【為什麼我們要挑選這篇新聞】愈來越多公司開始注重專業技能的認證,而證照也成為面試、加薪的最佳能力證明之一。
原文作者 Kuro 現為四大會計師事務所的資安顧問,在學習並考取國際認證後,來看看他最推薦的考照組合有哪些吧!(責任編輯:邵元婷)
本文經 資安工作者的學習之路 授權
如何確保學習到正確的資安管理與資安治理觀念?想對非技術領域有知識增長?可透過學習 ISACA 的想法來入門資安治理與資安管理! ISACA 針對不同領域出了相對應重要的證照,相較於偏向技術知識的證照更深入探討風險,雖然 ISACA 每一張探討的面向不同,但都可以相輔相成讓知識完整的串連起來,由 CISA / CISM / CRISC / CGEIT 快速建立概念,提升自身價值。
學習緣由
雖做我是做技術領域出身,但這幾年都待在每天談論「風險」的四大會計師事務所,除了資安檢測、技術面的機制評估,還會同步去做稽核與風險控制評估。
在四大除了練就要萬能以外,也是把自己的能力發揮到「淋漓盡致」,技術要做管理也要會,如果可以在兩者之間取得經驗,與 IT、業務單位和高階管理層溝通上會更加順暢。
而問題來了,人人都喊「風險管理」,那誰的風險管理觀念是可信的?要如何完整清楚且有系統地談論資安風險管理、資安治理的概念?近年來資安的研討會越來越多,從學術領域到產品產商都在舉辦,與其聽他人講,那不如親自去了解國際組織所認為的「風險」為何。
而透過 ISACA 的認證來學習所謂治理、管理與 GRC (Governance、Risk and Compliance)是個快速且正確方式,透過他人所述的答案也不一定正確的,唯有自己學習與思考才可以轉換在實務,正確用在工作上、遵守道德守則更為重要!
個人背景
- 四大會計師事務所 — 資安顧問
- 資安治理、藍圖規畫、電腦系統資訊安全評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外合規檢視、資安框架評估、縱深防禦設計、風險控制評估。
核心認證通過時間(含連結):
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
所以我應該考哪一張?ISACA 考照組合包:
由於曾經在甲方待過,現職待在乙方的四大,如果你不能想考但無法抉擇從哪一張開始,可以考慮方向如下 ,當然皆為個人的經驗與想法 :
CISA
喜歡稽核稽爆與業務流程評估,建立全面的基礎治理管理知識,稽核方法框架 — CISA
CISA 是快速建立其他三張認證的好基礎,但也不影響直接從其他張入門學習。
CISM
工作夠用,但需要與全面瞭解資安治理、管理的正確觀念並打好基本功,如資安管理顧問與資安管理師 — CISM
CISM 建立起正確觀念與邏輯的基本能力,但常見的 IT 技術還是要懂,否則在工作上會和 IT 溝通不良。記住,資安與 IT 不是對立,是要加上稽核一起合作解決問題,這是 CISM 的精神之一。
CRISC
對資安「風險」超級有愛,想嘴一套風險管理方法的乙方顧問或資安風控師,確保正確的風險評估、建立風險控制設計與監控指標 — CRISC(必要)+CISA / CISM 二選一
CRISC 深入探討風險管理框架與流程,比 CISA、CISM 清楚更多,對於任一職業搭配 CRISC 的知識,可以讓管理風險能力大幅加成,絕非只有台灣常見 ISMS 的那套框架,受益良多!
CGEIT
想了解資安治理、資安管理並有維運資安設備,須將資源(Resource)與績效最佳化 — CISM+CGEIT
透過 CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議。
而同樣一個問題在稽核 (CISA)、IT(CGEIT)、與資安經理 (CISM) 所回答的做法都有可能不同,例如與委外合約中, CIO 可能會以 IT 治理優先,更注重 SLA 與廠商績效是否能符合預期,但 CISO 會比較更注重資安要求,那如果資安單位有維運資安設備就會需要 CGEIT 觀念。
個人四張學習完後,私心的且最驚艷的證照還是 CRISC 和 CISA。
學習心得與 ISACA 證照想法
CISA : 全面的了解各個領域,雖然了解的不深,但對於 IT Auditor 來說,搭配電腦審計的實務經驗,足以對生涯大大加分,可以了解覆核控制設計,與整套基於風險的稽核流程,去了解 GRC 的重要性,且稽核為三道防線最後一道。
至於最常被提及的 ISO 27001 LA ,只能對新手建立最入門的基本能力,比較像是學認識控制點和導入 ISMS 的標準要求,建立基本的資安框架概念,較沒有深入探討資安管理與治理,且一般 ISO 27001 LA 是完成培訓的證明。
CISM : 學完 CISM 後,相較其他三張內容,CISM 像是基本幫你建立正確的治理觀念,主要是清楚了解了管理與治理的重點、方向,並執行資安管理計畫(Program),教導你「應該要做什麼」,如果說 CISSP 是技術的百科全書,那 CISM 或許有點像觀念的百科全書,同樣並不專精於特定領域。
CRISC : 如果你真的從事風控(CRO)、超熱愛狹義的「風險管理」的資安顧問,或你是專門設計控制措施的資安從業者,那可以考慮取得 CRISC。
CRISC 所聊的風險管理,較為深入也延伸了 CISM 、CISA 內容,例如學習正確的 IT 風險評估,探討 KCI (Key Control Indicators)與 KRI (Key Risk Indicators)設計,學習整套風險管理框架,真心大推。
CGEIT : 了解企業治理、企業 IT 治理與管理、資源與績效管理並優化,算是 IT 日常維運上需要的基本功,對於 IT 治理是最深入探討的一張,針對資源管理、績效管理、價值交付、SLA 等議題,在有資安技術組的單位中,資安設備維運也會用上其觀念。
儘管 CGEIT 與 COBIT 在大型的企業中才派的上用場,但其中的觀念絕對值得學習,例如在評估出低風險的流程中,或許實際上都會接受該風險,或者置之不理,但我們應該注意其中低風險流程所帶來的機會,評估後是否有機會降低我們的控制成本,將資源放置到更需要的地方。
