【資安管理國際證照懶人包】學習心得、考試要點一次整理 ...

【資安管理國際證照懶人包】學習心得、考試要點一次整理！2022 轉職夢幻工作看這篇. 資安考照大全一次整理！ TO 精選觀點 2021-12-30. 證照,ISACA. Share 【為什麼我們要挑選這篇新聞】愈來越多公司開始注重專業技能的認證，而證照也成為面試、加薪的最佳能力證明之一。

原文作者Kuro現為四大會計師事務所的資安顧問，在學習並考取國際認證後，來看看他最推薦的考照組合有哪些吧！（責任編輯：邵元婷） 本文經資安工作者的學習之路授權 如何確保學習到正確的資安管理與資安治理觀念？想對非技術領域有知識增長？可透過學習ISACA的想法來入門資安治理與資安管理！ISACA針對不同領域出了相對應重要的證照，相較於偏向技術知識的證照更深入探討風險，雖然ISACA每一張探討的面向不同，但都可以相輔相成讓知識完整的串連起來，由CISA/CISM/CRISC/CGEIT快速建立概念，提升自身價值。

學習緣由 雖做我是做技術領域出身，但這幾年都待在每天談論「風險」的四大會計師事務所，除了資安檢測、技術面的機制評估，還會同步去做稽核與風險控制評估。

在四大除了練就要萬能以外，也是把自己的能力發揮到「淋漓盡致」，技術要做管理也要會，如果可以在兩者之間取得經驗，與IT、業務單位和高階管理層溝通上會更加順暢。

而問題來了，人人都喊「風險管理」，那誰的風險管理觀念是可信的？要如何完整清楚且有系統地談論資安風險管理、資安治理的概念？近年來資安的研討會越來越多，從學術領域到產品產商都在舉辦，與其聽他人講，那不如親自去了解國際組織所認為的「風險」為何。

而透過ISACA的認證來學習所謂治理、管理與GRC（Governance、RiskandCompliance）是個快速且正確方式，透過他人所述的答案也不一定正確的，唯有自己學習與思考才可以轉換在實務，正確用在工作上、遵守道德守則更為重要！ 個人背景 四大會計師事務所—資安顧問 資安治理、藍圖規畫、電腦系統資訊安全評估、資安稽核、資安檢測、技術防護成熟度評估、解決方案規劃、APP安全檢測、國內外合規檢視、資安框架評估、縱深防禦設計、風險控制評估。

核心認證通過時間（含連結）： 2021.04—CertifiedInformationSystemsAuditor (CISA) 2021.08—CertifiedInformationSystemsManager (CISM) 2021.09—CertifiedinRiskandInformationSystemsControl (CRISC) 2021.10—CertifiedintheGovernanceofEnterpriseIT (CGEIT) 所以我應該考哪一張？ISACA考照組合包： 由於曾經在甲方待過，現職待在乙方的四大，如果你不能想考但無法抉擇從哪一張開始，可以考慮方向如下，當然皆為個人的經驗與想法: CISA 喜歡稽核稽爆與業務流程評估，建立全面的基礎治理管理知識，稽核方法框架— CISA CISA是快速建立其他三張認證的好基礎，但也不影響直接從其他張入門學習。

CISM 工作夠用，但需要與全面瞭解資安治理、管理的正確觀念並打好基本功，如資安管理顧問與資安管理師— CISM CISM建立起正確觀念與邏輯的基本能力，但常見的IT技術還是要懂，否則在工作上會和IT溝通不良。

記住，資安與IT不是對立，是要加上稽核一起合作解決問題，這是CISM的精神之一。

CRISC 對資安「風險」超級有愛，想嘴一套風險管理方法的乙方顧問或資安風控師，確保正確的風險評估、建立風險控制設計與監控指標— CRISC（必要）＋CISA/CISM二選一 CRISC深入探討風險管理框架與流程，比CISA、CISM清楚更多，對於任一職業搭配CRISC的知識，可以讓管理風險能力大幅加成，絕非只有台灣常見ISMS的那套框架，受益良多！ CGEIT 想了解資安治理、資安管理並有維運資安設備，須將資源（Resource）與績效最佳化— CISM＋CGEIT 透過CGEIT學習資源優化、IT治理與效益實現，理解IT治理的重點，CGEIT上的觀念也會幫助到資安治理，資安單位可能會需要維運資安設備，資源優化和效益實現就會派上用場；資安稽核也可以透過CGEIT觀念，去稽核時協助提好的建議。

而同樣一個問題在稽核（CISA）、IT（CGEIT）、與資安經理（CISM）所回答的做法都有可能不同，例如與委外合約中，CIO可能會以IT治理優先，更注重SLA與廠商績效是否能符合預期，但CISO會比較更注重資安要求，那如果資安單位有維運資安設備就會需要CGEIT觀念。

