入門學習資安治理與管理: ISACA 證照學習組合包與教材總整理 (CISA/CISM/CRISC/CGEIT/CDPSE)
如何確保學習到正確的資安管理與資安治理觀念?想對非技術領域有知識增長?可透過學習 ISACA 的想法來入門資安治理與資安管理! ISACA 針對不同領域出了相對應重要的證照,相較於偏向技術知識的證照更深入探討風險,雖然 ISACA 每一張探討的面向不同,但都可以相輔相成讓知識完整的串連起來,由 CISA / CISM / CRISC / CGEIT / CDPSE 快速建立概念,提升自身價值。
學習緣由
雖做我是做技術領域出身,但這幾年都待在每天談論「風險」的四大會計師事務所,除了資安檢測、技術面的機制評估,還會同步去做稽核與風險控制評估,在四大除了練就要萬能以外,也是把自己的能力發揮到「淋漓盡致」,技術要做管理也要會,如果可以在兩者之間取得經驗,與 IT、業務單位和高階管理層溝通上會更加順暢。
而問題來了,人人都喊「風險管理」,那誰的風險管理觀念是可信的?要如何完整清楚且有系統地談論資安風險管理、資安治理的概念?近年來資安的研討會越來越多,從學術領域到產品產商都在舉辦,與其聽他人講,那不如親自去了解國際組織所認為的「風險」為何。
而透過 ISACA 的認證來學習所謂治理、管理與 GRC (Governance、Risk and Compliance)是個快速且正確方式,透過他人所述的答案也不一定正確的,唯有自己學習與思考才可以轉換在實務,正確用在工作上、遵守道德守則更為重要!
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
延伸參考:
個人背景
- 四大會計師事務所 萬能工具人 — 資安顧問( 技術評估為主、管理機制為輔),這篇文的當下任職於 Big 4 。
- 資安治理、藍圖規畫、電腦系統資訊安全評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外合規檢視、資安框架評估、縱深防禦設計、風險控制評估。
核心認證通過時間(含連結):
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07— Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
- 2023.02 — Certified in Cybersecurity Certification( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)
基本功
考ISACA證照之前,你應該先具備全面的基本知識
建議你先從很簡單的ISC2 CC 讀起!強烈推薦!
所以我應該考哪一張?ISACA考照組合包:
由於我甲乙方都待過,分享一點個人感想,如果你不能想考但無法抉擇從哪一張開始,可以考慮方向如下 ,當然皆為個人的經驗與想法 :
- 喜歡稽核稽爆與業務流程評估,建立全面的基礎治理管理知識,稽核方法框架 — CISA, CISA 是快速建立其他三張認證的好基礎,但也不影響直接從其他張入門學習。
- 工作夠用,但需要與全面瞭解資安治理、管理的正確觀念並打好基本功,如資安管理顧問與資安管理師 — CISM ,CISM 建立起正確觀念與邏輯的基本能力,但常見的 IT 技術還是要懂,否則在工作上會和 IT 溝通不良,記住 資安與 IT 不是對立,是要加上稽核一起合作解決問題,這是 CISM 的精神之一。
- 對資安「風險」超級有愛,想嘴一套風險管理方法的乙方顧問或資安風控師,確保正確的風險評估、建立風險控制設計與監控指標 — CRISC(必要)+CISA / CISM 二選一,CRISC 深入探討風險管理框架與流程,比 CISA、CISM 清楚更多,對於任一職業搭配 CRISC 的知識,可以讓管理風險能力大幅加成,絕非只有台灣常見 ISMS 的那套框架,受益良多!
