Certified Information Security Auditor(CISA) 國際資訊安全稽核員, 此證照內容注重組織稽核以及內控, 其中包含稽核流程, 資安治理跟管理, 如何保護資訊資產以及企業營運靈活度等等. 換句話說, CISA 主要著重在資安安全稽核以及管理面而非純技術層面.
CISA 適用職務:
InfoSec Institute 網站建議 [1] 下列職務人員可考慮擁有 CISA 證照
- Internal auditor
- Public accounting auditor
- IS analyst
- IT audit manager
- IT project manager
- IT security officer
- Network operation security engineer
- Cyber security professional
- IT consultant
- IT risk and assurance manager
- Privacy officer
- Chief information officer
成為 CISA 流程:
- 確認報考資格
- 決定筆試準備方式
- 報名並進行筆試
- 填寫資格申請表
- 進行審核
- 繳交會費
- 累積持續教育積分 Continuing Professional Education (CPE)
1. 確認 CISA 報考資格:
決定準備 CISA 考試前, 請先確認具備基本要求. 否則即便考過筆試也無法獲取證照, 而考試成績只保留 5 年.
發證組織 ISACA 規定需具備下列五個領域至少五年以上工作經驗. 若滿足特定條件進行抵免, 最少也要有兩年的工作經驗.
- DOMAIN 1 – Information Systems Auditing Process
- DOMAIN 2 – Governance And Management Of It
- DOMAIN 3 – Information Systems Acquisition, Development And Implementation
- DOMAIN 4 – Information Systems Operations And Business Resilience
- DOMAIN 5 – Protection Of Information Assets
抵免條件:
最多抵免一年:
- 一年稽核經驗或一年資訊系統稽核經驗
最多抵免三年:
- 有副學士學位可抵免一年
- 有任何領域學士、碩士或博士學位可抵免 2 年
- 有資訊系統或相關領域的碩士學位可抵免 3 年
- 有 CIMA – Chartered Institute of Management Accountants, full certification 資格可抵免 2 年
- 有 ACCA member status from the Association of Chartered Certified Accountants 資格可抵免 2 年
這邊建議先找好一位 verifier (建議找直接主管). 屆時 CISA 筆試通過後, 會需要他的具名推薦.
ISACA 也提供一些題目, 讓想報考的人了解目前的知識程度:
https://www.isaca.org/-/media/info/cisa-practice-quiz/index.html
2. 決定筆試準備方式
由於每個人學習方法, 以及準備時間皆有所差異. 所以可根據自身需求來選擇下列筆試準備方式.
- 課程
- ISACA 官方線上課程
- ISACA台灣分會 / 中華民國電腦稽核協會實體課程
- 臺灣許多訓練中心都有開 CISA 實體課程
- 自修
以下是我準備 CISA 所使用到的書單、學習網站以及手機 APP:
個人主要準備方式為
- 先進行由中華民國電腦稽核協會開的實體課程, 想參與課程的初衷除了想瞭解其他公司的資安稽核經驗跟狀況, 還想多認識一些資安業界同好.
- 上完課程後, 瀏覽 CISA review manual, 並結合自身的經驗, 進行知識微調.
- 下載 CISA Exam Prep APP, 這個 APP 提供 600 個題目, 且每個題目都會附上 Review Manual 的出處, 以及詳細講解. 好處是隨時都可以找空檔練習並加強觀念. 不過我認為此 APP 在 CISA 的題目設計上有很大的進步空間, 因許多題目在考名詞解釋, 而非情境題.
- 接著在 ExamTopics 網站開始練習題目, 做了約 311 題. 我覺得 ExamTopics 的好處是, 若答案有問題, 可以提出來跟其他人討論.
- 大概做了 600 + 311 題後前去應考.
- ISACA 有不錯的論壇, 裡面有許多資訊可供準備考試的人討論及參考
認證考試範圍
CISA 考試範圍涵蓋了下列四個領域
- Information Systems Auditing Process (21%)
- Governance And Management Of It (17%)
- Information Systems Acquisition, Development And Implementation (12%)
- Information Systems Operations And Business Resilience (23%)
- Protection Of Information Assets (27%)
3. 報名並進行筆試
ISACA 委由 PSI 進行考試, 由於疫情關係, 我選用 PSI remote proctor , 也就是遠端監考方式進行 CISA 測驗
考試方式:
CISA 提供許多語言以供應試選擇, 其中包含簡體中文以及英文.
- 考試時間: 4 小時
- 題數: 150 題
- 形式: 單選題
應試當天:
- 記得帶護照
- 好好閱讀題目敘述, 避免誤解題意
- 遞交答案後, 系統會顯示初步是否通過考試
我個人選用英文考試, 整體作答時間約 118 分鐘.
要注意的是, 作答時要以稽核員的角度來思考該採取哪一種方法較為合適. 畢竟不同角色對於問題的處理方式會有所差異. 如果之前考過 CISM, 務必注意在 CISA 的測驗要轉換角度來思考, 因同一個事件發生, CISA 跟 CISM 的處理方式跟心態都會有所不同.
4. 填寫資格申請表
測驗後約莫 10 個工作天, ISACA 就會透過 email 正式寄送成績單. 若通過測驗, 即可透過 ISACA 官方網站填寫 CISA 資格申請表. 除了自己的資料外, 也須請推薦人填寫相關表單並簽名以進行推薦.
5. 進行審核
一切填寫完畢後, 發證組織 ISACA 就會進行審核. 約兩三天通過審核並授證.
6. 繳交會費
審核完畢, 確定已繳交會員年費 USD: 195 即可生效.
此外, ISACA 與 Acclaim 進行合作, 能在網站上查到證照訊息
7. 累積持續教育積分 Continuing Professional Education (CPE)
- 每年完成最少20小時的持續教育積分。
- 每 3 年完成最少120小時的持續教育積分。
CPE 可以透過參加資安論壇、擔任資安會議講者、參加資安 webinar、寫書或者開課等等方式獲得.
關於 CPE 的詳細資訊, 可參考官方資料
心得:
經由準備 CISA 的過程, 讓我了解稽核技巧, 以及相關稽核風險. 透過不同面向的學習, 能更了解資安全貌.
如果考過 CISSP 再來挑戰 CISA, 準備上會輕鬆不少.
準備時間:
大概十個日曆天, 主要為六日以及週間下班時間.
所花費用:
- CISA Premium (CISA Pocket Prep) NTD: 1460
- Membership USD: 195 (已於 CISM 考照時繳交)
- ISACA USD: 135
- New Member Fee USD: 10
- 142-Taiwan Chapter: USD: 50
- 考試: USD 575
- 申請認證: USD 50
Reference:
[1] https://resources.infosecinstitute.com/certification/job-outlook-cisa-professionals/
[2] https://www.isaca.org/credentialing/cisa
[3] https://www.isaca.org/credentialing/cisa/get-cisa-certified
SZ Lin with Cybersecurity & Embedded Linux 