ISACA CRISC 國際資訊風險控制師認證 (Certified in Risk and Information Systems Control ) 自修考試心得

繼今年通過 CISMCISA 的準備心得,這次分享自修三周多通過最新版的 CRISC 資訊風險控制師準備心得, CRISC 是專為具有資訊科技風險管理經驗,及具有資訊系統控制、設計、實施、監督及維護經驗係之專業人士而設計。

https://www.caa.org.tw/cisa-license.php?id=CRISC

CRISC 與 其他 ISACA 認證比較

引用 中華民國電腦稽核協會之介紹

  • CRISC 係為參與營運層面處理風險的專才提供專業認證;CGEIT 旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。
  • CRISC 是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設;而 CISA 為執行控制設計及營運效果獨立覆核的資訊科技專才而設計。增進消費者和公眾對本認證和持證者的信心。
  • CRISC 專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設;而 CISM 旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證,資訊安全包括辨識及管理資訊安全的風險。

從2021年8月1日起,將更新 CRISC 考試內容(工作實務範疇)如下:

此更新係基於IT風險專業人員在工作實務、市場動態和趨勢的變化,而這些變化更加關注組織的治理、持續風險監控和報告、資訊安全和資料隱私考量。
1.治理 Governance (26%)-Organizational Governance、Risk Governance

2.資訊科技風險評估 IT Risk Assessment (20%)-IT Risk Identification、IT Risk Analysis and Evaluation

3.風險回應與報告 Risk Response and Reporting (32%)-Risk Response、Control Design and Implementation、Risk Monitoring and Reporting

4.資訊科技與安全 Information Technology and Security (22%)-Information Technology Principles、Information Security Principles

https://www.caa.org.tw/cisa-license.php?id=CRISC

ISACA’s Certified in Risk and Information Systems Control (CRISC) certification is ideal for mid-career IT/IS audit, risk and security professionals. Prove your skills and knowledge in using governance best practices and continuous risk monitoring and reporting. enhance business resilience and stakeholder value and gain increased credibility with peers, stakeholders and regulators.

證照取得回顧

半年多可以接連一次考過 CISA、CISM、CRISC 要感謝身邊很多共同目標的朋友, 給予 CRISC 建議的 Kenny 前輩、推著我往前的 3C 前輩 Andy ,一同往正確知識與做事方法的戰友們 Griffin TJAndersenShawnKT

在 2021 年 4 月時候已經取得 CISA 認證,準備時間約三個月;CISM 為八月多取得,準備時間約一個半至兩個月;CRISC 八月底開始準備,約三周多一些。

大致上準備方式都和 CISA、CISM 一樣,建議先行閱讀我先前寫的 CISA (Link)與 CISM ( Link ) 心得,整體來說考試難易度分析:

  • CISA 內容很多又廣泛,有技術、觀念與流程,需要花很多時間記下來
  • CISM 重視觀念,須熟悉大方向與整體的治理、管理觀念,整體來說最容易考。
  • CRISC 有大量的觀念與定義,對於風險的整個計畫細節討論很深入,要很清楚名詞定義與風險相關計畫的順序
  • 考試難易度依照最困難開始為(個人觀感):CRISC > CISA > CISM

已取得 (表列部份有付費的並持續更新)

  • 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
  • 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理
  • 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得
  • 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)(心得
  • 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我
  • 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
  • 2020.07 — Azure AZ-900 (心得點我)
  • 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得

2021 (心得連結在最後證照簡稱上)

  • 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
  • 2021.04 — Certified Information Systems Auditor ( CISA )
  • 2021.05 — EC-Council Certified SOC Analyst ( CSA )
  • 2021.08 — Certified Information Systems Manager ( CISM )
  • 2021.09 — Certified in Risk and Information Systems Control (CRISC)
  • 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)

2022 (心得連結在最後證照簡稱上)

  • 2022.07 — Certified Information Systems Security Professional (CISSP

我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。

個人背景

  • 四大會計師事務所 萬能工具人 — 資安顧問( 技術評估為主、管理機制為輔)
  • 資安評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外法規合規檢視、資安框架評估、縱深防禦架構評估、資訊安全機制評估與輔導、風險控制評估

新會員入會的話,註冊時填我的編號我當推薦人,有機會(不一定)有折扣,歡迎聯絡

CRISC 課程

印象沒有人開設課程,但其實已經有 CISA CISM 證照的話,完全不需要上課也能通過 CRISC,因為觀念會有重複,不會花太多時間重新學習,個人認為擺在 CISA 與 CISM 之後考最洽當,當然在四大的關係,對於管理面、稽核面的知識學習相對好上手。

為了通過考試,請你做下列行動才會有動力:

先買考試卷!先買考試卷!先買考試卷!

