驅勢國際管理顧問股份有限公司/利錦文 首席顧問
中小網大
本課程專注於探討「ISO/IEC 27001 資訊安全管理系統」的核心基礎——資訊安全風險評鑑。課程首先介紹 ISO 27000 系列標準的關聯應用,並強調資安防護不僅限於IT軟硬體,更必須涵蓋組織人員與流程管理。教學核心將風險評鑑拆解為三大實務步驟:界定評鑑範圍、盤點資訊資產,以及執行風險評鑑。課程詳細指導學員如何從資訊的機密性、完整性與可用性(CIA)三要素出發,進行第一輪的風險識別與衝擊分析;接著透過評估事件發生的「嚴重程度」與「可能性」進行第二輪篩選,藉由風險矩陣判定最終的風險等級。透過製造業與資訊部門等實務案例解析,本課程將協助企業建立科學化的評估準則,精準找出不可接受的高風險項目,為後續規劃風險處理對策與控制措施奠定堅實基礎。
一、ISO/IEC 27000系列標準架構與相互關係。
二、ISO/IEC 27001標準條文架構。
三、資訊安全管理系統與資訊安全。
四、不同層次的風險機會管理。
五、資訊安全三要素:機密性、完整性、可用性。
六、資訊安全風險評鑑過程。
七、範圍與資訊資產的範例。
八、研發與技術資料管理。
九、資訊系統與基礎設施。
十、風險識別項目。
十一、資訊安全風險分析。
一、釐清資安管理的真諦:打破「資安僅限IT部門」與「沒有機房就不能做」的迷思,分辨單純「資訊安全」與「資安管理系統」的差異,學會如何運用PDCA循環,透過管理制度與作業流程來保護資料。
二、掌握附錄與適用性聲明:學會正確搭配ISO 27002與27005等指引標準,透徹理解附錄A涵蓋組織與技術的多項控制措施,並懂得如何依企業現況合理排除不適用項目,正確撰寫「適用性聲明」。
三、全方位風險識別技巧:跳脫僅看軟硬體的侷限,課程提供不同實務面向(包含資產面、威脅來源、脆弱性、法規合規性、組織流程等),帶您從無到有系統化地找出如「第三方委外」與「人員疏失」等隱蔽威脅。
四、建立動態管理思維:學習理解風險評鑑並非一次性專案,而是需每年定期檢視與因應變更調整的持續性活動;學會將不可接受的風險透過控制措施有效降級,確保持續精進企業的資安防護體質。
二、掌握附錄與適用性聲明:學會正確搭配ISO 27002與27005等指引標準,透徹理解附錄A涵蓋組織與技術的多項控制措施,並懂得如何依企業現況合理排除不適用項目,正確撰寫「適用性聲明」。
三、全方位風險識別技巧:跳脫僅看軟硬體的侷限,課程提供不同實務面向(包含資產面、威脅來源、脆弱性、法規合規性、組織流程等),帶您從無到有系統化地找出如「第三方委外」與「人員疏失」等隱蔽威脅。
四、建立動態管理思維:學習理解風險評鑑並非一次性專案,而是需每年定期檢視與因應變更調整的持續性活動;學會將不可接受的風險透過控制措施有效降級,確保持續精進企業的資安防護體質。
活動詳情:https://www.smelearning.org.tw/news.php?node=840