繼今年通過 CISMCISA 的準備心得,這次分享自修三周多通過最新版的 CRISC 資訊風險控制師準備心得, CRISC 是專為具有資訊科技風險管理經驗,及具有資訊系統控制、設計、實施、監督及維護經驗係之專業人士而設計。

https://www.caa.org.tw/cisa-license.php?id=CRISC

CRISC 與 其他 ISACA 認證比較

引用 中華民國電腦稽核協會之介紹

  • CRISC 係為參與營運層面處理風險的專才提供專業認證;CGEIT 旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
  • CRISC 是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而 CISA 為執行控制設計及營運效果獨立覆核的資訊科技專才而設計。增進消費者和公眾對本認證和持證者的信心。
  • CRISC 專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而 CISM 旨在為管理、設 …

繼今年上一篇 CISA 的準備心得,這次分享通過 ISACA 的 CISM 資訊安全經理人準備心得,如果準備方法正確,搭配熟悉模擬題與徹底理解 CISM 精神,想考過絕對沒有問題。

https://www.isaca.org/credentialing/cism

致謝

半年多可以接連一次考過 CISA 與 CISM 要感謝的人很多,如一直鼓勵信心考 ISACA 的 3C 認證大前輩 Andy ,一同向上成長的戰友 Griffin TJAndersenShawn 與其他還在努力準備的朋友,還有年初準備 CISA 中有給予指導但已逝世的 Alex 老師,教導了許多理論與正確實務觀念,正確知識收穫可以抵好幾年的工作經驗,奠定自習 CISM 的基礎。可以在短短時間內完成這麼多目標,已經超出我最初的計畫,接下來也要持續往下一個目標前進!

證照取得回顧

在 2021 年 4 月時候已經取得 C …


繼上篇「資安稽核員的入門技術知識 — 如何成為值得信賴的稽核員?」提到,預計寫幾篇針對稽核員介紹入門知識的文章,除了為自己近期學習 MS SQL 做筆記外,順便介紹的資料庫基本功能,資料庫為企業環境都會用到的系統,簡單了解資料庫的工作與資訊安全會對稽核與評估有幫助,並了解 IT 維運的狀況,盡可能給出雙方接受且具有幫助的建議。

來源 https://exfast.me/2016/07/mssql-sql-server-management-studio-online-tools/

此篇也建議對資料庫用途有基本概念者閱讀。但我不是專門的 AP 與 DBA 管理員,故無法深入探討細節,如本篇有任何錯誤再煩請通知我。

ISACA 道德規範:確保在各自領域內具有必備能


為什麼 IT 經常與資安單位或稽核員對立?資安稽核需要具備什麼樣的心態與精神?稽核員的證照比較?稽核員的品質?

https://www.toppr.com/guides/accounting-and-auditing/concept-of-auditing/principle-aspects-covered-by-auditing/

緣起

最近正在撰寫稽核員該了解的技術科普文,在工作中不免要執行資安稽核、環境評估或是合規檢視,也聽過許多同行或是受稽方的抱怨,想來寫幾篇看到日常發生的樣態,也正在寫對稽核常困擾的網路原理、資料庫基礎、資安設備入門文章,強化基本概念,本文以下皆為個人觀點

資安稽核員的基本知識系列文章 ( 持續更新 ):

  • 資安稽核員的基本知識 — MS SQL Server (資料庫)的備份、安全性、維運與稽核軌跡入門
  • 預計會有防火牆、網路設備等常見介紹

是否要考證照?

背景經驗與興趣

  • 四大會計師事務所 Cyber Security Consultant / 金融業資安管理
  • 資安專案經驗 : 資安稽核、資安成熟度評估、企業網路架構安全分析、組態管理評估、弱點分析與滲透測試、AP …


Find the TTL used to reach the targeted host in this ICMP exchange.

