證照取得回顧
在 2021 年 4 月時候已經取得 CISA 認證,準備時間約三個月,CISM 大致上準備方式都和 CISA 一樣,建議先行閱讀我先前寫的 CISA (Link)心得,基本上 CISM 難度、準備時間和心力約 CISA一半,雖然考試重點不太相同,但已具有 ISACA 的邏輯觀念 ,考 CISM 會輕鬆很多,即便沒有 CISA ,CISM也是最好考取的一張。
已取得(有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07— Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
- 2023.2 — Certified CyberSecurity Certification ( CC)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
- 2023.08 — EC-Council Certified Ethical Hacker Practical / Master (CEHP)
2024 (心得連結在最後證照簡稱上)
- 2024.02 — AWS Certified Cloud Practitioner Certification (CCP)
- 2024.02 — AWS Certified Solutions Architect — Associate (SAA)
- 2024.03 — GCP Associate Cloud Engineer (GCP-ACE)
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
個人背景
- 四大會計師事務所 什麼都包的資安技術顧問( 技術評估為主、管理機制為輔)
- 資安評估、資安稽核、資安檢測、技術成熟度評估、解決方案規劃、APP安全檢測、國內外法規或資安框架、縱深防禦架構評估、資訊安全機制評估與輔導
新會員入會的話,註冊時填我的編號我當推薦人,有機會(不一定)有折扣,歡迎聯絡
CISM 課程
CISM 考試個人覺得不需要上課,是 CISA、CISM、CRISC 三個內最好準備的科目,快速瀏覽官方教科書後,官方模擬題庫的觀念練熟就足以自修通過考試,建議可搭配聖經書 All In One 看更容易理解,如果已經有任何一張 ISACA 的認證,那自修一定沒問題,身邊的朋友即便沒有 ISACA 任何一張認證,自修後大多也都第一次考就取得,是最容易入門的一張。
而為了保持動力最重要的是:
先買考試卷!先買考試卷!先買考試卷!
學習順序可從 CISA 到 CISM 會更佳,CISA 對於實務上有很多具體的稽核手法與技術細節,準備上困難很多,需要記住很多控制措施與程序,CISM 則是偏向治理與管理,了解業務需求,從業務與高層角度設計、監控與評估資訊安全管理。
早期時候需先通過 CISA 才可以考 CISM,從學習角度也建議從 CISA 開始準備,資安面最後則是學習 CRISC ,好好深入探討 CISM 提到的資訊安全指標設計、風險回應、系統控制等。如果僅有 ISO 27001 LA 的五天訓練證書( LA不是證照),對於考取 ISACA 的認證還有一段路,ISACA 對於風險有關的細節、定義、手法都在考試範圍內,成功考取後所獲得的知識扎實很多,你的資訊安全管理是不是正確的資訊管理?為何是正確?依照什麼標準框架去做管理?就看這個時候學到多少了。
如果想精進治理與資源優化、效益實現,可以透過 CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議,可以參考我 CGEIT 的介紹與心得文,而 CDPSE 算是一張入門且蠻豐富內容的證照,但內容不夠成為主角,教材比較像是延伸知識(DLC擴充包),很適合打資料保護底子,搭配 CISA 與 CISM(主資料片) 效果更可以提升整體知識的效果。
- 目前全球超過151,000人取得CISA認證,而統計至2021年5月止,台灣持有CISA證照之ISACA會員人數為228人(不含非會員之持證者)。
- 統計至2022年11月止,台灣持有CISA證照之ISACA會員人數為278人
- 目前全球已有超過46,000人取得CISM認證,統計至2021年5月止,台灣持有CISM證照之ISACA會員人數為100人(不含非會員之持證者)。
- 統計至2022年11月止,台灣持有CISM證照之ISACA會員人數為144人
- 目前全球已有超過30,000人取得CRISC認證,統計至2021年5月底,台灣持有CRISC證照之ISACA會員人數為30人(不含非會員之持證者)。
啊對,唸書之前,我希望你看一下我這篇 CISSP 讀書方法(不敗學習力:10大聰明讀書法之 CISSP 證照考試應用心得),用科學的方式唸書,會對於考 CISSP 很有幫助,至少你記得起來 90% 的內容
延伸閱讀,證照跟證明的差別,你的資安證照真的是證照嗎?
教材
CISM 考試複習手冊(第 15 版簡體書),書的編排不像 CISA 27 版這麼好,建議加看 All In One 系列,讀一次即可,主要還是練模擬題。
最新版應該是第 16 版囉 !
