2008/01/21

ISO 27001 上課和考試心得

最近看到書架上那厚厚一本27001 的講義,心血來潮決定把一些準備考試的訣竅給分享出來。
其實我在開始上課前,都還搞不太懂:27001, 27002, 17799, 7799, 7799-1, 7799-2 有什麼差別?一直到了開始上課後,蒲樹盛先生講解了才明瞭。所以也不用急著在上課前就要把那些東西的歷史、來龍去脈給搞的一清二楚,老師會很熱心的先講解,好讓我們可以進入狀況的:)
那些東西因為已經有很多前輩分享過了,我再寫一次也不會比較好。所以在此就只針對上課和準備考試這二塊來分享一下。

其實考試要通過並不難,重點只在於每一個條文的著眼點是什麼,要能夠很清楚。我覺得難的是在這麼短的期間內就要完全的吸收。
一個著眼點是今天學的東西不只是要通過考試,更是為了日後稽核時的一種訓練 -- 所以,有問題就問吧!
我上課的時候,我是裡面年紀最小的,有不懂或是覺得不清楚、模零兩可的地方都很主動地去問老師以及討論。透過這樣反覆不斷的正反驗證,一方面可以讓觀念更清楚,另一方面也可以讓印象更清析。會提這點是因為有些同學可能年紀什麼都比較大了也有些地位,反而不好意思跟老師討論而關門造車。
在這裡希望大家都能熱心學習,畢竟我們以前當學生不也是這樣嗎?如果還在學的階段就對條文和一些精神有過多主觀投射的話,我覺得日後在實際運用和稽核時必定會有負面的影響。
更何況如果我們都真的會了的話又何必去上課呢?:)反正不懂問了就好啦!

像我印象比較深的是:稽核時,能不能對控制方法質疑?因為一直聽到說要檢查什麼和檢查的精神是什麼?卻從來沒聽到過、與不過的標準為何?上完課下來,會產生:似乎有做就算過關的印象。後來和老師討論的結果是稽核員不能對控製的手法提出疑義,所以也不能去定義手法和計量的標準。
其實我理解稽核員的立場必須是超然且中立的,所以我也不應該會有類似的疑惑。但是我真的好奇的是:如果受稽核方採取的是無效的措施時該怎麼辦?
真的因為有措施且有實施,就能表示措施是有效的嗎?
我覺得這個問題,不只是將要或是有志成為稽核員的我們可以思考。
所有的IT人員,都應該思考和擴展這個議題。

然後每天回家都一定要會看書,這個我覺得很重要而且很有效。千萬不要因為可以open book 就不看書了 -.-"
其實並不用把每個控制目標給背起來,只要能知道適用情境就可以了。因為我覺得那才是重點 ^_^
我大概一天看個一小時,重點在看比較完整的內容(17799或是27002那本),而不要只看27001那本,因為說明和細節上會有所出入。(字多的比字少的講解詳細,是當然的吧… ^^"")
看書並不是為了把整個背起來,其實我惟一有背的部份是11個控制項目的標題而已
(就是這個項目是對象和目標是什麼)。
接下來就是每個項目裡面都有幾條條文,我覺得只要記住有幾條,然後條文的標題大概是講什麼。這邊只要一直翻,就算不用刻意去背也能默記起來。
這些是我覺得重要的,以我個人習慣的話會覺得這樣做比較好。

這樣做的一個原因當然是考試要用的時候比較好找 :p
再來就是因為我每天通勤坐火車去上課,當我在火車上的時候,就可以反覆去整理整個架構和裡面有那些條文。每天從第一個想到最後一個項目,然後再把每個項目裡面講些什麼再默想一次。
比方說:如果我發現我忘了11.1在講什麼的話,我就會把書拿出來,看一下、默記一下,再看一下然後收起來。。
這樣看,我是覺得很夠了。因為考試的時候我沒花什麼時候在想和找條文上面:)
另外老師上課的一些重點,千萬不要猶豫就把最大隻的紅筆拿出來就對了!

