資策會•數位教育研究所•科技化服務(ITeS)中心
   
       
 
 
         
   
◆ 資訊安全 相關議題

隨著資訊安全市場需求的不斷提高及資安問題的層出不窮,資訊安全人才呈現明顯供不應求的狀況。根據CompTIA針對2,000家在資訊安全投注心力的公司進行調查的結果,發現擁有具備資訊安全證照的員工,在預先判斷出潛在的資安風險時有較好的表現,且能針對這些潛在的安全議題快速做出處理,因此擁有資安證照員工的公司,平均一年可以省下超過$675,000元的支出;透過104人力銀行首頁輸入「資安」關鍵字搜尋,2016年台灣企業徵才超過1,500筆職缺,職缺類別多為網路管理工程師、網路安全分析師、MIS程式設計師、MIS網管主管、以及MIS高階主管,合計5大資安職缺的工作機會數超過3,000個,比兩年前成長23%,也可以看出資安人員的搶手程度。

幾近倍數成長的人才缺口與市場需求,使得資安專業人員愈受重視,依據歷年統計 IT 相關領域,資安專業人員平均年薪高居首位,顯示資安領域在企業受到的重視程度。

◆ 關於 CompTIA Security+ 國際認證

根據CertCities.com公佈的IT業10大熱門證照排行榜,CompTIA Security+ 多年來多維持在前10名內,是近年來頗受注目的資訊安全證照。有鑑於此,資策會特開辦「CompTIA Security+ 國際網路資安認證課程」,提供想取得資訊安全知識、技能與認證者學習的機會。本課程將教授學員瞭解資安的核心概念與技術,包括網路安全架構、通訊安全、弱點與稽核、密碼學、安全政策、作業安全與營運持續計畫等,除可為參訓學員建立扎實的資安底子、增加未來升遷機會外,並可協助學員通過CompTIA Security+國際認證。

CompTIA Security+ 考試已於2015年全面改版為最新的「SY0-401」版本,本課程亦已針對新版的考試內容做調整,將考試內容彙整至上課教材中,並提供超過350題模擬試題供學員做練習,目標是協助學員考取最新版的Security+ 國際認證。

◆ 關於 ISO27001:2013 轉版訓練

資訊安全管理系統(Information security management system,ISMS) 是一套有系統地分析和管理資訊安全風險的方法,而ISO 27001則是目前國際上最廣泛採用之資訊安全管理規範,可提供建立、實作、運作、監視、審查、維持及改進資訊安全管理系統之模型,並可透過公正獨立的第三方組織,進行稽核與驗證;而行政院資通安全會報也以此國際標準作,為對政府單位之資訊安全要求的準則。

為了因應瞬息萬變的資訊科技發展,國際標準組織(ISO)於2013年10月公佈最新版的ISO 27001標準(ISO27001:2013),本次改版在管理面及控制項目的要求都有大幅的新增與調整,透過新控制領域之重整或新增,更能符合業界實際的資訊安全管理需求。

資策會開辦「ISO27001:2013 LA轉版及建置訓練課程」,邀請經驗豐富的資訊安全顧問,透過輔導與稽核的實務案例與經驗分享,依ISO27001:2013要求逐步實施教學,除討論新舊版本之條文及精神上的差異外,並經由實作練習的方式,學習如何建置ISO27001:2013的方法,與應注意事項,對於已取得ISO27001:2005 LA證書者而言,更可獲得最新版本的實用知識。

◆ 關於 ISO27002 國際認證

ISO/IEC 27000系列是國際上最廣受認可的資訊安全管理規範,提供企業資訊安全管理的框架,其中ISO/IEC 27001是資訊安全管理系統的驗證標準,而ISO/IEC 27002則是企業在發展資訊安全管理系統 (Information Security Management System,ISMS) 中所需之作業規範 (Code of Practice),也是企業在導入資訊安全計畫中,一項廣為全球尊重和引用的標準,基於這個標準的實施計劃,讓組織可以在複雜的經營環境下滿足所需之資訊安全要求;此外,對這個標準的深入了解,也對個人在資訊科技與資訊安全上的發展有很大的助益。

ISO27001與ISO27002的關係密不可分,要通過ISO27001認證常需要參考ISO27002,如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,就可以參照ISO27002的內容來進行。

為了滿足業界需求,資策會取得國際知名的IT認證機構:EXIN的正式授權,全新開辦「ISO27002 資訊安全管理國際認證班」,本課程是依據EXIN之「Information Security Foundation based on ISO/IEC 27002」認證的考試要求設計而成,藉由深入淺出的介紹,除可協助學員具備取得ISO27002 資訊安全國際認證的知識與能力外,透過講師的經驗分享,可讓學員更加了解實務上的實施議題,以提升學員在資訊安全領域的技能,進而增加其職場的競爭能力。