個人四張學習完後，私心的且最驚艷的證照還是 CRISC 和 CISA。

學習心得與ISACA證照想法 CISA :全面的了解各個領域，雖然了解的不深，但對於ITAuditor來說，搭配電腦審計的實務經驗，足以對生涯大大加分，可以了解覆核控制設計，與整套基於風險的稽核流程，去了解GRC的重要性，且稽核為三道防線最後一道。

至於最常被提及的ISO27001LA，只能對新手建立最入門的基本能力，比較像是學認識控制點和導入ISMS的標準要求，建立基本的資安框架概念，較沒有深入探討資安管理與治理，且一般ISO27001LA是完成培訓的證明。

CISM :學完CISM後，相較其他三張內容，CISM像是基本幫你建立正確的治理觀念，主要是清楚了解了管理與治理的重點、方向，並執行資安管理計畫（Program），教導你「應該要做什麼」，如果說CISSP是技術的百科全書，那CISM或許有點像觀念的百科全書，同樣並不專精於特定領域。

CRISC :如果你真的從事風控（CRO）、超熱愛狹義的「風險管理」的資安顧問，或你是專門設計控制措施的資安從業者，那可以考慮取得CRISC。

CRISC所聊的風險管理，較為深入也延伸了CISM、CISA內容，例如學習正確的IT風險評估，探討KCI（KeyControlIndicators）與KRI（KeyRiskIndicators）設計，學習整套風險管理框架，真心大推。

CGEIT :了解企業治理、企業IT治理與管理、資源與績效管理並優化，算是IT日常維運上需要的基本功，對於IT治理是最深入探討的一張，針對資源管理、績效管理、價值交付、SLA等議題，在有資安技術組的單位中，資安設備維運也會用上其觀念。

儘管CGEIT與COBIT在大型的企業中才派的上用場，但其中的觀念絕對值得學習，例如在評估出低風險的流程中，或許實際上都會接受該風險，或者置之不理，但我們應該注意其中低風險流程所帶來的機會，評估後是否有機會降低我們的控制成本，將資源放置到更需要的地方。

學習了這麼多內容後，並不是將內容硬套到企業或客戶身上，舊有組織文化的限制外，還要考量整體環境的成熟度，都可能是造成無法順利改革的原因。

也不要因為考了證照就把自己的話當聖旨，認為自己的觀點都是正確的，很可能自己看的不夠多也不夠廣，需要尊重業務單位與IT單位，雙方具有良好的溝通合作，是關鍵的成功因素之一。

而學到的正確觀念都必須透過實務經驗來實踐，將知識逐漸的納入工作和專案內，讓理論與實務相輔相成，才不會考完就把正確觀念丟在腦後，最後你的道德與人格也就隨波逐流的去了… ISACA台灣分會針對CRISC與其他證照差異說明 CRISC係為參與營運層面處理風險的專才提供專業認證；CGEIT旨在為擔任資訊治理及風險管理之重要管理、諮詢及確保角色之資訊科技專才提供專業認證。

CRISC是為需要設計、實施及維護資訊系統控制的資訊科技及企業專才而設；而CISA為執行控制設計及營運效果獨立覆核的資訊科技專才而設計，增進消費者和公眾對本認證和持證者的信心。

CRISC專業認證係為工作亦包括到安全、營運及法令遵循的資訊科技專才而設；而CISM旨在為管理、設計、監控及/或評估企業資訊安全的人才提供專業認證，資訊安全包括辨識及管理資訊安全的風險。

CDPSE為ISACA最新推出的認證，這一兩年持有CDPSE的會員大多是透過資格審查（早期計畫）換來的，故大多沒有真的去閱讀ISACACDPSE實際教材的觀念與方法論，CDPSE公信力目前也有待驗證，過幾年看市場的認同程度如何了。

ISACA四張核心認證學習教材總整理 簡單整理之前四篇文章的學習資源，快速呈現出透過哪些教材或線上筆記做學習，彙整成一份總報告，並附上連結 2021.04—CertifiedInformationSystemsAuditor( CISA ) CISA考試複習手冊（簡體書） ISACACISAQ&Eonlinesystem CISAExamStudyNotes Udemy :CertifiedinInformationSystemAudit(CISA)byISACA 蒐集網路上的筆記 2021.08—CertifiedInformationSystemsManager( CISM ) CISM考試複習手冊（簡體書） ISACACISMQ&Eonlinesystem Udemy—CISMbootCamp CRISCExamStudy Notes（包含CISM名詞與觀念細節） 蒐集網路上的筆記 2021.09—CertifiedinRiskandInformationSystemsControl（CRISC） CRISC考試複習手冊（簡體書） CRISCAllInOneExamGuide ISACACRISCQ&Eonlinesystem Udemy :CertifiedRiskandInformationSystemControl(CRISC-ISACA) CRISCExamStudy Notes 2021.10—CertifiedintheGovernanceofEnterpriseIT（CGEIT） CGEIT考試複習手冊（簡體書） ISACACGEITQ&Eonlinesystem 自己寫整理筆記 ISACA考試注意要點 丟掉一點工作經驗，接受ISACA，換成CISM、CISA、CRISC與CGEIT頭腦。

