以資訊共享精神再造資安人員培育新樣貌，萬弘資訊創造與傳承ISO 27001實質意義與價值。

自2016年定調「資安即國安」的國家戰略後，政府便積極推動公務機關與民間產業重視資訊安全、強化防禦資安攻擊的能力，不只公務機關被要求導入ISO/IEC 27001資訊安全管理國際標準，許多企業亦在政府領頭示範下紛紛跟進，決定導入與驗證ISO/IEC 27001，從而建立完善的資訊安全管理體系，有效應對資安威脅和風險。

受到近年ISO/IEC 27001:2022轉版、政府推動、法規遵循與客戶要求等多重因素影響，ISO/IEC 27001的市場需求和導入企業在近年來有著顯著成長，然而，萬弘資訊管理顧問部專案經理周世洪卻觀察到，雖然導入ISO/IEC 27001的企業數量大幅增加，營運成本提高，資安強度卻不如預期，原因在於大多數稽核人員未將重心著墨於常見資安事故與事件，稽核活動多數時間又專注於書面資料的用字遣詞的討論，自然難以發揮資安成效。

資安稽核若無法切中要點，將使ISO/IEC 27001淪於形式

周世洪進一步指出，在ISO/IEC 27001的稽核過程中，其實存在很多令人無語的現象，像是過於專注文字表面的意思、與實際資安事件較無關聯的項目不斷被放大討論等。

舉例來說，稽核人員在稽核時發現時間落差20秒，要求相關人員需針對時間準確性做出書面回覆或提出改善項目，又如，企業可能把一台可以聯網的電視擺在架子上，稽核人員將其當成電腦來看待，並質疑為什麼架子沒有上鎖？為什麼上方監控攝影機的鏡頭沒有監視著架子？腳是否會踢到電腦？

此類缺失的安全風險其實並不高，但稽核人員僅是為了寫寫報告，將重點放在不是什麼大問題的項目上，導致作業同仁為了回覆稽核人員所提出的改善建議，必須花費很多時間去準備書面資料，這不僅無法有效提昇實質資安效益，也容易讓同仁誤以為ISO/IEC 27001僅僅流於型式與文書作業。

周世洪認為，稽核人員未專注稽核實質資安重點原因，還是在於資訊的不透明化（例如: 發證公司提出來的稽核發現，敢在研討會作分享嗎？），當訓練機構或講師總是描述話術、文字遊戲的不一致時，整個資訊管理或資安的進步就會停滯不前。

無償共享實戰資訊，培養人員提問關鍵問題的能力

目前，成為ISO/IEC 27001主導稽核員的方式，主要是先參加坊間機構所開設的訓練課程，再通過筆試測驗，才能取得證書。而這些課程的授課內容大多是紙上談兵，雖有條款介紹與情境測驗，但多數情境較不直覺與現實落差甚大，自然讓人難以掌握重點項目。

著眼於此，萬弘資訊在規劃主導稽核員的訓練課程時，不只無償提供稽核時需要的實用檔案，更大方融合多年實務經驗，訓練人員除了提問也要會實作、專案管理，從實作中進而理解提問的方式與同理心(備註:出張嘴、用眼睛看畢竟難度不高)。例如:範圍內重點標的物的關鍵流程、用途與其保有的資料，在資料揭露是否合理恰當時，應該聚焦於權限設定、是否做到揭露最小化、弱點管理或是常見災難的緊急還原等問題上。

此外，周世洪更秉持著促進產業發展、推動稽核人才專業能力與服務品質的期待，於網路上分享許多業界不會特別著墨的關鍵知識和流程，以簡潔淺白的語句，幫助更多人建立對ISO/IEC 27001的正確觀念，對於已經導入和驗證ISO/IEC 27001的企業而言，如此可避免流於形式、達到透過資安標準強化防禦能力的目標，至於對尚未導入的企業來說，未來在啟動相關專案時，相關參與者可能都具備一定的專業認知水準，不但有助於溝通，更能提升專案品質。

響應ESG企業責任，推動資安教育向下紮根

在落實資訊共享精神的同時，萬弘資訊更迎合ESG企業永續報告浪潮與節能減碳、落實企業社會責任，培養大學生具備資安稽核與顧問專案資料處理的能力，近期，萬弘資訊就成功培訓一名還在就讀大二的資管系學生，在3個月內取得ISO27001:2022主導稽核員資格並擁有實際專案資料的審查與處理能力。

周世洪認為，讓大學生於畢業前或是在實習階段就能充分領悟與掌握重點，一方面可以培養其具備真正的關鍵知識及職場的關鍵能力，對ISO/IEC 27001有充分理解，日後進入職場時，再遇到相關議題時就不會淪於形式，一方面也能協助學生提早為未來做準備，認知自身興趣，意識到ISO/IEC 27001也是在學期間可提前投入心力學習的方向，而不致於不知為何而戰、隨波逐流。

當ISO/IEC 27001培訓走入校園時，不只對大學生有幫助，亦可為顧問輔導市場挹注新鮮人才，滿足在資訊安全合規的潮流與趨勢下，快速成長的ISO/IEC 27001導入需求。

「在資訊有價的年代，很多人都捨不得分享手中的寶貴資訊，但透過資訊共享可以幫助愈多的人，最終獲得的回饋也會愈多，」周世洪語氣肯定的說，未來萬弘資訊除了積極協助企業通過ISO/IEC 27001驗證，亦將持續懷抱資訊共享的精神，把握伴隨無償付出而來的各式各樣機會（例如：ISO27701 / ISO27017 / ISO27018 / ESG / ISO13485），不只建立市場口碑與信任度，更希望讓台灣產業都能藉由ISO/IEC 27001的導入而強化資安架構，建立在未來AI世代的數位競爭力。

［本文由 經理人 與 萬弘資訊 共同製作］