- 想了解資安治理、資安管理並有維運資安設備,須將資源(Resource)與績效最佳化 — CISM+CGEIT,透過CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議;而同樣一個問題在稽核 (CISA)、IT(CGEIT)、與資安經理 (CISM) 所回答的做法都有可能不同,例如與委外合約中, CIO 可能會以IT治理優先,更注重 SLA 與廠商績效是否能符合預期,但 CISO 會比較更注重資安要求,那如果資安單位有維運資安設備就會需要 CGEIT 觀念。
- 如果想瞭解隱私保護,我想 CDPSE 搭配任何一張都是個不錯的選擇,但個人不建議是第一張,先有 CISA 或 CISM 再搭配 CDPSE 會比較有幫助,CDPSE 像是 DLC ,搭配主資料片(CISA / CISM )才會好。
個人四張學習完後,私心的且最驚艷的證照還是 CRISC 和 CISA。
學習心得與 ISACA 證照想法
CISA : 全面的了解各個領域,雖然了解的不深,但對於 IT Auditor 來說,搭配電腦審計的實務經驗,足以對生涯大大加分,可以了解覆核控制設計,與整套基於風險的稽核流程,去了解 GRC 的重要性,且稽核為三道防線最後一道。
至於最常被提及的 ISO 27001 LA ,只能對新手建立最入門的基本能力,比較像是學認識控制點和導入ISMS的標準要求,建立基本的資安框架概念,較沒有深入探討資安管理與治理,且一般 ISO 27001 LA 是完成培訓的證明。
CISM : 學完 CISM後,相較其他三張內容,CISM 像是基本幫你建立正確的治理觀念,主要是清楚了解了管理與治理的重點、方向,並執行資安管理計畫(Program),教導你「應該要做什麼」,如果說 CISSP 是技術的百科全書,那 CISM或許有點像觀念的百科全書,同樣並不專精於特定領域。
CRISC : 如果你真的從事風控(CRO)、超熱愛各種的「風險管理」議題的資安顧問,或你是專門設計控制措施的資安從業者,那可以考慮 取得 CRISC。CRISC 所聊的風險管理,較為深入也延伸了 CISM 、CISA 內容,例如學習正確的 IT 風險評估,探討 KCI (Key Control Indicators)與 KRI (Key Risk Indicators)設計,學習整套風險管理框架,也補強 CISSP 對於風險探討不夠的問題,真心大推。
CGEIT : 了解企業治理、企業 IT 治理與管理、資源與績效管理並優化,算是IT日常維運上需要的基本功,對於 IT 治理是最深入探討的一張,針對資源管理、績效管理、價值交付、SLA 等議題,在有資安技術組的單位中,資安設備維運也會用上其觀念,儘管 CGEIT 與 COBIT 在大型的企業中才派的上用場,但其中的觀念絕對值得學習,例如在評估出低風險的流程中,或許實際上都會接受該風險,或者置之不理,但我們應該注意其中低風險流程所帶來的機會,評估後是否有機會降低我們的控制成本,將資源放置到更需要的地方。
CDPSE : 了解隱私治理、隱私保護技術(對,基本的技術知識,很簡單!),還有資料生命週期( Data 的議題),CDPSE 算是一張入門且蠻豐富內容的證照,但內容不夠成為主角,教材比較像是延伸知識(DLC擴充包),很適合打資料保護底子,搭配 CISA 與 CISM(主資料片) 效果更可以提升整體知識的效果!但真的要有含金量或是國際通用,我想還是要考 CIPP 相關的認證會更佳(絕對不是 ISO)
學習了這麼多內容後,並不是將內容硬套到企業或客戶身上,舊有組織文化的限制外,還要考量整體環境的成熟度,都可能是造成無法順利改革的原因,也不要因為考了證照就把自己的話當聖旨,認為自己的觀點都是正確的,很可能自己看的不夠多也不夠廣,需要尊重業務單位與 IT 單位,雙方具有良好的溝通合作,是關鍵的成功因素之一。
而學到的正確觀念都必須透過實務經驗來實踐,將知識逐漸的納入工作和專案內,讓理論與實務相輔相成,才不會考完就把正確觀念丟在腦後,最後你的道德與人格也就隨波逐流的去了…
人生的學習歷程(2024補充)
這張圖是受邀去某超大銀行分享一些學習的心路歷程,就做了這張圖!
延伸閱讀,證照跟證明的差別,你的資安證照真的是證照嗎?
