多,外加可以Open Book就掉以輕心,實際上而言,如果你不了解書本內容,以及對條文裡面的意義,那其實看到題目可是會不知如何下手,開放性的問題,其實並不好答,因為就是因為是開放性的問題,你不知道要回答到什麼樣的內容才算是具體,另外,如果這幾天上課並沒有很專心的話,那對於條文內容的熟悉度又不夠,就容易發生找不到答案的狀況;一開始考的時候,我也本來以為沒什麼,但是作完第一大題之後,我頓時發現時間真的會不夠,如果對於考試的時間分配錯誤的話,則容易卡在某一大題,家上寫的內容如果不具體,就更容易心慌了。

基本上題型的部份分為三大題,第一大題是選擇外加填空題一共有十小題,第二大題是簡答題,一共有四小題,每題你要寫出題目規定的答案數量,所以如果小題中要你寫10個答案,那你就要找出40的答案,一個答案平均花30秒,算算看就花掉20分鐘了,第三大題是問答題,一共有三小題,題型就是給你一個狀況,然後你去找出缺失在哪裡,刺激吧!!如果不了解稽核點在那邊,根本不知道要怎麼翻書,而且就當作是你個稽核人員,你要去判斷這個問題,缺失的嚴重程度,而你所判斷的理由以及結果,就是決定你是否通過的因素。

所以算一算前面的題型,可以知道其實時間是很緊湊的,所以我寫到最後,真的覺得我自己好像是在鬼畫符,想到什麼就寫什麼,因為多寫不會扣分,算是個對我們有利的地方吧!!

考試結果,上星期打電話去詢問,PASS,可喜可賀啦!!不管這個證照的效益在哪裡,但是至少藉由課程當中,我獲得一些對於資訊管理以及資訊稽核的一些看法,算是收穫良多啊!!

沒有留言: