如之前分享所述, ISA 官方組織本身發行 ISA/ IEC 62443 個人資安證照

ISA/ IEC 62443 共有四張資安證照. 主題分別為基礎概念, 評估, 設計以及維護. 若能集滿四張證照, 則能成為 Cybersecurity 專家 (expert).

img src: https://www.isa.org/isa-certification/certificate-programs/

這篇主要分享風險評估專家, 也就是 Certificate 2: ISA/IEC 62443 Cybersecurity Risk Assessment Specialist 考照心得.

img src: https://www.isa.org/isa-certification/certificate-programs/

1. Certificate 2: 風險評估專家認證的基本要求：

• 想要考取認證, 一定要報名 ISA 的課程. 課程分為實體以及線上, 實體課程主要位於美國, 所以除非有地緣關係, 通常都會報名線上課程.
• 需考過Certificate 1 才能報考 Certificate 2.
• Certificate 2 的線上課程費用為 USD: 2000 (加入 ISA 會員費用會打折), ISA 官方會提供課程講義.

2. 認證考試範圍

風險評估專家考試範圍涵蓋了下列六個領域

• Preparing for an Assessment
• Cybersecurity Vulnerability Assessment
• Conducting Vulnerability Assessments
• Cyber Risk Assessments
• Conducting Cyber Risk Assessments
• Documentation

3. 報考資格

• 需考過 Certificate 1 才能報考.

4. 考試報名流程

完成課程以及線上測驗後, 需主動通知 ISA 客服索取考試資格代碼 (eligibility code). 拿到考試資格代碼後就能上 Prometric 網站進行預約考試的動作.

目前 Prometric 全臺灣只有一個考場, 位於臺大校園內的 LTTC 財團法人語言訓練測驗中心

最重要的是記得帶護照且一定要提早到考場.

5. 考試時間以及型態

考試時間為兩小時, 共 90 題選擇題.

6. 認證之申請資格與流程

考完出來, 就會收到 Prometric 即時寄出成績單通知是否通過考試, 如下圖

等一陣子後就能在 ISA 網站上查詢證照記錄

ISA 的證照以三年為限, 超過三年要做額外的動作來延長期限.

---

ISA/ IEC 62443 風險評估專家認證應試心得

一如 Ceritification 1 的出題風格 – 試題內容相當的靈活, 再加上沒有考古題的輔助資訊, 所以準備上需要對整體融會貫通而不是死背規範.

此認證主要是要求應試人員具備 Cybersecurity 風險評估的能力, 相關內容來自 ISA/ IEC 62443-2-1, -3-2, -3-3 章節. 除了需定義欲保護的系統外, 也需熟稔如何進行高階 (high-level) 風險評估並產出 security zone & conduit, 接著再根據系統進行具體且詳細 (detailed)的風險評估, 最後產出對應的文件.

其實風險評估說穿了就是在時間, 成本, 保護資產中, 使用有系統的方法進行評估, 並產出數據資料供管理層進行決策. 因為不是每個風險都要處理, 畢竟有些時候處理風險的成本比風險本身還高.

此外, 課程中也會含概許多工具以協助進行不同構面的風險評估, 而工具中也包含了許多開源軟體. 由於我本身是 Debian 官方開發者, 且長期參與 Debian Security Tools Packaging Team, 協助 Kali Linux upstream 資安相關的開源工具. 所以很有趣的看到許多自己參與維護的開源軟體被使用在教材中.