學習順序可從 CISA 、CISM 到 CRISC 會更佳,CISA 對於實務上有很多具體的稽核手法與技術細節,準備上困難很多,需要記住很多控制措施與程序,CISM 則是偏向治理與管理,了解業務需求,從業務與高層角度設計、監控與評估資訊安全管理,相對單純入門而且好考取,最後則是學習 CRISC ,好好深入探討 CISM 提到的資訊安全指標設計、風險回應、系統控制等,也是最需要清楚理解觀念的一科。最後可以透過 CGEIT 學習資源優化、IT 治理與效益實現,理解 IT 治理的重點,CGEIT 上的觀念也會幫助到資安治理,資安單位 可能會需要維運資安設備,資源優化和效益實現就會派上用場;資安稽核也可以透過 CGEIT 觀念,去稽核時協助提好的建議,可以參考我 CGEIT 的介紹與心得文。

早期時候需先通過 CISA 才可以考 CISM,CRISC 則是比較新,從學習角度也建議從 CISA 開始準備,最後則是學習 CRISC ,深入探討資訊安全指標設計、風險回應、系統控制等。如果僅有 ISO 27001 LA 的五天訓練證書( LA不是證照),對於考取 ISACA 的認證還有一段路,ISACA 對於風險有關的細節、定義、手法都在考試範圍內,成功考取後所獲得的知識扎實很多,你的資訊安全管理是不是正確的資訊管理?為何是正確?依照什麼標準框架去做管理?就看這個時候學到多少了。

https://www.caa.org.tw/cisa-license.php?id=CRISC
  • 目前全球超過151,000人取得CISA認證,而統計至2021年5月止,台灣持有CISA證照之ISACA會員人數為228人(不含非會員之持證者)。
  • 目前全球已有超過46,000人取得CISM認證,統計至2021年5月止,台灣持有CISM證照之ISACA會員人數為100人(不含非會員之持證者)。
  • 目前全球已有超過30,000人取得CRISC認證,統計至2021年5月底,台灣持有CRISC證照之ISACA會員人數為30人(不含非會員之持證者)。

啊對,唸書之前,我希望你看一下我這篇 CISSP 讀書方法(不敗學習力:10大聰明讀書法之 CISSP 證照考試應用心得),用科學的方式唸書,會對於考 CISSP 很有幫助,至少你記得起來 90% 的內容

教材

官方有出最新的復習手冊英文版(尚未看到中文版),但因為剛改版而且新的 Domain 4 我認為我夠熟悉,故沒有閱讀最新版的復習手冊,而是看整理比較清楚的舊版All In One CRISC (非8月最新版),但即便不看書,熟讀下方的線上課程與網站內容依然可以通過考試。

https://www.amazon.com/CRISC-Certified-Information-Systems-Control/dp/0071847111

線上課程(必看)

Certified Risk and Information System Control (CRISC-ISACA) | Udemy

Certified Risk and Information System Control (CRISC-ISACA) | Udemy

強烈推薦這門線上課程,最新版的 CRISC 知識都涵蓋,因為 CRISC 和 CISM 的 Domain 有重疊到,針對 CISM 最困難的 第一章、第二章也可以釐清觀念,搭配字幕翻譯、講師的筆記網站即便是英文也沒問題。

CRISC Exam Study (上方線上課程講師的網站)

CRISC 內容和 CISM 有一定比例的重複性,這個網站筆記和 CISM 內容有關連,拿來複習和釐清觀念很有幫助,國外的 CRISC 考生非常推薦這位講師的筆記與線上課程,我也靠這個網站的重點整理考過了 CRISC 考試,並針對每個 Domain 內章節排序了筆記做成書籤,有需要請聯絡我索取。

