ISACA CISA 國際電腦稽核師準備心得 (Certified Information Systems Auditor )

Kuro Huang
資安工作者的學習之路
15 min readApr 18, 2021

今年繼續分享讀書與準備心得,這次分享通過 ISACA 的 CISA 認證的紀錄,也提供我認為比較另類而且有不錯效率準備方法給大家,也感謝我的好朋友們指導,才能讓我順利一次考到,如果有抓到 CISA 要求的精神,要短時間一次考過絕對不是問題。

https://www.isaca.org/credentialing/cisa

證照取得回顧與2021目標

2020 在 CCNP 那篇就訂下 三月考 OSCP 、CISA或雲端相關認證,最後選了 CISA ,將技術、稽核與管理初步湊齊。

已取得(有付費)(持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
  • 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
  • 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( 心得 )
  • 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(點我)
  • 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
  • 2020.07 — Azure AZ-900 (心得)
  • 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA

2021 ( 11月更新 )

  • 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
  • 2021.04 — Certified Information Systems Auditor ( CISA )
  • 2021.05 — EC-Council Certified SOC Analyst ( CSA )
  • 2021.08 — Certified Information Systems Manager ( CISM )
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

2022 (心得連結在最後證照簡稱上)

  • 2022.07 — Certified Information Systems Security Professional (CISSP
  • 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
  • 2022.12.30 — Certified Cloud Security Professional ( CCSP
  • 2023.04 — EC-Council Certified Incident Handler ( ECIH
  • 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)

2024 (心得連結在最後證照簡稱上)

  • 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
  • 2024.02 — AWS Certified Solutions Architect — Associate (SAA)

ISACA 證照學習組合包與教材總整理:

我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修(的邊緣人)對於申請考試和準備上有任何問題都可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。

ISACA 資安證照三兄弟

學習順序可從 CISA 到 CISM 會更佳,CISA 對於實務上有很多具體的稽核手法與技術細節,準備上困難很多,需要記住很多控制措施與程序,CISM 則是偏向治理與管理,了解業務需求,從業務與高層角度設計、監控與評估資訊安全管理,相對單純入門而且好考取,最後則是學習 CRISC ,好好深入探討 CISM 提到的資訊安全指標設計、風險回應、系統控制等,也是最需要清楚理解觀念的一科。最後可以透過 CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位 可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議,可以參考我 CGEIT 的介紹與心得文,而 CDPSE 則是 DLC 概念,當有了主資料片(CISM/CISA)後搭配 CPDSE 有良好的隱私資料保護知識加乘效果!

https://www.caa.org.tw/cisa-license.php?id=CRISC
  • 目前全球超過151,000人取得CISA認證,而統計至2021年5月止,台灣持有CISA證照之ISACA會員人數為228人(不含非會員之持證者)。
  • 統計至2022年11月止,台灣持有CISA證照之ISACA會員人數為278人
  • 目前全球已有超過46,000人取得CISM認證,統計至2021年5月止,台灣持有CISM證照之ISACA會員人數為100人(不含非會員之持證者)。
  • 目前全球已有超過30,000人取得CRISC認證,統計至2021年5月底,台灣持有CRISC證照之ISACA會員人數為30人(不含非會員之持證者)。

個人背景

  • 四大會計師事務所 什麼都做的萬能工具人 — 資安技術顧問( 技術評估為主、管理機制為輔)
  • 資安評估、資安稽核、資安檢測、技術防護成熟度評估、縱深防禦架構評估、APP安全檢測、國內外資安法規、資安框架、控制措施設計

新會員入會的話,註冊時填我的編號我當推薦人,有機會(不一定)有折扣,歡迎聯絡

人生的學習歷程(2024補充)

這張圖是受邀去某超大銀行分享一些學習的心路歷程,就做了這張圖!

CISA 課程?找老師?

上課前先入 ISACA 會員 與買考試券你才會認真準備,不然永遠都不會參加考試還有拖時間。

先買考試卷!先買考試卷!先買考試卷!