另外提供二個小撇步:
第一個小訣竅是我同學:藍貓先生教我的,就是書局中常常有賣小標籤紙(那種學生用來貼在書緣的)這樣翻書找東西會飛快哦 ;)
另外我的撇步就是去書局買那種小小的塑膠圈環
然後把原廠的講義拆成幾個比較小的部份。
因為會用到的就是那二本,拆小小的翻比較快,也比較方便囉

另外有關考試的部份,我會先建議後面那幾題中的保險分先拿!
就是那些基本資訊,一拿到考卷就可以先寫。如此一來才不致於寫到最後忙一忙就忘了。
另外也可以用這個機會先看過題目,先想一下。
然後才回去從頭寫選擇題。
雖然選擇題並不能塗改,不過我們可以先做個記號。
像我就有遇上一題不確定的,於是先寫好其他的部份。然後在題目後面打上一個大記號。
再用標籤紙註明還有一題沒寫後,再貼在桌子上。讓自已想忘都忘不了。
可能有些誇張,不過我就是比較健忘的人,用一張小貼紙來降低這個風險,已經很划算了。
剩下的部份就翻書吧!我覺得整個寫起來還蠻順的,時間也還好。
我會寫到最後十分鐘前才完成,只是因為有一個簡答題:完全沒看過。
翻書也找不到”鐵定”的答案,只能去找出可能的解答方向,然後就是寫上去。
建議答題的時候,如果遇到找不到課本上有照本宣科的東西就先跳過。
到最後,再去寫那些題目。
切記,”有寫一定比沒寫好”。
而且根據上課老師的說法:如果有題目要你列5個,就給他列七、八個。
這樣老師也可以選比較好的答案來給分。
我自已就列了不止七、八個 =.=”

最後如果有什麼地方是我可以幫忙的話,也可以mail 給我 一起討論 :)

§ 附帶提一下,那張證照真的超好看的,又有錶框…
5萬多的東西果然就是不同… =.=""

5 則留言:

昨天剛考完的人(你的學弟) 提到...

但是我真的好奇的是:如果受稽核方採取的是無效的措施時該怎麼辦?

以下是小弟的淺見:無效的措施就代表這個控制目標失效,基本上如果在驗證ISO27001的時候,這項無效的措施就是一項次要缺失,我想講師要表達的是稽核員不應對受稽方的管理方式提出意見與建議,舉例來說管控USB可有以下方法:貼封條/從BIOS關閉與回收BIOS Password/使用End Point管控軟體,控制措施是否有效就看稽核當時所得到的客觀證據與否,使用貼封條並不會代表控制無效(也需搭配嚴厲的罰則).

我上的課程也是BSI講師授課,只能說受益良多,希望能成為你的正式學弟(證照)

RedJack 提到...

你好,我和講師討論的結果也是如此。
所以在這個解度上,稽核員本身的經驗和專業知識就是一個重點了。
也因此準稽核員需要有一定的經驗後才能正式擁有主稽核員的資格。

謝謝你的意見 :)

婷婷 提到...

您好,因為即將也要去考主導稽核員的我,其實很害怕,因為我非資訊本科,但因公司主管指示所以必須去考,很怕講的東西我很難進入狀況,不知道有什麼好建議嗎?還是有什麼考古題或講義可以讓我先惡補一下嗎??實在太害怕了,感覺好專業 ....

RedJack 提到...

其實你不用擔心,這個並沒有妳想像中的那麼困難。
因為與其說學的是"iso27001的條文",不如說學的是"iso27001的規範與精神是什麼還有怎麼用它"。

就好像SOP,假設妳能知道在某一個場合下能夠想到:某某SOP有提這個,然後知道去那邊查到正確的SOP。這樣就夠了。
這不像學校考試,能清楚掌握問題的方向比較重要囉!

這個是沒有考古題可以看的,但是就像老師上課講的:那種特別重要的地方~~ 有記下來
然後上課的時候,注意一下每個章節方向、仔細比較一下每個條文的差異處與適用性。
接下來就是比open book 考試的技巧囉 :)

我是覺得不太需要,因為上課的時候都會發足夠的資料了
但是妳想先準備的話,可以去找CNS27001, 還有大陸有關27001的標準來看就可以了,基本上都是由iso27001翻譯來的。
但是版本可能要注意一下,每隔一段時間就會修定一些。

最後;這個真的一點都不難~~
真的~不用擔心囉!

RedJack 提到...

剛剛心血來潮,按了一下
原來是美女來的,真是受寵若驚..