ISACA CGEIT 國際企業資訊治理師認證 (Certified in the Governance of Enterprise IT) 自修考試心得

分享今年通過最後一張 ISACA 核心認證的 CGEIT ( 國際企業資訊治理師認證 ) 自修考試心得,CGEIT 是旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。

CGEIT 與 其他 ISACA 認證比較

引用 中華民國電腦稽核協會之介紹

  • 建置及管理資訊科技基礎架構與作業搶佔領導地位,個別在資訊治理扮演角色,給董事會及高階管理人員提供重要協助。專業證照肯定這些已經具備專業知識、個人技巧及企業經驗的人提供最大化的貢獻予資訊科技,讓企業成功管理及轉移資訊風險。
  • 支援企業對資訊治理需求之成長
  • 增加對資訊治理良好實務及問題的意識與重要性
  • 定義執行專業資訊治理工作的角色及職責。
  • 統計至2021年9月底,台灣持有 CGEIT 證照之 ISACA 會員人數為28人
  • 統計至2022年11月止,台灣持有CGEIT證照之ISACA會員人數為29人

考試中出題所占的比重:

  1. 企業資訊科技治理 (40%)-Governance Framework、Technology Governance、Information Governance。
  2. 資訊科技資源 (15%)-IT Resource Planning、IT Resource Optimization。
  3. 效益實現 (26%)-IT Performance and Oversight、Management of IT-Enabled Investments。
  4. 風險最佳化 (19%)-Risk Strategy、Risk Management。

證照取得回顧

這八個月內可以接連一次考過 CISACISMCRISC CGEIT 要感謝身邊很多共同目標的朋友, 給予 CRISC 建議的 Kenny 前輩、CGEIT 的陳講師前輩,推著我往前的 多C 前輩 Andy ,一同往正確知識與做事方法的戰友們 Griffin TJAndersenShawnKT

在 2021 年 4 月時候已經取得 CISA 認證,準備時間約三個月;CISM 為八月多取得,準備時間約一個半至兩個月;CRISC 八月底開始準備,約三周多一些,最後 CGEIT 在 九月底念十月中考試,約三周多。

大致上準備方式都和 CISA、CISM 一樣,建議先行閱讀我先前寫的 CISA (Link)、 CISM ( Link ) 與 CRISC心得,整體來說考試難易度分析:

  • CISA 內容很多又廣泛,有技術、觀念與流程,需要花很多時間記下來
  • CISM 重視觀念,須熟悉大方向與整體的治理、管理觀念,整體來說最容易考。
  • CRISC 有大量的觀念與定義,對於風險的整個計畫細節討論很深入,要很清楚名詞定義與風險相關計畫的順序
  • CGEIT 與 COBIT 有關,多為 IT 治理的觀念,我認為具有 IT 實務經驗者學習會比較好運用。
  • 考試難易度依照最困難開始為(個人觀感,不代表教材內容多寡):CRISC > CISA > CGEIT > CISM
  • 學習順序可從 CISA CISM CRISC 會更佳,CISA 對於實務上有很多具體的稽核手法與技術細節,準備上困難很多,需要記住很多控制措施與程序,CISM 則是偏向治理與管理,了解業務需求,從業務與高層角度設計、監控與評估資訊安全管理,相對單純入門而且好考取,最後則是學習 CRISC ,好好深入探討 CISM 提到的資訊安全指標設計、風險回應、系統控制等,也是最需要清楚理解觀念的一科。最後可以透過 CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位 可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議。

已取得 (表列部份有付費的並持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理
  • 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得
  • 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)(心得
  • 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我
  • 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
  • 2020.07 — Azure AZ-900 (心得點我)
  • 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得

2021 (心得連結在最後證照簡稱上)

  • 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
  • 2021.04 — Certified Information Systems Auditor ( CISA )
  • 2021.05 — EC-Council Certified SOC Analyst ( CSA )
  • 2021.08 — Certified Information Systems Manager ( CISM )
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

2022 (心得連結在最後證照簡稱上)

  • 2022.07 — Certified Information Systems Security Professional (CISSP
  • 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
  • 2022.12.30 — Certified Cloud Security Professional ( CCSP

個人背景

  • 四大會計師事務所 萬能工具人 — 資安顧問( 技術評估為主、管理機制為輔)
  • 資安評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外法規合規檢視、資安框架評估、縱深防禦架構評估、資訊安全機制評估與輔導、風險控制評估

新會員入會的話,註冊時填我的編號我當推薦人,有機會(不一定)有折扣,歡迎聯絡

CGEIT 課程

印象沒有人開設課程,但其實已經有 CISM 、CRISC 其一證照的話,完全不需要上課也能通過 CGEIT,因為觀念會有重複,不會花太多時間由 0 開始學習,但 CGEIT 相較於其他三張,算是獨立討論 IT治理 ,跟資安比較沒有直接關係,故有興趣可以直接學習,但如果有 CRISC 就可以將 CGEIT Domian 4 所需學習時間降低很多,就以考試順序來談,我想個人從 CISA > CISM > CRISC > CGEIT 最為合適,詳細說明可以參考我 CRISC 文章的探討。

為了通過考試,請你做下列行動才會有動力:

先買考試卷!先買考試卷!先買考試卷!

