104學習

本課程培養研發人員，在產品規劃及開發階段對於安全的規範與要求，開發初期以風險分析的手法，降低產品弱點與影響程度；設計期在軟體設計上，加入安全性防禦手法；測試期運用安全測試方式，對於產品進行安全性測試；部署階段環境與組態設定的原則。

ISO 27701:2025 是國際標準組織所發行、專屬於隱私資訊管理的標準。最新版本於 2025年 10月正式公布，持續提供企業組織在蒐集、處理或儲存個人資料時的管理機制設計指引。本標準同時兼顧隱私資訊管理，及有關資訊安全管理的雙重風險評估與控制，促進隱私資訊管理成效。 已經取得ISM 27701:2019主導稽核員資格的學員，可透過本課程迅速掌握新舊版本間的差異，輔以隱私資訊管理實務的強化訓練，進一步促進隱私資訊管理系統管理相關工作

資安風險評估與管理，不僅是國際標準導入的應用，透過風險鑑別達成風險管理能夠讓企業在面對資安威脅、資安風險的議題上，透過預估來判斷帶來的衝擊，進而預先採取適當的安全防護控制措施，降低資安威脅對於企業的影響，本課程將培養學員1. 資訊資產鑑別能力養成 2. 風險分析判斷力的強化 3. 風險控管能力的提升

第一天- 認識標準框架 認識標準條文 第二天- AI資訊系統風險管理要求與過程 風險思維：因應組織[合規風險與機會]的行動 管理系統運行：過程與風險控制措施 第三天- 最高管理階層的領導統御能力與承諾 管理系統支持與資源需求管理 管理系統績效評估 註冊、驗證和稽核員能力 第四天- 稽核：定義、原則、類型 稽核過程：準備與可行性評估 稽核員角色與稽核技巧演練 第五天- 執行實地稽核（第二階段稽核） 稽核報告與後續追蹤 評量時間

課程內容 Part1: ISO/IEC 27701 管理系統介紹 附錄 A.1 PII 控制者 控制措施 附錄 A.2 PII 處理者 控制措施 附錄 A.3 資訊安全控制措施 新舊版差異以及跟法規、其他標準的關係 Part2: 稽核實務、定義、原則 稽核流程，稽核準備與計畫 稽核行為準則與控制、稽核報告及追蹤

第一天- 認識標準框架 認識標準條文 第二天- AI資訊系統風險管理要求與過程 風險思維：因應組織[合規風險與機會]的行動 管理系統運行：過程與風險控制措施 第三天- 最高管理階層的領導統御能力與承諾 管理系統支持與資源需求管理 管理系統績效評估 註冊、驗證和稽核員能力 第四天- 稽核：定義、原則、類型 稽核過程：準備與可行性評估 稽核員角色與稽核技巧演練 第五天- 執行實地稽核（第二階段稽核） 稽核報告與後續追蹤 評量時間