因為工作的觀念很可能不是對的，而是前輩和客戶要求的經歷讓我們以為很正常，但其實很多時候我們做專案的觀念是錯誤的，即便因為現實面必須要使用錯的方法，也要知道自己是錯的，不要誤導後輩。

確實理解官方模擬題，這是你通過的關鍵之一 中英文考試都可，中文考試不會看不懂，如果對英文用字遣詞沒把握，還是考慮選母語來作答更佳 整體而言官方模擬題練到約90分以上，應該就有很高的機會可通過各科考試。

但CRISC與CGEIT官方模擬題的題目很少，要更熟悉課本內容。

建議能夠熟悉框架，例如可以完整的說明整個風險管理流程（CRISC），將整個學習脈絡整理起來。

要考到證照必定要先買考試卷，不然都不會認真準備考試！ 已取得認證(表列部份有付費的並持續更新) 2019.01—CiscoCertifiedNetworkAssociate:RoutingandSwitching（CCNARS）（文化大學進修推廣部上課) 2019.11—NetworkSecurityofPacketAnalysisCourse（NSPA）（重點整理） 2019.12—EC-CouncilCertificationEthicalHacker（CEH）（心得） 2020.04—CiscoCertifiedNetworkProfessional:Enterprise（CCNPEnterprise）（心得） 2020.04—VMwareCertifiedProfessional:NetworkVirtualization（VCP-NV）（心得） 2020.05—CiscoCertifiedNetworkProfessional:Security（CCNPSecurity) 2020.07—AzureAZ-900（心得） 2020.11—EC-CouncilCertifiedSecurityAnalyst（ECSA & CPSA換證心得） 2021(心得連結在最後證照簡稱上) 2021.02—CertifiedThreatIntelligenceAnalyst( CTIA ) 2021.04—CertifiedInformationSystemsAuditor( CISA ) 2021.05—EC-CouncilCertifiedSOCAnalyst( CSA ) 2021.08—CertifiedInformationSystemsManager( CISM ) ISACACISM國際資訊安全經理人準備心得傳送門  2021.09—CertifiedinRiskandInformationSystemsControl(CRISC) ISACACRISC國際資訊風險控制師認證自修考試心得傳送門 2021.10—CertifiedintheGovernanceofEnterpriseIT(CGEIT) 作者介紹：KuroHuang，安永企業管理諮詢服務資安顧問 充滿熱情的資安從業者，喜歡分享學習心得與參加資安社群活動，希望能對臺灣資安領域有所貢獻，並期望自己與身旁的人能一起進步。

（本文經 資安工作者的學習之路授權刊登，並同意TechOrange編寫導讀與修訂標題，原文標題為〈新手學習資安治理與資安管理：ISACA證照學習組合包與教材總整理(CISA/CISM/CRISC/CGEIT)！〉。

