最近在找工作,有投一家软件科技业外商的compliance assistant。工作内容主要是协助
管理ISMS文件,导入ISO 27001:2003到公司流程和程序中,协助准备年度合规报告,监控
公司资讯风险之类的,还有一些临时交办行政事务之类。
但其实因为我没有相关经验,几乎是0。不过不小心应征到,居然也不小心通过一面与HR
的面试,目前要进行最后一 round 与部门主管的面试。
可是有点担心会不会被问到一些很专业的问题。希望有担任过类似稽核人员的可呀告诉我
你们主要都在做什么样的工作,(比较具体一点的实例)或可能会被问什么样子的问题。
我目前是有稍微做功课,知道关于ISMS的文件主要是一些关于公司营运流程各种的规范文
件。ISO主要是在ISMS下一个控管的framework, 其中包含14项控管,如人资控管、IT安全
控管等等等。
也知道内稽的目的、职能、工作范围(大概)。不过如果有人可以跟我讲一下实体你们在
运作的时候是怎么准备稽核报告的,或是这些文件跟control 什么时候会用到就太好了!
谢谢大家!感激不尽!!!
以被稽核过的人回应你,确认部门有没有照流程走,相关的证明文件、主管签核有没有归档,是以系统control为主还是人工控管为主,不管是系统或人工都需要对方讲出其中的逻辑。
作者:
taipoo (要成功要积极)
2021-07-11 19:58:00没有经验就不用担心,进去再学就好了
作者: cool10528 (好芹) 2021-07-11 20:50:00
你没经验他们都愿意用了怕啥。
没经验都肯找你面试,你就知道有多缺人了什么都不会没关系,不排斥加班就好 XD
作者:
gv390 (我讨厌我喜欢妳)
2021-07-12 08:22:00基本上文件管控,都文书作业居多例如:新USER报到,是否有填申请单(AD,email)之类的而不是什么都没填,就都只用口头就处理好然后USER离职,是否有把AD退掉,借公司资产是否有写借用单电脑是否有设定自动登出,密码是否六个月换一次,强度是否够。大概类似这种,每家文件名字不一样,可是玩法大同小异基本上网络上都有相关文件,拿来参考一下就好
作者:
ttnkuo (帕格)
2021-07-12 08:26:00稽核基本上是个....咳咳,您要努力加油啊...
作者:
loner (魑魅)
2021-07-12 11:45:00ISMS的稽核员如果没有一点资讯背景会有点辛苦..容易被IT人员呼弄
作者:
bntimlin (AAAAAda)
2021-07-13 01:38:00没经验有面试机会 你应该是事务所出来的吧基本上就照着查核程式run 有经验只是比较好查 不用想的太严重 基本上沟通才会是最大问题 还有看你上面的总稽核够不够力 不然蛮多公司稽核单位都是被边缘化的