ISACA CDPSE 國際資訊隱私防護師認證 (Certified Data Privacy Solutions Engineer ) 自修考試心得
分享今年通過 CISSP 後,決定把 ISACA 的資料隱私知識補齊,資料隱私算是全球重視議題之一,所以就來準備考 CDPSE ,CDPSE 專為評估技術專業人士能力的認證,旨在評估其是否有能力依據隱私策略設計予以實施,並搭建隱私技術平台及其相關產出,從而建立信任並強化資料隱私性。
CDPSA 與其他 ISACA 證照比較
很可惜台灣的電腦稽核協會沒有做CDPSE的專屬頁面,只有CISA/CISM/CRISC/CGET ,故我只能找美國的網站做簡介。
考試中出題所占的比重:
- Domain 1: Privacy Governance (Governance, Management and Risk Management) 隱私治理
- Domain 2: Privacy Architecture (Infrastructure, Applications/Software and Technical Privacy Controls) 隱私架構技術
- Domain 3: Data Lifecycle (Data Purpose and Data Persistence) 資料生命週期
- 建議看 ExamOutline ,用瀏覽器翻譯官方網站後如下:
證照取得回顧
去年 2021年我已經考完了 ISACA 的四張考試,每一張代表不同的職務角色,都讓我學到很多東西,也是顧問應該具有的基本知識,而隱私算是主流趨勢之一,今年考完 CISSP 後就把隱私這塊也補齊!當然 ISO 27701 就和 ISO 27001 的議題一樣,可以接到專案,透過框架建立基本制度,但難學到實務作法與解決方案應對,考量學習實戰資料與隱私保護就趁有空準備一下 CDPSE 。
雖然截至今日 CDPSE 大多數的人是透過早期計畫換來的,如果是用早期換的也建議回去讀一下教材,補足沒有讀過但應該要具備的知識,這樣被問到內容知識點比較不會尷尬,而且課本蠻淺顯易懂,不考照也很推去翻翻教材!,有些是我們在 ISO 27701 等專案上沒有碰過的名詞,也寫了非常多實務建議!
已取得認證 (表列部份有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)(心得)
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07 — Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
- 2023.2 — Certified CyberSecurity Certification ( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)
- 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
- 2024.02 — AWS Certified Solutions Architect — Associate (SAA)
- 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
延伸參考:
ISACA 證照學習組合包與教材總整理:
個人背景
- 金融業與製造業甲方
- 四大會計師事務所x2 兼萬能工具人 — 資安顧問( 技術與管理都包)
- 資安評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外法規合規檢視、資安框架評估、縱深防禦架構評估、資訊安全機制評估與輔導、風險控制評估
新會員入會的話,註冊時填我的編號我當推薦人,有機會(不一定)有折扣,歡迎聯絡
碎碎念
分享之前,先聊一下考試這件事,有些人不了我們的人會以為我們盲目的在考,我不覺得考到證照就馬上變超強或直上大師(同樣在資安大會講過),這些認證學習可以打好基本觀念底子,還是要透過專案經驗提升能力,也有其他方式可以證明自己。所以為什麼我要考試?就學習角度上人總是要有個目標才有動力,大部分的人工作下班後都很累也不會想進修了,所以考試只是一個驅動的手段,透過國際權威組織的教材,可以有架構且系統化的去學習公認的知識,至少提升你在溝通時候不會雞同鴨講,還有辦法 Google,如果身為乙方顧問,更不可以放棄額外學習,絕對要留時間額外進修。
細節也可參閱:
CDPSE 課程
印象沒有人開設 CDPSE 課程,但其實已經有 CISA 、CRISC 其一證照的話,完全不需要上課也能通過 CDPSE,因為觀念會有重複而且考試真的算簡單,是我五張內覺得內容最少而且最容易的,不會花太多時間由 0 開始學習。
CDPSE 本身除了隱私治理還有資料治理外,還會討論技術,因為資料與隱私保護需要了解技術!!Domain2 提到 像是密碼學、網路技術等(Domain 2: Privacy Architecture (Infrastructure, Applications/Software and Technical Privacy Controls)),沒有技術知識就只能紙上談資料保護理論,較難實踐,這也是目前很多資安或隱私顧問的問題之一,做資安和隱私都要有管理、治理與技術三者兼具才有辦法做好,建議學習 CISSP 知識來強化對於隱私保護的實戰。
就以考試順序來談,我想個人從 CISA > CISM > CRISC = CDPSE > CGEIT 最為合適,詳細說明可以參考我 CRISC 文章的探討。
為了通過考試,請你做下列行動才會有動力:
先買考試卷!先買考試卷!先買考試卷!