Certified Risk and Information System Control (CRISC-ISACA) | Udemy
強烈推薦加看這門課程補充知識,針對 CISM 最困難的 第一章、第二章釐清觀念,因為 CRISC 和 CISM 的 Domain 有重疊到,搭配字幕翻譯、講師的筆記網站即便是英文也沒問題。
Udemy — CISM by Hemang Doshi
強烈推薦這門課程來自修或複習用,特價時候只要幾百元(Udemy每個月都在特價),我覺得可以看這門課程就通過考試,開啟英文 CC字幕與Mircorsoft Edge的翻譯將字幕翻成中文,我透過他的課程考過了 CISA、CISM 與 CRISC。
Certified Information Security Manager (CISM — ISACA) | Udemy
他的書籍我也很推:
Udemy — CISM boot Camp 系列 ( D1-D4)
這個老師的課程講太多技術內容,除非你對技術一竅不通(你應該本來要懂基本的技術名詞知識才對),不然當作課外補充教材就好,幫助沒有上面 CRISC 的筆記網站多,同樣搭配字幕翻譯軟體,即便是英文也沒問題,個人覺得真的時間很多才看這門課。
CRISC Exam Study(極度重要)
CRISC 內容和 CISM 重複性有一定比例,這個網站筆記和 CISM 內容有關連,拿來複習和釐清觀念很有幫助,我個人認為考前至少要認真看過一遍。
題庫練習-通過考試的關鍵
官方模擬題庫絕對是通過的關鍵,建議買官方線上模擬題庫 CISM Review Questions, Answers & Explanations Database(2021系統有更新,介面和下圖不同)系統代替紙本考題,不僅會幫你計算每個 Domain 的分數,還可以模擬考試情形,知道弱的知識章節,重點是可以拆得很細去練習每個子章節,會很清楚知道哪一個章節不懂,加上搭配 Google 翻譯插件變成中文題目,除了可以一直重複考,也幾乎省掉用紙本擦擦寫寫的繁瑣,不需要帶著厚重的書,還可以由系統安排讀書計畫,如果是簡體中文的紙本題庫翻譯得不太好,書本可以用英文版的。
每一題模擬題考完都有四個答案詳細說明,完勝簡體中文紙本,花一筆錢(一年期使用約八千多),並計算平均分數,花一小筆錢絕對完勝重考費用。
每個章節都會計算你的分數,並可以拆到非常細練習,例如可只針對 3.1的知識點做練習,會比紙本來的更能確認理解題目程度。
還可以針對每個章節選擇練習的題目數量。
準備重點 ( 和 CISA 大致相同 )
- 這次準備含看教材約一至二個月左右,大多是平日兩天晚上練題與假日一天,算是慢慢悠閒的準備,主要抓對 CISM 每一章的核心精神很重要,身邊朋友大多準備一個月至三個月即可通過 CISM,方法對了短時間通過絕對沒問題。
- 丟掉一點工作經驗,換成 CISM 與 CISA 頭腦。因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的資安觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。
- 書本可先瀏覽一次,接著從官方線上模擬題庫學習 CISA 與 CISM 的思考,遇到不會的再回去翻書可能會比較有效率。
- 刷爆搞懂模擬題,很多朋友為了省時間,直接刷模擬題練觀念也有機會考過,但學習精神角度出發不建議速成法。
- 官方線上模擬題庫的模擬考到約 80分以上,應該就有很高的機會可通過 CISA 與 CISM 。
- 理解不同資安設備的用途,例如 SIEM 與 MDM。
- 如果擔心不能理解原意考簡體中文可能比較好。
- 找到一間好的公司,不會為了任務而把腰折斷,堅守道德守則與標準要求,如果無法堅守道德守則,甚至會有法律責任或出事情變成你背鍋(但還是不可以亂開缺失),並需要有足夠的時間去好好完成任務。
- 每次考前我都會拜文昌與發願捐款給廟裡或弱勢團體,總比重考好…
- 由於扎實的 CISA 基礎,讓我 CISM 分數高於 600分,若有 CISA 或 CRISC 的話考 CISM 會非常輕鬆。
- 第一張就考 CISM 不會是問題,非常好入門而且難度也低。
- 關於 Kuro 介紹、聯絡方式、文章分享:https://portaly.cc/kurohuang
人生的學習歷程(2024補充)
這張圖是受邀去某超大銀行分享一些學習的心路歷程,就做了這張圖!
CISA、CISM 與CRISC
CISA 需要記住很多硬知識,例如抽樣方式、開發流程等,但 CISM 考題靠觀念理解居多,重點還是理解 CISM 與 CISA要考的精神與方向,瘋狂練習官方模擬題的觀念。
如果你通過了 CISM,那我建議你看看我 CRISC 的準備心得 ,知識的收穫會很大,CRISC 較為深入探討風險管理,而 CISA 與 CISM 並對於風險管理只有沾到邊,想著重的點不同 ,CISA 為稽核與驗證控制,CISM是治理與開發資安管理計畫居多,沒有講太多風險管理的細節。
若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。