教材

官方有出最新的復習手冊中文版,CGEIT 網友的筆記資料非常稀少,所以我基本上把書看完後自己做了筆記。

官方模擬題 QAE

建議買官方線上模擬題庫 (Online QAE),不僅會幫你計算每個 Domain 的分數,還可以模擬考試情形,知道弱的知識章節與安排讀書計畫,重點是可以拆得很細去練習每個子章節,會很清楚知道哪一個章節不懂,加上搭配 Google 翻譯插件變成中文題目,除了可以一直重複考,也幾乎省掉用紙本擦擦寫寫的繁瑣,不需要帶著厚重的書,練習過紀錄可以清除後重新作答複習。

每一題模擬題考完都有四個答案詳細說明,效率高於本許多,花一筆錢(一年期使用約8000),並計算平均分數,花一小筆錢絕對完勝重考

筆記

CISA、CISM 與 CRISC 都有不少國外網友的筆記可參考,但找不到 CGEIT 的額外資源 ,故只能自己寫課本的重點,也加深了許多印象,由於 CGEIT 書很薄而且練習題少,筆記是熟悉觀念重要的一個關鍵。

COBIT 2019

建議可稍微瀏覽過 COBIT 2019 的概念,雖然對於考試來說不是必要內容,但因為 CGEIT 提到不少 COBIT 的概念,如果對於 COBIT 有一些基本了解,在念 CGEIT 課本時候會有加分效果,或可以順便把 COBIT 2019 foundation 一起考取。

準備重點 ( 和 CISA 、CISM 與 CRISC 大致相同 )

  • 這次準備含看教材約三周多左右,CGEIT 內容很少,但依然考 150 題,所以考得非常細,必須熟悉治理的觀念與思考邏輯。
  • 大多是每天晚上練習題目與記清楚所有的重要的定義,CGEIT 的 D1 很重要,務必把教材看熟並記住定義與觀念,建議從QAE題目回推課本找解說最快,方法對了短時間通過絕對沒問題。
  • 丟掉一點工作經驗,換成 CISM CISACRISC 與 CGEIT 頭腦。因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。
  • 從官方線上模擬題庫學習觀念,遇到不會的再回去看課本。
  • 刷爆搞懂模擬題,這是你通過的關鍵。
  • 官方線上模擬題庫的模擬考到約 80分以上,應該就有很高的機會可通過 CISA 與 CISM ,但 CRISC 與 CGEIT 我認為需要 90以上。
  • 如果擔心不能理解原意考簡體中文可能比較好,我 CISA、CISM、CRISC 與 CGEIT 都考中文版,題目的體驗還不錯。
  • 由於扎實的 CISA 、CISM、CRISC 基礎,讓我 CGEIT 分數 D1 ( 考試的 40% ) 有 680 分,也讓 CGEIT 的準備時間縮短很多,務必把自己的分數目標放在 500 分以上,不僅提升通過率外,並為之後的考試鋪路。
  • 找到一間好的公司,不會為了任務而把腰折斷,堅守道德守則與標準要求,如果無法堅守道德守則,甚至會有法律責任或出事情變成你背鍋(但還是不可以亂開缺失),並需要有足夠的時間去好好完成任務。
  • 每次考前我都會拜文昌與發願捐款給廟裡或弱勢團體,總比重考好…
  • 儘管 CGEIT 與 COBIT 在大型的企業中才派的上用場,但其中的觀念絕對值得學習,例如在評估出低風險的流程中,或許實際上都會接受該風險,或者置之不理,但我們應該注意其中低風險流程所帶來的機會,評估後是否有機會降低我們的控制成本,將資源放置到更需要的地方。

CISA 、CISM 、CRISC 與 CGEIT

CGEIT 認證在台灣還蠻冷門的,要真心對資訊治理有興趣,想更深入理解可能才會想考,治理是一個很抽象的概念,你很難說出一套邏輯框架,而透過 CGEIT 與 COBIT 可以建立你的知識體系,內容對於討論整套 IT 治理、優化、價值實現與風險管理流程上很有幫助。想著墨在「IT 治理」本身相關議題,CGEIT 是個值得學習的好方向,但 IT 治理還是需要基於 IT 的實務經驗會更好,理論要與實務相輔相成。

CISA 需要記住很多硬知識,例如抽樣方式、開發流程等,而 CISM 考題考大方向的觀念,CRISC 則是需理解記清楚所有各方面風險從頭到尾的細節。深入探討在「風險管理」,而 CISA 與 CISM 並對於風險管理只有沾到邊,每張證照想著重的點不同 ,CISA 為稽核與驗證控制,CISM是治理與開發資安管理計畫居多,沒有講太多風險管理的細節,最後的 CGEIT 有討論到風險,但著重於 IT 治理,算是跟其他三張比較沒直接關聯,部分觀念是重疊的但也有不同之處,因為 CGEIT 是從 IT 主管出發,而其他都是從資安角度出發,同樣的問題在不同領域上選擇會不一樣。

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。

--

--

業餘資安寫手,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。contact@kuronetwork.me

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Kuro Huang

對教育充滿期待的資安從業者,現任ISC2台北分會理監事會成員,喜歡用專業興趣交朋友建立友誼。曾擔任資安管理師與四大會計師事務所資安顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。 LinkedIn、文章目錄與個人介紹請參考 :kuronetwork.me