ISACA CISM 國際資訊安全經理人準備心得 (Certified Information Security Manager )

繼今年上一篇 CISA 的準備心得,這次分享通過 ISACA 的 CISM 資訊安全經理人準備心得,如果準備方法正確,搭配熟悉模擬題與徹底理解 CISM 精神,想考過絕對沒有問題。

https://www.isaca.org/credentialing/cism

致謝

半年多可以接連一次考過 CISA 與 CISM 要感謝的人很多,如一直鼓勵信心考 ISACA 的 3C 認證大前輩 Andy ,一同向上成長的戰友 Griffin TJAndersenShawn 與其他還在努力準備的朋友,還有年初準備 CISA 中有給予指導但已逝世的 Alex 老師,教導了許多理論與正確實務觀念,正確知識收穫可以抵好幾年的工作經驗,奠定自習 CISM 的基礎。可以在短短時間內完成這麼多目標,已經超出我最初的計畫,接下來也要持續往下一個目標前進!

證照取得回顧

在 2021 年 4 月時候已經取得 CISA 認證,準備時間約三個月,CISM 大致上準備方式都和 CISA 一樣,建議先行閱讀我先前寫的 CISA (Link)心得,基本上 CISM 難度、準備時間和心力約 CISA一半,雖然考試重點不太相同,但已具有 ISACA 的邏輯觀念 ,考 CISM 會輕鬆很多,即便沒有 CISA ,CISM也是最好考取的一張。

已取得(有付費的並持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理
  • 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得
  • 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
  • 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我
  • 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
  • 2020.07 — Azure AZ-900 (心得點我)
  • 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得

2021 (心得連結在最後證照簡稱上)

  • 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
  • 2021.04 — Certified Information Systems Auditor ( CISA )
  • 2021.05 — EC-Council Certified SOC Analyst ( CSA )
  • 2021.08 — Certified Information Systems Manager ( CISM )
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

2022 (心得連結在最後證照簡稱上)

  • 2022.07— Certified Information Systems Security Professional (CISSP
  • 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )

我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。

個人背景

  • 四大會計師事務所 什麼都包的資安技術顧問( 技術評估為主、管理機制為輔)
  • 資安評估、資安稽核、資安檢測、技術成熟度評估、解決方案規劃、APP安全檢測、國內外法規或資安框架、縱深防禦架構評估、資訊安全機制評估與輔導

新會員入會的話,註冊時填我的編號我當推薦人,有機會(不一定)有折扣,歡迎聯絡

CISM 課程

CISM 考試個人覺得不需要上課,是 CISA、CISM、CRISC 三個內最好準備的科目,快速瀏覽官方教科書後,官方模擬題庫的觀念練熟就足以自修通過考試,建議可搭配聖經書 All In One 看更容易理解,如果已經有任何一張 ISACA 的認證,那自修一定沒問題,身邊的朋友即便沒有 ISACA 任何一張認證,自修後大多也都第一次考就取得,是最容易入門的一張。

而為了保持動力最重要的是:

先買考試卷!先買考試卷!先買考試卷!

學習順序可從 CISA 到 CISM 會更佳,CISA 對於實務上有很多具體的稽核手法與技術細節,準備上困難很多,需要記住很多控制措施與程序,CISM 則是偏向治理與管理,了解業務需求,從業務與高層角度設計、監控與評估資訊安全管理。

早期時候需先通過 CISA 才可以考 CISM,從學習角度也建議從 CISA 開始準備,資安面最後則是學習 CRISC ,好好深入探討 CISM 提到的資訊安全指標設計、風險回應、系統控制等。如果僅有 ISO 27001 LA 的五天訓練證書( LA不是證照),對於考取 ISACA 的認證還有一段路,ISACA 對於風險有關的細節、定義、手法都在考試範圍內,成功考取後所獲得的知識扎實很多,你的資訊安全管理是不是正確的資訊管理?為何是正確?依照什麼標準框架去做管理?就看這個時候學到多少了。

如果想精進治理與資源優化、效益實現,可以透過 CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議,可以參考我 CGEIT 的介紹與心得文,而 CDPSE 算是一張入門且蠻豐富內容的證照,但內容不夠成為主角,教材比較像是延伸知識(DLC擴充包),很適合打資料保護底子,搭配 CISA 與 CISM(主資料片) 效果更可以提升整體知識的效果。

https://www.caa.org.tw/cisa-license.php?id=CRISC
  • 目前全球超過151,000人取得CISA認證,而統計至2021年5月止,台灣持有CISA證照之ISACA會員人數為228人(不含非會員之持證者)。
  • 目前全球已有超過46,000人取得CISM認證,統計至2021年5月止,台灣持有CISM證照之ISACA會員人數為100人(不含非會員之持證者)。
  • 目前全球已有超過30,000人取得CRISC認證,統計至2021年5月底,台灣持有CRISC證照之ISACA會員人數為30人(不含非會員之持證者)。

啊對,唸書之前,我希望你看一下我這篇 CISSP 讀書方法(不敗學習力:10大聰明讀書法之 CISSP 證照考試應用心得),用科學的方式唸書,會對於考 CISSP 很有幫助,至少你記得起來 90% 的內容