教材
官方沒有出最新的復習手冊中文版樣子,這是我唯一看英文教材的一次,由於 CDPSE 很新所以也沒什麼人寫心得和筆記(CGEIT 出很久也沒太多人寫…),所以我基本上把書看完後自己做了筆記。
官方模擬題 QAE
強烈建議買官方線上模擬題庫 (Online QAE),不僅會幫你計算每個 Domain 的分數,還可以模擬考試情形,知道弱的知識章節與安排讀書計畫,重點是可以拆得很細去練習每個子章節,會很清楚知道哪一個章節不懂,加上搭配 Google 翻譯插件變成中文題目,除了可以一直重複考,也幾乎省掉用紙本擦擦寫寫的繁瑣,不需要帶著厚重的書,練習過紀錄可以清除後重新作答複習。
每一題模擬題考完都有四個答案詳細說明,效率高於紙本許多,花一筆錢(一年期使用約8000),並計算平均分數,花一小筆錢絕對完勝重考
筆記
CISA、CISM 與 CRISC 都有不少國外網友的筆記可參考,但找不到 CDPSE (太新)、CGEIT (太冷門)的額外資源 ,故只能自己寫課本的重點,也加深了許多印象,由於 CDPSE 的書超薄而且練習題少,筆記是熟悉觀念重要的一個關鍵,另外也要看一下 NIST 的隱私保護文件,雖然官方不考特定法規或特定框架,但可以提升隱私相關的概念,畢竟書上也寫了很多 NIST 的建議,觀念最重要!
CDPSE 準備重點 ( 和 CISA 、CISM 、CRISC、CGEIT 大致相同 )
- 這次準備含看教材、寫筆記約十天左右,CDPSE 與 CGEIT 內容很少,但CDPSE 只考 120 題,可能會需要熟悉細節一些,必須熟悉治理的觀念與思考邏輯。
- 建議閱讀一下 NIST Privacy Framework ,對於隱私框架的理解和 CDPSE 都有幫助
- Domain 2 有一些技術成分在,但都非常基本,身為隱私與資料保護者一定是要懂這些基本知識。
- 大多是每天晚上練習題目與記清楚所有的重要的定義,CDPSE 的 每個章節很重要,比重都差不多,務必把教材看熟並記住定義與觀念,建議從QAE 題目回推課本找解說最快,方法對了短時間通過絕對沒問題。
- 丟掉一點工作經驗,換成 CISM 、CISA、CRISC 頭腦。因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。
- 從官方線上模擬題庫學習觀念,遇到不會的再回去看課本。
- 刷爆搞懂模擬題,這是你通過的關鍵。
- 官方線上模擬題庫的模擬考到約 90分以上並回推熟悉課本,應該就有很高的機會可通過。
- 如果擔心不能理解原意考簡體中文可能比較好,我 CISA、CISM、CRISC 、CGEIT 與 CDPSE 都考中文版,題目的體驗還不錯。
- 找到一間好的公司,不會為了任務而把腰折斷,堅守道德守則與標準要求,如果無法堅守道德守則,甚至會有法律責任或出事情變成你背鍋(但還是不可以亂開缺失),並需要有足夠的時間去好好完成任務。
- 每次考前我都會拜文昌與發願捐款給廟裡或弱勢團體,總比重考好…
- 儘管 CDPSE 不如 ISO 27701等有名,但絕對學到更多實務建議,還有你應該要懂的技術有哪些,如何選擇適當的技術保護隱私與資料安全,這是很多隱私顧問最缺乏的基本能力。
CISA 、CISM 、CRISC 、CGEIT 與 CDPSE
CDPSE 算是一張入門且蠻豐富內容的證照,但內容不夠成為主角,教材比較像是延伸知識(DLC擴充包),很適合打資料保護底子,搭配 CISA 與 CISM(主資料片) 效果更可以提升整體知識的效果!但真的要有含金量或是國際通用,我想還是要考 CIPP 相關的認證會更佳(絕對不是 ISO),從隱私治理、技術架構、資料生命週期去學習整體概念, 雖然我不是這領域專家,但做資安還是會需要去了解保護資料安全!
而來聊一下在台灣冷門的 CGEIT ,要真心對資訊治理有興趣,想更深入理解可能才會想考,治理是一個很抽象的概念,你很難說出一套邏輯框架,而透過 CGEIT 與 COBIT 可以建立你的知識體系,內容對於討論整套 IT 治理、優化、價值實現與風險管理流程上很有幫助。想著墨在「IT 治理」本身相關議題,CGEIT 是個值得學習的好方向,但 IT 治理還是需要基於 IT 的實務經驗會更好,理論要與實務相輔相成。
CISA 需要記住很多硬知識,例如抽樣方式、開發流程等,而 CISM 考題考大方向的觀念,CRISC 則是需理解記清楚所有各方面風險從頭到尾的細節。深入探討在「風險管理」,而 CISA 與 CISM 並對於風險管理只有沾到邊,每張證照想著重的點不同 ,CISA 為稽核與驗證控制,CISM是治理與開發資安管理計畫居多,沒有講太多風險管理的細節,最後的 CGEIT 有討論到風險,但著重於 IT 治理,算是跟其他三張比較沒直接關聯,部分觀念是重疊的但也有不同之處,因為 CGEIT 是從 IT 主管出發,而其他都是從資安角度出發,同樣的問題在不同領域上選擇會不一樣。
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。
