我的ISACA考试经验分享

去年(2018)通过CISSP考试后，觉得CISSP在 资讯安全治理 及 风险管理 的领域谈得不够深入，因此决定继续参加CISM的考试。随后因金融业的朋友–­董世文(小董)先生建议投入资安教育训练领域，为了强化成为资安讲师的资格，所以延续了原本的考照计画，继续考取CRISC, CISA及CGEIT等证照。

这次的考试计画同样採取明确的目标管理及充分的预算準备，再加上有纪律的执行，因此相当顺利；四张证照总计投入时间为61天，合计175小时，平均每天研读约3.5小时。

[

我个人把ISACA的证照定位在治理层次(事实上ISACA也刻意区分治理与管理的差异)，考试所谈的议题及ISACA建构的知识体系相当符合我的期待与需求。CISM完全是由治理的角度出发，亦即由经营阶层(董事会及高阶主管)的角度来定位及指导资安的角色与发展。例如，治理的目的在于交付价值，必须由使命与愿景来展开目标与策略，并搭配策略执行框架(如PMI的OPM)来实现策略；因此必须进行计画与专案(program/project)管理、投入资源及衡量绩效等。治理的同时必须考量风险及符合性(compliance)，也就是企业赚钱必须深谋远虑，且兼顾君子爱财、取之有道之明训。

它的挑战在于必须把看似空洞的理论，对应至企业经营的实务与个人的工作经验；由于个人在资讯领域已有二十多年的工作经验，加上公司成立十年来也充分运用了EMBA所学，再加上刚考过CISSP，资安相关的知识都还在记忆中，因此CISM考试相当轻鬆，前后投入了40小时。

CRISC是我的第二个考试科目，它算是其它ISACA考试的通识科目。準备CISSP及CISM时，事实上已研读了资安的风险概念，再加上之前已取得PMI的RMP风险管理师证照；因此準备CRISC时的挑战，反而是如何整合各家风险理论的说法，如ISO, NIST, ISACA及PMI等。我个人把资安视为风险管理的分支，因此非常建议把多一点时间分配在风险管理上，尤其是企业风险管理、资讯风险及专案风险等的整合。

CISA是内容最多的一个科目，必须同时兼顾治理、管理及技术的议题，挑战性不低。由于CISA大多数内容在準备CISSP, CISM及CRISC的过程都唸过了，所需加强的部份只有稽核领域的议题；因此CISA考试也顺利过关，前后投入了50小时。

CGEIT基本上是IT主管的考试，而不是资安；但它的IT策略执行跟PMI的OPM策略执行框架很吻合，再加上资安也与IT营运有高度的相关性，因此决定继续考CGEIT，以作为我个人2018年度的学习与成长计画的收尾。取得CGEIT后，其实可以考虑PMI的PgMP或PfMP证照，以充实更完整的策略执行议题，并与策略规划接轨。

ISACA的这四张证照，基本上都架构在很扎实的知识体系上，也许初次接触会觉得过于理论；但搭配自身的工作经验来解读这些观念或理论，事实上会有很大的收穫。例如: 让自己的工作经验得到理论支撑；或者遇到没有处理过的议题，则可以有一个理论或参考架构可以依循；与同事或客户沟通时，能够有共同或更精準的语言，除了能增加自身的专业感，也能让客户更有信心。

準备ISACA的考试，建议务必购买官方教材及订阅官方线上题库。ISACA的考试虽然可以自行研读及报考，但参加协会或其它训练机构所举办的教育训练课程，则可以釐清考试方向与观念、节省时间，以及谘询或协助报考、申请资历验证与取得证照等问题。

最后，明确的目标与读书计画、时间管理、公司与家人的沟通与支持、十足的预算準备、对自己的学习承诺与纪律、有效的读书方法与教材，以及拥有一起考试的伙伴及导师(mentor)，都是通过考试的重要因素。

我的考试经验也同时分享在个人部落格(https://WentzWu.com)。
若大家有任何问题，欢迎随时与我连络。

敬祝各位先进前辈 身体健康、考试顺利！

三诚业服务科技
总经理  吴文智

EMBA/CBAP/PMP/ACP/PBA/RMP
CGEIT/CISM/CRISC/CISA
CISSP-ISSMP,ISSEP,ISSAP/CCSP/CSSLP
CEH/ECSA/AWS-CSAA/MCSD/MCSE/MCDBA
SCRUM: PSM Level I/PSPO Level I/PSD Level I
ISO 27001 LA/ISO 27552 LA Courses Completed

PS. 前版提到考试準备期间为49天，因少算CGEIT有误，正确应为61天.

原始出处：我的ISACA考试经验分享–吴文智