【專家主場】「資安真經」の國際專業證書CISA/CISM篇

    作為資安長老,有很多朋友向我查詢 CISSP、 CISA(Certified Information Security Auditor)及CISM (Certified Information Systems Manager)三個保安認證資格中,哪一個比較易應付?各自的職場發展機遇如何?另外,為何有些培訓中心提供三合一課程?應該逐個修讀還是一併報考?

    三種證書,各擅勝場

    根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗,我的建議還是應該先了解每個證書的認證要求,再根據自身條件,訂立學習計劃。說到要考取上述認證的方程式,我認為必須預留半年或以上時間準備,課程編排最好是每星期一次,並於每個周末抽出 4 小時溫習,勝算便很高。讀者看完今次關於 CISA  及 CISM 的介紹後,再重溫上一回「資安真經」の國際專業證書 CISSP 篇,便可為自己決定先考哪一個資訊保安專業認證。

    全球最大的資訊保安專業認證機構 –ISACA

    說到 CISA 和 CISM,首先要了解推出這兩項專業認證資格的機構 ISACA。ISACA 以前的全名是 Information Systems Audit and Control Association,它是全球最大、歷史最悠久的資訊保安專業認證機構。在 51 年前(1987年),ISACA 已在美國推出第一個 CISA 認證,至今已超過十五萬人擁有這項認證證書。ISACA 在全球約有十四萬會員,於 180 個國家內設立了超過 200 個分會。其開辦的四個證書包括 CISA、CISM、CRISC(Certified in Risk and Information Systems Control)及 CGEIT (Certified in the Governance of Enterprise IT) 皆得到 American National Standards Institute (ANSI) 及 ISO/IEC 17024:2012的標準的認可,在資訊保安業界享有純高的地位。

    CISACISMCISSP 三合一

    除了認證獲廣泛接受,全球有這麼多人考取 CISA 認證的原因,在於各大會計師公司都會要求新入行的見習會計師,必須於 3 至 4 年內考獲 CISA 認證,所以在 CISSP 外,很多 IT 人都會同時考取 CISA,以擴闊未來的職場晉升路線。而在課程內容方面,CISSP 的內容在資訊保安技術的含量比較高,亦包含資訊保安的基本原理、網絡和密碼學的原理;而 CISA 是一資訊保安控制與管理為主的課程,內容還包含資訊保安技術的應用,如BCP (Business Continuity Plan)和 DRP(Disaster Recovery Plan),內容比 CISSP 更全面。如果說 CISSP 是資訊保安行業的金牌證,CISA 則是全球超過 150000 人擁有的電腦審計王牌證書。

    至於 CISM 方面,自2003年,全球超過43000 人擁有 CISM 認證資格。如問到 CISA 及 CISM 的課程內容分別在那裡?讀者可以先參考兩個課程的內容。

    CISA 課程內容

    Domain 1:Information System Auditing Process (21%)

    Domain 2:Governance and Management of IT (17 %)

    Domain 3:Information Systems, Acquisition, Development and Implementation (12%)

    Domain 4:Information Systems Operations and Business Resilience (23%)

    Domain 5:Protection of Information Assets (27 %)

    CISM 課程內容

    Domain 1:Information Security Governance (24%)

    Domain 2:Information Risk Management (30%)

    Domain 3:Information Security Program Development and Management (27%)

    Domain 4:Information Security Incident Management (19%)

    從課程內容來看,CISM 比較重視資訊保安整體的考慮,包含控制、管理、資源和成本,若你已經有多年管理的經驗,的確會考慮是否應該直接考 CISM。不過,我個人的建議是先考 CISA,再考 CISM;因為在 CISM 考試中會涉及一些 CISA 的課程內容,例如審計原則、權責分工、監控分類等等基本審計知識,所以如對 CISA 不太熟悉,便有可能因此失分。兩個認證資格的考試時間為4小時,考生在授權考試中心以電腦作答 150 題選擇題,以 800 分為滿分,超過 450 分為合格。

    正因為 CISA、CISM 及 CISSP 在涵蓋內容上有相近之處,加上近年參加 CISM 的要求放鬆,考生毋須再先考獲 CISA 或 CISSP 認證,而是統一為只須擁有 5 年相關工作經驗就可報考,所以便有人會計劃一次過考獲三個認證資格,有求便有供,市場上便出現三合一課程。

    除了CISSP、CISA、CISM外,什麼是 CEH? 請看下一回的「資安真經」の國際專業證書 CEH 篇。

    相關文章:【專家主場】「資安真經」の國際專業證書CISSP

    相關文章