教材

CISM 考試複習手冊(第15版簡體書),書的編排不像 CISA 27 版這麼好,建議加看 All In One 系列,讀一次即可,主要還是練模擬題。

https://e.jd.com/30538567.html

Certified Risk and Information System Control (CRISC-ISACA) | Udemy

Certified Risk and Information System Control (CRISC-ISACA) | Udemy

強烈推薦加看這門課程補充知識,針對 CISM 最困難的 第一章、第二章釐清觀念,因為 CRISC 和 CISM 的 Domain 有重疊到,搭配字幕翻譯、講師的筆記網站即便是英文也沒問題。

Udemy — CISM by Hemang Doshi

強烈推薦這門課程來自修或複習用,特價時候只要幾百元(Udemy每個月都在特價),我覺得可以看這門課程就通過考試,開啟英文 CC字幕與Mircorsoft Edge的翻譯將字幕翻成中文,我透過他的課程考過了 CISA、CISM 與 CRISC。

Certified Information Security Manager (CISM — ISACA) | Udemy

Udemy — CISM boot Camp 系列 ( D1-D4)

這個老師的課程講太多技術內容,除非你對技術一竅不通(你應該本來要懂基本的技術名詞知識才對),不然當作課外補充教材就好,幫助沒有上面 CRISC 的筆記網站多,同樣搭配字幕翻譯軟體,即便是英文也沒問題。

https://www.udemy.com/topic/cism/

CRISC Exam Study(極度重要)

CRISC 內容和 CISM 重複性有一定比例,這個網站筆記和 CISM 內容有關連,拿來複習和釐清觀念很有幫助,我個人認為考前至少要認真看過一遍。

題庫練習-通過考試的關鍵

官方模擬題庫絕對是通過的關鍵,建議買官方線上模擬題庫 CISM Review Questions, Answers & Explanations Database(2021系統有更新,介面和下圖不同)系統代替紙本考題,不僅會幫你計算每個 Domain 的分數,還可以模擬考試情形,知道弱的知識章節,重點是可以拆得很細去練習每個子章節,會很清楚知道哪一個章節不懂,加上搭配 Google 翻譯插件變成中文題目,除了可以一直重複考,也幾乎省掉用紙本擦擦寫寫的繁瑣,不需要帶著厚重的書,還可以由系統安排讀書計畫,如果是簡體中文的紙本題庫翻譯得不太好,書本可以用英文版的。

https://www.isaca.org/credentialing/cism

每一題模擬題考完都有四個答案詳細說明,完勝簡體中文紙本,花一筆錢(一年期使用約八千多),並計算平均分數,花一小筆錢絕對完勝重考費用。

每個章節都會計算你的分數,並可以拆到非常細練習,例如可只針對 3.1的知識點做練習,會比紙本來的更能確認理解題目程度。

還可以針對每個章節選擇練習的題目數量。

2021 版本,CRISC範例

準備重點 ( 和 CISA 大致相同 )

  • 這次準備含看教材約一至二個月左右,大多是平日兩天晚上練題與假日一天,算是慢慢悠閒的準備,主要抓對 CISM 每一章的核心精神很重要,身邊朋友大多準備一個月至三個月即可通過 CISM,方法對了短時間通過絕對沒問題。
  • 丟掉一點工作經驗,換成 CISM 與 CISA 頭腦。因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的資安觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。
  • 書本可先瀏覽一次,接著從官方線上模擬題庫學習 CISA 與 CISM 的思考,遇到不會的再回去翻書可能會比較有效率。
  • 刷爆搞懂模擬題,很多朋友為了省時間,直接刷模擬題練觀念也有機會考過,但學習精神角度出發不建議速成法。
  • 官方線上模擬題庫的模擬考到約 80分以上,應該就有很高的機會可通過 CISA 與 CISM 。
  • 理解不同資安設備的用途,例如 SIEM 與 MDM。
  • 如果擔心不能理解原意考簡體中文可能比較好。
  • 找到一間好的公司,不會為了任務而把腰折斷,堅守道德守則與標準要求,如果無法堅守道德守則,甚至會有法律責任或出事情變成你背鍋(但還是不可以亂開缺失),並需要有足夠的時間去好好完成任務。
  • 每次考前我都會拜文昌與發願捐款給廟裡或弱勢團體,總比重考好…
  • 由於扎實的 CISA 基礎,讓我 CISM 分數高於 600分,若有 CISA 或 CRISC 的話考 CISM 會非常輕鬆。
  • 第一張就考 CISM 不會是問題,非常好入門而且難度也低。

CISA、CISM 與CRISC

CISA 需要記住很多硬知識,例如抽樣方式、開發流程等,但 CISM 考題靠觀念理解居多,重點還是理解 CISM 與 CISA要考的精神與方向,瘋狂練習官方模擬題的觀念。

如果你通過了 CISM,那我建議你看看我 CRISC 的準備心得 ,知識的收穫會很大,CRISC 較為深入探討風險管理,而 CISA 與 CISM 並對於風險管理只有沾到邊,想著重的點不同 ,CISA 為稽核與驗證控制,CISM是治理與開發資安管理計畫居多,沒有講太多風險管理的細節。

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。

--

--

業餘資安寫手,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。contact@kuronetwork.me

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Kuro Huang

Kuro Huang

618 Followers

對教育充滿期待的資安從業者,現任ISC2台北分會理監事會成員,喜歡用專業興趣交朋友建立友誼。曾擔任資安管理師與四大資訊安全顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。 LinkedIn、文章目錄與個人介紹請參考 :kuronetwork.me