我們先下載這個題目的封包打開來看


今年繼續分享讀書與準備心得,這次分享通過 ISACA 的 CISA 認證的紀錄,也提供我認為比較另類而且有不錯效率準備方法給大家,也感謝我的好朋友們指導,才能讓我順利一次考到,如果有抓到 CISA 要求的精神,要短時間一次考過絕對不是問題。

https://www.isaca.org/credentialing/cisa

證照取得回顧與2021目標

2020 在 CCNP 那篇就訂下 三月考 OSCP 、CISA或雲端相關認證,最後選了 CISA ,將技術、稽核與管理初步湊齊。

已取得(有付費)(持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
  • 2019.1 …


在台灣申請自修考試 (Self-Study) 的人並不多,所以相關文章也少,本篇就來一步步帶大家如何在荷包有限或是公司不願意出錢、學生沒錢參加補習班下申請自修考試,能夠完成這篇也感謝身邊申請過的朋友幫忙解惑,故分享自己的申請步驟幫助大家。

自修先決條件:

  • 兩年資安相關工作資歷
  • 主管願意回信覆核背書
  • 付審查費

個人背景

  • 已有 EC-Council 認證
  • 四大會計師事務所
  • 資安評估、技術稽核、資安檢測、技術成熟度評估、解決方案規劃、APP安全檢測、國內外法規或資安框架

已取得認證 (表列部份有付費的並持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Anal …


去年上半年開始寫 Blog 後,盡可能地一個月出產一篇文章,經過了 2019 後的年度變化,也寫有快兩年的樣子,另外又到了一年一度 Medium 經營結果分享,來看看今年都學了什麼東西,並聊聊流量情況吧!

2019 文章分析與變化

2019年分析文章,探討了最多點閱部分,當然延續到了 2020 後看看變化成什麼樣子!

(其實變化最多的還是認識了許多因 Blog 而認識的朋友,還有我的肝)

2019最多人點閱 ( Views ) 的文章 :

2018 的10月發布,2019年底時點閱為 3.5K,到2020年底時候累積到12K

2019.12


CREST Practitioner Security Analyst(CPSA, CREST 資安分析從業者),被歸類在CREST組織的入門考試,主要測驗考生在基本網路理論與滲透測試的知識。 這次來教大家如何把手上的 ECSA 再換一張小小名氣的國際證照啦!

CREST CPSA

CREST 於2006年在英國成立。CREST International 於2015年成立,在各地都有分會,包含在 Australasia, Hong Kong, Malaysia, Singapore, UK 與 USA,是一個國際型的資安組織,而在英國為主流的認證之一,且在亞洲的新加坡、香港等都不少人考,在某些地區對於 CREST 的認同度甚至高於 EC-Council 不少。另外即便是 ISACA 這個組織出新認證時,也是一定條 …


ECSA v10 (資安分析專家)內容為資安分析與滲透測試的理論、技巧、方法與工具、執行完整的資訊安全測試,CEH的 後續進階認證。不過 ECSA v10 是這張證照版本的末班車,也就是最後一版,必須趕在明年三月以前趕快考過,不然也沒有辦法補考。

動機

講到動機就必須回到我 CCNPCEH 的文章,已經將整個考照時程規畫好了,當然就是去實踐這一些目標,除了學習滲透測試知識以外,也是種強迫自己學習和念書的方法之一,畢竟刷卡之後就回不去了。今年一路準備下來的感想是,如果你身處乙方公司沒有補助機制,還是不要像我腦袋撞到一直念書考證照,除非你自已有一個目標在,否則培訓人員和投標所需的資格是公司的責任,而且等待未來花開的日子很漫長,也附上我寫的另一篇文章來聊聊考證照的效益與分析。

已取得認證 (表列部份有付費的並持續更新)

  • 2019.01 — Cis …

Kuro Huang

充滿熱情的資安從業者,喜歡用專業興趣交朋友而非透過商業關係建立友誼。目前於會計師事務所擔任資訊安全技術顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安,詳細資訊請參考關於我(About)或 https://kuronetwork.me

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store