證照,ISACA

【為什麼我們要挑選這篇新聞】愈來越多公司開始注重專業技能的認證,而證照也成為面試、加薪的最佳能力證明之一。

原文作者 Kuro 現為四大會計師事務所的資安顧問,在學習並考取國際認證後,來看看他最推薦的考照組合有哪些吧!(責任編輯:邵元婷)

本文經 資安工作者的學習之路 授權

如何確保學習到正確的資安管理與資安治理觀念?想對非技術領域有知識增長?可透過學習 ISACA 的想法來入門資安治理與資安管理! ISACA 針對不同領域出了相對應重要的證照,相較於偏向技術知識的證照更深入探討風險,雖然 ISACA 每一張探討的面向不同,但都可以相輔相成讓知識完整的串連起來,由 CISA / CISM / CRISC / CGEIT 快速建立概念,提升自身價值。

學習緣由

而問題來了,人人都喊「風險管理」,那誰的風險管理觀念是可信的?要如何完整清楚且有系統地談論資安風險管理、資安治理的概念?近年來資安的研討會越來越多,從學術領域到產品產商都在舉辦,與其聽他人講,那不如親自去了解國際組織所認為的「風險」為何。

而透過 ISACA 的認證來學習所謂治理、管理與 GRC (Governance、Risk and Compliance)是個快速且正確方式,透過他人所述的答案也不一定正確的,唯有自己學習與思考才可以轉換在實務,正確用在工作上、遵守道德守則更為重要

個人背景

  • 資安治理、藍圖規畫、電腦系統資訊安全評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外合規檢視、資安框架評估、縱深防禦設計、風險控制評估。

核心認證通過時間(含連結):

  • 2021.08 — Certified Information Systems Manager ( CISM )
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

所以我應該考哪一張?ISACA 考照組合包:

CISA

喜歡稽核稽爆與業務流程評估建立全面的基礎治理管理知識,稽核方法框架 — CISA

CISA 是快速建立其他三張認證的好基礎,但也不影響直接從其他張入門學習。

CISM

工作夠用,但需要與全面瞭解資安治理、管理的正確觀念並打好基本功,如資安管理顧問與資安管理師 — CISM

CISM 建立起正確觀念與邏輯的基本能力,但常見的 IT 技術還是要懂,否則在工作上會和 IT 溝通不良。記住,資安與 IT 不是對立,是要加上稽核一起合作解決問題,這是 CISM 的精神之一。

CRISC

對資安「風險」超級有愛,想嘴一套風險管理方法的乙方顧問或資安風控師,確保正確的風險評估、建立風險控制設計與監控指標 — CRISC(必要)+CISA / CISM 二選一

CRISC 深入探討風險管理框架與流程,比 CISA、CISM 清楚更多,對於任一職業搭配 CRISC 的知識,可以讓管理風險能力大幅加成,絕非只有台灣常見 ISMS 的那套框架,受益良多!

CGEIT

想了解資安治理、資安管理並有維運資安設備,須將資源(Resource)與績效最佳化 — CISM+CGEIT

透過 CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議。

而同樣一個問題在稽核 (CISA)、IT(CGEIT)、與資安經理 (CISM) 所回答的做法都有可能不同,例如與委外合約中, CIO 可能會以 IT 治理優先,更注重 SLA 與廠商績效是否能符合預期,但 CISO 會比較更注重資安要求,那如果資安單位有維運資安設備就會需要 CGEIT 觀念。

個人四張學習完後,私心的且最驚艷的證照還是 CRISC 和 CISA。

學習心得與 ISACA 證照想法

至於最常被提及的 ISO 27001 LA ,只能對新手建立最入門的基本能力,比較像是學認識控制點和導入 ISMS 的標準要求,建立基本的資安框架概念,較沒有深入探討資安管理與治理,且一般 ISO 27001 LA 是完成培訓的證明。

CISM : 學完 CISM 後,相較其他三張內容,CISM 像是基本幫你建立正確的治理觀念,主要是清楚了解了管理與治理的重點、方向,並執行資安管理計畫(Program),教導你「應該要做什麼」,如果說 CISSP 是技術的百科全書,那 CISM 或許有點像觀念的百科全書,同樣並不專精於特定領域。

CRISC : 如果你真的從事風控(CRO)、超熱愛狹義的風險管理的資安顧問,或你是專門設計控制措施的資安從業者,那可以考慮取得 CRISC。

CRISC 所聊的風險管理,較為深入也延伸了 CISM 、CISA 內容,例如學習正確的 IT 風險評估,探討 KCI (Key Control Indicators)與 KRI (Key Risk Indicators)設計,學習整套風險管理框架,真心大推。

CGEIT : 了解企業治理、企業 IT 治理與管理、資源與績效管理並優化,算是 IT 日常維運上需要的基本功,對於 IT 治理是最深入探討的一張,針對資源管理、績效管理、價值交付、SLA 等議題,在有資安技術組的單位中,資安設備維運也會用上其觀念。