題庫練習

建議買官方線上模擬題庫 (Online QAE),不僅會幫你計算每個 Domain 的分數,還可以模擬考試情形,知道弱的知識章節與安排讀書計畫,重點是可以拆得很細去練習每個子章節,會很清楚知道哪一個章節不懂,加上搭配 Google 翻譯插件變成中文題目,除了可以一直重複考,也幾乎省掉用紙本擦擦寫寫的繁瑣,不需要帶著厚重的書,練習過紀錄可以清除後重新作答複習。

每一題模擬題考完都有四個答案詳細說明,效率高於本許多,花一筆錢(一年期使用約8000),並計算平均分數,花一小筆錢絕對完勝重考。

準備重點 ( 和 CISA 與 CISM 大致相同 )

  • 這次準備含看教材約三周多左右,CRISC 內容很少,但依然考 150 題,所以考得非常細,必須熟記流程與專有名詞定義,
  • 大多是每天晚上練習題目與記清楚所有的重要的定義,主要抓對 CRISC 每一章的核心精神很重要,身邊朋友有人兩周即可通過 CRISC,方法對了短時間通過絕對沒問題。
  • 丟掉一點工作經驗,換成 CISM 、CISA、CRISC 頭腦。因為工作的觀念很可能不是對的,而是前輩和客戶要求的經歷讓我們以為很正常,但其實很多時候我們做專案的資安觀念是錯誤的,即便因為現實面必須要使用錯的方法,也要知道自己是錯的,不要誤導後輩。
  • 先看一次線上課程與講師的網站,接著從官方線上模擬題庫學習觀念,遇到不會的再回去翻網站和查資料。
  • 刷爆搞懂模擬題,這是你通過的關鍵。
  • 官方線上模擬題庫的模擬考到約 80分以上,應該就有很高的機會可通過 CISA 與 CISM ,但 CRISC 我認為需要 90以上。
  • 如果擔心不能理解原意考簡體中文可能比較好,我 CISA、CISM、CRISC 都考中文版,題目敘述體驗還不錯。
  • 由於扎實的 CISA 基礎,讓我 CISM 分數獲得 600 多分,也讓 CRISC 的準備時間縮短很多,務必把自己的分數目標放在 500 分以上,不僅提升通過率外,並為之後的考試鋪路。
  • 找到一間好的公司,不會為了任務而把腰折斷,堅守道德守則與標準要求,如果無法堅守道德守則,甚至會有法律責任或出事情變成你背鍋(但還是不可以亂開缺失),並需要有足夠的時間去好好完成任務。
  • 每次考前我都會拜文昌與發願捐款給廟裡或弱勢團體,總比重考好…

CISA 、CISM 與 CRISC

這張認證在台灣還蠻冷門的,要真心對資訊「風險」有興趣更深入理解可能才會想考,剛開始準備時候我覺得我是不是不太懂風險 ,內容對於討論整套風險管理流程上很有幫助,而且可以學到整套流程和所有細節。想著墨在「風險」本身相關議題,CRISC 是個值得學習的好方向,學完後也可以講出一套對於風險識別、風險分析、風險處理、風險監控整套脈絡惹,做技術也很適合投資學習這塊,

而 CISA 需要記住很多硬知識,例如抽樣方式、開發流程等,而 CISM 考題考大方向的觀念,CRISC 則是需理解記清楚所有各方面風險從頭到尾的細節。而CRISC 就是較為深入探討風險管理,而 CISA 與 CISM 並對於風險管理只有沾到而已,想著重的點不同 ,CISA 為稽核與驗證控制,CISM是治理與開發資安管理計畫居多,沒有講太多風險管理的細節。

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供文章給您。

--

--

業餘資安寫手,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。contact@kuronetwork.me

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Kuro Huang

Kuro Huang

充滿熱情的資安從業者,喜歡用專業興趣交朋友而非透過商業關係建立友誼。曾擔任甲方資安管理師與四大資訊安全顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。 LinkedIn好友、文章目錄與個人介紹請參考 :https://kuronetwork.me