ISACA 台灣分會針對 CRISC 與其他證照差異說明
- CRISC 係為參與營運層面處理風險的專才提供專業認證;CGEIT 旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
- CRISC 是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而CISA為執行控制設計及營運效果獨立覆核的資訊科技專才而設計,增進消費者和公眾對本認證和持證者的信心。
- CRISC 專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而 CISM 旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證,資訊安全包括辨識及管理資訊安全的風險。
- CDPSE 為 ISACA 最新推出的認證,這一兩年持有 CDPSE 的會員大多是透過資格審查(早期計畫)換來的,故大多沒有真的去閱讀 ISACA CDPSE實際教材的觀念與方法論,CDPSE 公信力目前也有待驗證,過幾年看市場的認同程度如何了,附上我的 CDPSE 學習心得
國外綜合包:
新會員入會的話,註冊時填我的編號我當推薦人,有機會(不一定)有折扣,歡迎聯絡
剛入行新手想增加全面的資安核心觀念,建議念 ISC2 的 CC (Cybersecurity Certification)證照,大推
ISACA 五張核心認證學習教材總整理(2022版)
簡單整理之前五篇文章的學習資源,快速呈現出透過哪些教材或線上筆記做學習,彙整成一份總報告,並附上連結
2021.04 — Certified Information Systems Auditor ( CISA )
- CISA考試複習手冊(簡體書)
- ISACA CISA Q&E online system
- CISA Exam Study Notes
- Udemy : Certified in Information System Audit (CISA) by ISACA
- 蒐集網路上的筆記
2021.08 — Certified Information Systems Manager ( CISM )
- CISM 考試複習手冊 (簡體書)
- ISACA CISM Q&E online system
- Udemy — CISM boot Camp
- CRISC Exam Study Notes(包含 CISM 名詞與觀念細節)
- 蒐集網路上的筆記
2021.09 — Certified in Risk and Information Systems Control (CRISC)
- CRISC 考試複習手冊 (簡體書)
- CRISC All In One Exam Guide
- ISACA CRISC Q&E online system
- Udemy : Certified Risk and Information System Control (CRISC-ISACA)
- CRISC Exam Study Notes
2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
- CGEIT 考試複習手冊 (簡體書)
- ISACA CGEIT Q&E online system
- 自己寫整理筆記
2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- CDPSE 考試複習手冊 (電子英文版)
- ISACA CDPSE Q&E online system
- 自己寫整理筆記
啊對,唸書之前,我希望你看一下我這篇 CISSP 讀書方法(不敗學習力:10大聰明讀書法之 CISSP 證照考試應用心得),用科學的方式唸書,會對於考 CISSP 很有幫助,至少你記得起來 90% 的內容
ISACA 考試注意要點
- 丟掉一點工作經驗,接受 ISACA,換成 CISM 、CISA、CRISC 、CGEIT、CDPSE 頭腦。因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。
- 確實理解官方模擬題,這是你通過的關鍵之一
- 中英文考試都可,中文考試不會看不懂,如果對英文用字遣詞沒把握,還是考慮選母語來作答更佳
- 整體而言官方模擬題練到約 90 分以上,應該就有很高的機會可通過各科考試,但 CRISC 、CGEIT 與 CDPSE 官方模擬題的題目很少,要更熟悉課本內容。
- 建議能夠熟悉框架,例如可以完整的說明整個風險管理流程(CRISC),將整個學習脈絡整理起來。
- 要考到證照必定要先買考試卷,不然都不會認真準備考試!
2023 更新:很幸運的獲得電腦稽核協會通知,當年這篇考試心得中的 CISA / CISM / CRISC / CGEIT 四張成績都獲得台灣前 Top 3 ,希望可以幫助大家通過考試
已取得認證 (表列部份有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)(心得)
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
2023 (心得連結在最後證照簡稱上)
- 2023.2 — Certified CyberSecurity Certification ( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)
2024 (心得連結在最後證照簡稱上)
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。