儘管 CGEIT 與 COBIT 在大型的企業中才派的上用場,但其中的觀念絕對值得學習,例如在評估出低風險的流程中,或許實際上都會接受該風險,或者置之不理,但我們應該注意其中低風險流程所帶來的機會,評估後是否有機會降低我們的控制成本,將資源放置到更需要的地方。

學習了這麼多內容後,並不是將內容硬套到企業或客戶身上,舊有組織文化的限制外,還要考量整體環境的成熟度,都可能是造成無法順利改革的原因。

也不要因為考了證照就把自己的話當聖旨,認為自己的觀點都是正確的,很可能自己看的不夠多也不夠廣,需要尊重業務單位與 IT 單位,雙方具有良好的溝通合作,是關鍵的成功因素之一。

而學到的正確觀念都必須透過實務經驗來實踐,將知識逐漸的納入工作和專案內,讓理論與實務相輔相成,才不會考完就把正確觀念丟在腦後,最後你的道德與人格也就隨波逐流的去了…

ISACA 台灣分會針對 CRISC 與其他證照差異說明

CRISC 係為參與營運層面處理風險的專才提供專業認證;CGEIT 旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。

CRISC 是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而 CISA 為執行控制設計及營運效果獨立覆核的資訊科技專才而設計,增進消費者和公眾對本認證和持證者的信心。

CRISC 專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而 CISM 旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證,資訊安全包括辨識及管理資訊安全的風險。

CDPSE 為 ISACA 最新推出的認證,這一兩年持有 CDPSE 的會員大多是透過資格審查(早期計畫)換來的,故大多沒有真的去閱讀 ISACA CDPSE 實際教材的觀念與方法論,CDPSE 公信力目前也有待驗證,過幾年看市場的認同程度如何了。

ISACA 四張核心認證學習教材總整理

2021.04 — Certified Information Systems Auditor ( CISA )

  • CISA考試複習手冊(簡體書)
  • ISACA CISA Q&E online system
  • CISA Exam Study Notes
  • Udemy : Certified in Information System Audit (CISA) by ISACA
  • 蒐集網路上的筆記

2021.08 — Certified Information Systems Manager ( CISM )

  • CISM 考試複習手冊 (簡體書)
  • ISACA CISM Q&E online system
  • Udemy — CISM boot Camp
  • CRISC Exam Study Notes(包含 CISM 名詞與觀念細節)
  • 蒐集網路上的筆記

2021.09 — Certified in Risk and Information Systems Control (CRISC

  • CRISC 考試複習手冊 (簡體書)
  • CRISC All In One Exam Guide
  • ISACA CRISC Q&E online system
  • Udemy : Certified Risk and Information System Control (CRISC-ISACA)
  • CRISC Exam Study Notes

2021.10 — Certified in the Governance of Enterprise IT (CGEIT

  • CGEIT 考試複習手冊 (簡體書)
  • ISACA CGEIT Q&E online system
  • 自己寫整理筆記

ISACA 考試注意要點

  1. 丟掉一點工作經驗,接受 ISACA,換成 CISM 、CISA、CRISC 與 CGEIT 頭腦
    因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。
  2. 確實理解官方模擬題這是你通過的關鍵之一
  3. 中英文考試都可,中文考試不會看不懂,如果對英文用字遣詞沒把握,還是考慮選母語來作答更佳
  4. 整體而言官方模擬題練到約 90 分以上,應該就有很高的機會可通過各科考試。但 CRISC 與 CGEIT 官方模擬題的題目很少,要更熟悉課本內容。
  5. 建議能夠熟悉框架例如可以完整的說明整個風險管理流程(CRISC),將整個學習脈絡整理起來。
  6. 要考到證照必定要先買考試卷,不然都不會認真準備考試!

已取得認證 (表列部份有付費的並持續更新)

  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理
  • 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得
  • 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)(心得
  • 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得
  • 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
  • 2020.07 — Azure AZ-900 (心得
  • 2020.11 — EC-Council Certified Security Analyst (ECSA & CPSA 換證心得)

2021 (心得連結在最後證照簡稱上)

  • 2021.04 — Certified Information Systems Auditor ( CISA )
  • 2021.05 — EC-Council Certified SOC Analyst ( CSA )
  • 2021.08 — Certified Information Systems Manager ( CISM )
    ISACA CISM 國際資訊安全經理人準備心得傳送門 
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
    ISACA CRISC 國際資訊風險控制師認證自修考試心得傳送門
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

作者介紹:Kuro Huang,安永企業管理諮詢服務 資安顧問
充滿熱情的資安從業者,喜歡分享學習心得與參加資安社群活動,希望能對臺灣資安領域有所貢獻,並期望自己與身旁的人能一起進步。

(本文經 資安工作者的學習之路 授權刊登,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈新手學習資安治理與資安管理: ISACA 證照學習組合包與教材總整理 ( CISA/CISM/CRISC/CGEIT )! 〉。圖片來源:Shutterstock)