圖片來源：Shutterstock） Share 馬上訂閱CONNECT▼ NowReading 【資安管理國際證照懶人包】學習心得、考試要點一次整理！2022轉職夢幻工作看這篇 24minread 最新文章 雲端運算人工智慧 雲端服務 數位轉型應用 資訊安全 資訊科技 未來生活電動車 智慧城市 新零售 數位金融 數位行銷 通訊科技5G/6G 太空 低軌道衛星 電信通訊 新科技 供應鏈智慧製造 半導體 能源創新 ESG IoT Web3.0元宇宙 區塊鏈 虛擬貨幣 NFT 主題特展2022高薪職涯攻略 2022智慧大工廠趨勢 0% ✕ Close 徵才 報名資安快充線上研討會 最新文章 Podcast 主題特展 2022高薪職涯攻略 2022智慧大工廠趨勢 雲端運算 人工智慧 雲端服務 數位轉型應用 資訊安全 資訊科技 未來生活 電動車 智慧城市 新零售 數位金融 數位行銷 通訊科技 5G/6G 太空 低軌道衛星 電信通訊 新科技 供應鏈 智慧製造 半導體 能源創新 ESG IoT Web3.0 元宇宙 區塊鏈 虛擬貨幣 NFT 投資創新 新投資 新人才 數位醫療 創業故事 公共服務 線上學習 數位政府與未來治理 網路民主與公民 品牌簡介 ABOUTUS 聯絡我們 ✕ 徵才 最新文章 Podcast 主題特展 2022高薪職涯攻略 2022智慧大工廠趨勢 雲端運算 人工智慧 雲端服務 數位轉型應用 資訊安全 資訊科技 未來生活 電動車 智慧城市 新零售 數位金融 數位行銷 通訊科技 5G/6G 太空 低軌道衛星 電信通訊 新科技 供應鏈 智慧製造 半導體 能源創新 ESG IoT Web3.0 元宇宙 區塊鏈 虛擬貨幣 NFT 投資創新 新投資 新人才 創業故事 公共服務 數位醫療 線上學習 數位政府與未來治理 網路民主與公民 品牌簡介 ABOUTUS 聯絡我們 LatestPosts 機器如何學習？從人工智慧到深度學習，完整解密人工智慧發展歷史 企業資安不容百密一疏！如何串連資料保護與資訊安全，杜絕駭客攻擊、啟動全面防護策略？ 自動駕駛計程車開進首爾江南鬧區，8月正式上路載人 疫情期間沒換工作，反而是損失！調查：新人入職薪水比老鳥高7% 最有科學根據的第六感指南！CIA情報員教你如何一眼看穿說謊者陰謀 為提供您更好的網站服務，本網站會使用Cookies及其他相關技術優化用戶體驗，繼續瀏覽本網站即表示您同意上述聲明了解隱私權政策同意並關閉視窗Manageconsent Close PrivacyOverview Thiswebsiteusescookiestoimproveyourexperiencewhileyounavigatethroughthewebsite.Outofthese,thecookiesthatarecategorizedasnecessaryarestoredonyourbrowserastheyareessentialfortheworkingofbasicfunctionalitiesofthewebsite.Wealsousethird-partycookiesthathelpusanalyzeandunderstandhowyouusethiswebsite.Thesecookieswillbestoredinyourbrowseronlywithyourconsent.Youalsohavetheoptiontoopt-outofthesecookies.Butoptingoutofsomeofthesecookiesmayaffectyourbrowsingexperience. Necessary Necessary AlwaysEnabled Necessarycookiesareabsolutelyessentialforthewebsitetofunctionproperly.Thesecookiesensurebasicfunctionalitiesandsecurityfeaturesofthewebsite,anonymously. CookieDurationDescriptioncookielawinfo-checkbox-analytics11monthsThiscookieissetbyGDPRCookieConsentplugin.Thecookieisusedtostoretheuserconsentforthecookiesinthecategory"Analytics".cookielawinfo-checkbox-functional11monthsThecookieissetbyGDPRcookieconsenttorecordtheuserconsentforthecookiesinthecategory"Functional".cookielawinfo-checkbox-necessary11monthsThiscookieissetbyGDPRCookieConsentplugin.Thecookiesisusedtostoretheuserconsentforthecookiesinthecategory"Necessary".cookielawinfo-checkbox-others11monthsThiscookieissetbyGDPRCookieConsentplugin.Thecookieisusedtostoretheuserconsentforthecookiesinthecategory"Other.cookielawinfo-checkbox-performance11monthsThiscookieissetbyGDPRCookieConsentplugin.Thecookieisusedtostoretheuserconsentforthecookiesinthecategory"Performance".viewed_cookie_policy11monthsThecookieissetbytheGDPRCookieConsentpluginandisusedtostorewhetherornotuserhasconsentedtotheuseofcookies.Itdoesnotstoreanypersonaldata. Functional Functional Functionalcookieshelptoperformcertainfunctionalitieslikesharingthecontentofthewebsiteonsocialmediaplatforms,collectfeedbacks,andotherthird-partyfeatures. Performance Performance Performancecookiesareusedtounderstandandanalyzethekeyperformanceindexesofthewebsitewhichhelpsindeliveringabetteruserexperienceforthevisitors. Analytics Analytics Analyticalcookiesareusedtounderstandhowvisitorsinteractwiththewebsite.Thesecookieshelpprovideinformationonmetricsthenumberofvisitors,bouncerate,trafficsource,etc. Advertisement Advertisement Advertisementcookiesareusedtoprovidevisitorswithrelevantadsandmarketingcampaigns.Thesecookiestrackvisitorsacrosswebsitesandcollectinformationtoprovidecustomizedads. Others Others Otheruncategorizedcookiesarethosethatarebeinganalyzedandhavenotbeenclassifiedintoacategoryasyet. SAVE&ACCEPT