假設預算不足,依照 ISACA 系列依照官方線上模擬題庫練習系統與一些相關工作經驗下,我覺得自修足以通過考試,如果已經有任何一張 ISACA 的認證,那自修一定沒問題。

要上課的話,建議找有資安稽核(有CISA)或電腦審計稽核多年經驗的老師,並且五個Domain 都是同一位老師教會比較洽當,像是抽樣若老師有實務經驗,講解和說明會很有幫助,知識點也比較容易連貫,畢竟 CISA 內容大多在電腦審計的工作範圍內,只有四大電腦審計出身的朋友才會有工具與流程上實務經驗(但對於 CH4/CH5 技術領域較為薄弱)。

啊對,唸書之前,我希望你看一下我這篇 CISSP 讀書方法(不敗學習力:10大聰明讀書法之 CISSP 證照考試應用心得),用科學的方式唸書,會對於考 CISSP 很有幫助,至少你記得起來 90% 的內容

教材

CISA考試複習手冊(第27版)(簡體書)

題庫練習

不要用簡體中文的紙本題庫,翻譯得很差。

建議買官方線上模擬題庫 CISA Questions Answers and Explanations Database (2021系統有更新,介面和下圖不同)系統代替紙本考題,不僅會幫你計算每個 Domain 的分數,還可以模擬考試情形,知道弱的知識章節,重點是可以拆得很細去練習每個子章節,會很清楚知道哪一個章節不懂,加上搭配 Google 翻譯插件變成中文題目,除了可以一直重複考,也幾乎省掉用紙本擦擦寫寫的繁瑣,不需要帶著厚重的書,並由系統幫你安排讀書計畫。

每一題模擬題考完都有四個答案詳細說明,完勝簡體中文紙本,花一筆錢(一年期使用約八千多),並計算平均分數,花一小筆錢練絕對完勝重考。

每個章節都會計算你的分數,並可以拆到非常細練習,例如可只針對 3A2 的可行性分析知識點做練習。

還可以針對每個章節選擇練習的題目數量。

2021 更新版 , CRISC 範例

高 CP 的線上課程

強烈推薦這門課程來自修或複習用,特價時候只要幾百元(Udemy每個月都在特價),我覺得可以看這門課程就通過考試,開啟英文 CC字幕與Mircorsoft Edge的翻譯將字幕翻成中文,我透過他的課程考過了 CISA、CISM 與 CRISC。

Certified in Information System Audit (CISA) by ISACA | Udemy

延伸閱讀,證照跟證明的差別,你的資安證照真的是證照嗎?

準備重點

  • 這次準備約三個月左右,大多是平日兩三天練題與假日一天,抓對 CISA 每一章的核心精神很重要,身邊朋友大多準備一個月至三個月即可通過 CISA ,方法對了絕對沒問題。
  • 丟掉一點工作經驗,換成 CISA 頭腦。工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的資安觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩,但若經驗是正確的準備考試會非常快速!
  • 書本先快速瀏覽一次,讓自己對內容都有些印象,接著從官方線上模擬題庫練過一次,先從題目學習 CISA 的思考,錯誤的題目看完說明後再回去翻書,可能對於通過考試會比較有效率。
  • 刷爆搞懂模擬題,很多朋友省時間速考直接刷模擬題練觀念也能考過,但學習精神不建議這樣做。
  • 官方線上模擬題庫150 題模擬考到約 80至 85 分以上應該就有很高的機會可通過 CISA 。
  • 自己整理出每一章節要背的重點,每個人熟悉的領域不同,薄弱的環節也會不一樣,剩下大多靠觀念理解。
  • 如果擔心不能理解原意考簡體中文可能比較好,個人考簡體版覺得還可以,分數也還算不錯。

CISA 、CISM 與 CRISC

CISA 需要記住很多硬知識,例如抽樣方式、開發流程等,而 CISM 考題考大方向的觀念,是三張裡面最好入門的,而CRISC 則是需理解記清楚所有各方面風險從頭到尾的細節。

CISA 的官方課本,其中一小段寫著風險管理流程與分析方法,但因為 ISACA 課本順序並不是很恰當,最初不是很理解風險管理流程和課本上下文關聯性,直到考完 CRISC 回去翻才清楚了解,因為 CRISC 就是較為深入探討風險管理,而 CISA 與 CISM 並對於風險管理只有沾到而已,想著重的點不同 ,CISA 為稽核與驗證控制,CISM是治理與開發資安管理計畫居多,沒有講太多風險管理的細節。

剛入行新手想增加全面的資安核心觀念,也建議念 ISC2 的 CC (Cybersecurity Certification)證照,大推

Summary

2021年初開始準備,四月初考過,重點還是理解 CISA 要考的精神與方向並練習官方模擬題觀念。

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。

--

--

Kuro Huang
資安工作者的學習之路

對教育充滿期待的資安從業者,現任ISC2台北分會理監事會成員,喜歡用專業興趣交朋友建立友誼。曾擔任資安打雜人員與四大會計師事務所資安顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。個人介紹網站https://portaly.cc/kurohuang