學習了這麼多內容後,並不是將內容硬套到企業或客戶身上,舊有組織文化的限制外,還要考量整體環境的成熟度,都可能是造成無法順利改革的原因。
也不要因為考了證照就把自己的話當聖旨,認為自己的觀點都是正確的,很可能自己看的不夠多也不夠廣,需要尊重業務單位與 IT 單位,雙方具有良好的溝通合作,是關鍵的成功因素之一。
而學到的正確觀念都必須透過實務經驗來實踐,將知識逐漸的納入工作和專案內,讓理論與實務相輔相成,才不會考完就把正確觀念丟在腦後,最後你的道德與人格也就隨波逐流的去了…
ISACA 台灣分會針對 CRISC 與其他證照差異說明
CRISC 係為參與營運層面處理風險的專才提供專業認證;CGEIT 旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
CRISC 是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而 CISA 為執行控制設計及營運效果獨立覆核的資訊科技專才而設計,增進消費者和公眾對本認證和持證者的信心。
CRISC 專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而 CISM 旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證,資訊安全包括辨識及管理資訊安全的風險。
CDPSE 為 ISACA 最新推出的認證,這一兩年持有 CDPSE 的會員大多是透過資格審查(早期計畫)換來的,故大多沒有真的去閱讀 ISACA CDPSE 實際教材的觀念與方法論,CDPSE 公信力目前也有待驗證,過幾年看市場的認同程度如何了。
ISACA 四張核心認證學習教材總整理
簡單整理之前四篇文章的學習資源,快速呈現出透過哪些教材或線上筆記做學習,彙整成一份總報告,並附上連結
2021.04 — Certified Information Systems Auditor ( CISA )
- CISA考試複習手冊(簡體書)
- ISACA CISA Q&E online system
- CISA Exam Study Notes
- Udemy : Certified in Information System Audit (CISA) by ISACA
- 蒐集網路上的筆記
2021.08 — Certified Information Systems Manager ( CISM )
- CISM 考試複習手冊 (簡體書)
- ISACA CISM Q&E online system
- Udemy — CISM boot Camp
- CRISC Exam Study Notes(包含 CISM 名詞與觀念細節)
- 蒐集網路上的筆記
2021.09 — Certified in Risk and Information Systems Control (CRISC)
- CRISC 考試複習手冊 (簡體書)
- CRISC All In One Exam Guide
- ISACA CRISC Q&E online system
- Udemy : Certified Risk and Information System Control (CRISC-ISACA)
- CRISC Exam Study Notes
2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
- CGEIT 考試複習手冊 (簡體書)
- ISACA CGEIT Q&E online system
- 自己寫整理筆記
ISACA 考試注意要點
- 丟掉一點工作經驗,接受 ISACA,換成 CISM 、CISA、CRISC 與 CGEIT 頭腦。
因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。 - 確實理解官方模擬題,這是你通過的關鍵之一
- 中英文考試都可,中文考試不會看不懂,如果對英文用字遣詞沒把握,還是考慮選母語來作答更佳
- 整體而言官方模擬題練到約 90 分以上,應該就有很高的機會可通過各科考試。但 CRISC 與 CGEIT 官方模擬題的題目很少,要更熟悉課本內容。
- 建議能夠熟悉框架,例如可以完整的說明整個風險管理流程(CRISC),將整個學習脈絡整理起來。
- 要考到證照必定要先買考試卷,不然都不會認真準備考試!
已取得認證 (表列部份有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)(心得)
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得)
- 2020.11 — EC-Council Certified Security Analyst (ECSA & CPSA 換證心得)
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
ISACA CISM 國際資訊安全經理人準備心得傳送門 - 2021.09 — Certified in Risk and Information Systems Control (CRISC)
ISACA CRISC 國際資訊風險控制師認證自修考試心得傳送門 - 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
作者介紹:Kuro Huang,安永企業管理諮詢服務 資安顧問
充滿熱情的資安從業者,喜歡分享學習心得與參加資安社群活動,希望能對臺灣資安領域有所貢獻, 並期望自己與身旁的人能一起進步。
(本文經 資安工作者的學習之路 授權刊登,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈新手學習資安治理與資安管理: ISACA 證照學習組合包與教材總整理 ( CISA/CISM/CRISC/CGEIT )! 〉。圖片來源:Shutterstock)
