ISO 27001：2022資訊安全管理系統主導稽核員-上課心得

以下僅供參考，不代表正確答案!

(1).解釋何謂能力:(7.2)
指的是利用所學的知識及技能等，用來完成特定活動之本領。

(2).什麼是稽核準則?
用作依據的一組法律、程序或要求，通常會拿稽核準則與客觀證據做比對
舉例:本次稽核準則使用ISO/IEC 27001:2022

什麼是稽核範圍?
稽核範圍一般指的是實體/虛擬位置、組織單位、活動、過程及時程的描述
舉例:本次稽核範圍為資訊室及資訊資房

哪裡談稽核方案?(9.2.2)
規劃稽核方案要如何
當建立稽核方案時，組織應該要關注 重要過程 及 前次稽核過程 納入考量。

(3).請舉出4個條款，最高管理階層需要參與的會議或是討論
最高管理階層 (top management) – 於最高層級指導與控制組織之個人或一群人

5.1領導及承諾 – (a) 確保已建立資訊安全政策及資訊安全目標，並與組織之策略方向相容
– 透過訪談最高階層瞭解組織策略
5.2 政策
– 政策文件作為證據
5.3 組織角色、責任及權限 – 最高管理階層應確保資訊安全相關角色之責任及權限已指派並傳達 (會議記錄)
– 對應會議記錄或宣導紀錄
9.3 管理審查 –最高管理階層應於規劃之期間，審查組織之資訊安全管理系統，以確保其持續的合宜性、適切性及有效性
– 對應之審查紀錄

(4).什麼是風險分析?
分析當風險發生時，可能導致潛在後果及實際的可能性

什麼是風險評估?
訂定已分析風險之風險優先處理的順序

哪裡不一樣?
風險分析:是分析風險發生時可能導致潛在後果
風險評估:是決定風險發生時處理的優先順序
兩個是順序性的，先有分析才有評估

(5).修正、矯正、預防 差在哪裡 請舉個例子
修正:消除所發現不符合的行動
舉例:針對弱點掃描發現的漏動做修正

矯正:消除所發現不符合的根本原因，並避免再度發生
舉例:針對社交工程演練中獎同仁名單做教育訓練，避免再度發生

預防:在事情還沒有發生之前先做處理，以避免問題的發生
舉例:在每台電腦中安裝防毒軟體，避免電腦發生中毒

(6).在起始會議結束後，帶稽核員看公司發展的影片，並在影片結束後實際在廠區走走，
請提出5個回應，可不可以
(回答時引用27001, 19001)
1.不可以。[5.5.5 (f)]當初稽核組長與受稽方排定好的稽核計畫中，沒有該項行程，如若執行該項行程，會照成稽核計畫沒辦法如期完成
2.不可以。[5.5.7(a)]因為該行程是額外多出來的，如果執行該行程，會照成稽核目標沒辦法完成，而沒辦法發證
3.[4.2]瞭解組織文化：透過觀看錄影帶，稽核員可以更深入地了解組織的文化，例如組織對於品質管理的重視程度、員工的價值觀等等，這些都是稽核員需要掌握的資訊，以便於之後的稽核工作中更有效地評估組織的風險及控制措施。
4.[7.4]溝通組織的需求：透過觀看錄影帶，稽核員可以更好地理解組織的需求，以便於在稽核工作中更有效地與組織溝通，並確保稽核報告符合組織的期望及要求。
5.[9.2.2]提供改進建議：透過觀看錄影帶，稽核員可以識別出組織的潛在問題，並提供改進建議，以便組織能夠更好地符合ISO 27001標準的要求，提高資訊安全管理水準。同時，稽核員也可以根據ISO 19011的要求，確保其提供的建議具有可行性和實用性，以便組織能夠實現改進。

(7).稽核前準備的文件有哪些，請舉出一個例子，
請概念描述4個如何應用
(在稽核過中如何使用，為何對稽何有用)
在稽核前先準候文件有:
-取得受稽方的資訊安全管理系統文件
-在兩週前發出稽核計畫
-製作稽核查檢表
-製作起始會議的簡報

在稽核時先行請受稽方提供相關資訊安全管理系統文件，
並了解受稽方所提供之文件化資訊。

在兩週前先行確認稽核通知，
以確保兩週後的稽核活動能順利執行。
在稽核進行中，
可以依照稽核查檢表進行提問，
以確保在有效的時間內可以完成稽核。

在起始會議時，
依據簡報內容大致說明這幾天的稽核內容、流程等重要事項。

(8).請提出結束會議需要討論的議題(參考19001)，請舉3個，並描述報告稽核發現矯正

(a) 指明蒐集到的稽核證據係以可取得資訊之樣本為基礎，並且不一定完全代表受稽核者過程的整體有效性。
(b) 報告的方法。報告後
(c) 如何根據議定之過程處理稽核發現。
(d) 未充分處理稽核發現的可能後果。
(e) 以可被受稽核者管理階層瞭解與認同的方式提出稽核發現與結論。
(f) 任何有關的稽核後活動 (例：實施與審查矯正措施、處理稽核抱怨、申訴的過程)。

其他參考:
https://hackmd.io/@ywchangt/By-TJU2Zi