◆ 關於 ISO27005 資安與個資風險管理

「風險管理」是資訊安全與個資管理的最重要的核心工作之一。所謂「風險管理」是透過系統化機制與評鑑方法,與企業、組織的日常管理、業務流程結合,鑑別組織的資訊資產,評估其可能面臨的威脅、弱點、風險等,並據以研擬適切的風險管理計畫,透過風險避免、移轉、降低或接受等方式,對各項風險加以監控。

關於風險管理的國際規範,目前主要有ISO27001、ISO20000、BS25999、BS10012等國際標準,ISO27001是國內推動資訊安全管理系統最普遍使用的國際標準,然而,面臨已經上路的個資法,ISO27001對企業而言還是不夠的!ISO27001對風險評鑑僅有提供原則性的要求內容(what),卻沒有提供實務性的指南內容(How to do),而國際標準ISO27005則為組織資訊安全、個人資料的風險管理提供實務上的執行指南(Guideline)。目前,國防部、空軍司令部暨所屬61個單位,已部份範圍導入、建置ISO27005:2008版要求,並以「一級輔導一級」的方式陸續擴大單位範圍,分階段完成全組織導入與建立ISO27005風險管理的工作。

資策會推出「ISO27005資安與個資風險管理認證班」,透過說明講解與實作研討搭配的方式,闡述系統化風險管理的內涵,同時結合資訊安全管理 (ISMS)、資訊技術服務管理 (ITSM)、營運持續管理 (BCMS)、個人資料管理 (PIMS) 及個人資料保護法、與其對風險評鑑的要求,教導風險評鑑的步驟,練習風險評鑑之詳細執行細節,以培養風險評鑑小組人員之建置與維運能力。作為設計與輔導資訊安全與個人資料風險管理基礎的實務訓練課程,ISO27005最能滿足各單位需求的訓練方案。此外,全程參與課程並通過考試之學員,將可於課程結束後獲頒國際驗證證書。

◆ 個資法 相關議題

個資法已於2012年正式上路,無論是公務機關、企業或自然人,在個資法實施後對於個人資訊的蒐集、處理或利用,都必須遵循該法規的規範,如果企業違法使用個人資訊,最高可能被求償二億元,對所有企業的衝擊都非常大,也因此無論是政府或企業單位,對個資法的規範與要求都必須深入瞭解並擬訂相關因應措施、執行個資保護計畫,以免造成組織的重大損失。

◆ 關於BS10012與個資法

個資法正式上路後,無論是政府或企業單位,對個資法的規範與要求都必須儘早瞭解並擬訂因應措施。其中,若企業可以證明其已完整地執行個資法實施細則第12 條之要求,就有能力舉證其已達良善管理人的責任,也是該企業能否符合個資法要求的關鍵指標。

BS10012是一個國際認可的個人資訊管理標準,適用於任何規模和行業的組織,而許多對個資管理與保護要求較高的產業與組織,例如金融、電信、醫療與公家機關等,也都以通過BS10012為目標,以確認組織能在尊重當事人隱私的前提下,充分保障個人資訊的合理運用。然而,BS10012畢竟不完全等同於個資法,通過BS10012並不代表對於個資法的規範就可高枕無憂,因此要如何既符合國內個資法規範、又能符合個資管理國際標準的個人資訊管理系統(PIMS),已是所有企業必須瞭解的重要課題。

資策會規劃「BS10012與個資法建置訓練課程」,本課程是以個資法實施細則第12條之架構為主軸,逐條深入討論所對應之BS10012/ISO27001/個資法第一~三章要求的實務課程,並以國際訓練組織所要求之規範設計課程內容,利用workshop實作練習的方式來進行實務討論與回饋,進而協助組織建立其專屬之個資管理流程,以符合個資法之規範與要求。

 資策會 資安與個資管理 課程列表

Security+ 是目前國際上最為普及與非廠商導向之資訊安全證照,並已於2015年全面改版為最新的「SY0-401」版本,本課程亦針對新版考試內容做調整,將最新資訊彙整至上課教材中,以協助通過新版考試。詳全文


本課程透過輔導與稽核的實務案例與經驗分享,依ISO27001:2013要求逐步實施教學,除討論新舊版本之條文及精神上的差異外,並經由實作練習的方式,學習如何建置ISO27001:2013的方法,與應注意事項。詳全文

ISO27001是資安管理系統的驗證標準,而ISO27002則是其發展過程中之作業規範,如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,就可以參照ISO27002的內容來進行…詳全文

風險分析與管理是資安與個資管理的核心,許多國際標準如 ISO27001、ISO20000、BS25999及BS10012 等的核心要求均需要建立與執行風險管理機制,而 ISO27005 正好可提供技術性的支援,提供實務執行指南…詳全文

本課程是以個資法實施細則第 12 條之架構為主軸,逐條深入討論所對應之 BS10012/ISO27001/ 個資法第一 ~ 三章要求的實務課程,並利用實作練習方式來協助組織建立其專屬之個資管理流程詳全文


◆ 資安與個資 相關報導

   
         
     

資訊工業策進會 數位教育研究所   版權所有,禁止侵害,違者必究。
Copyright (c) 2015 III Digital Education Institute. All Rights Reserved