CISA和CISM考試: 入門指南與流程

PMP360 2024-1-18

在不斷變化的資訊安全領域中，證照在驗證專業人員的技能和專業知識方面發揮著關鍵作用。Certified Information Systems Auditor（CISA）國際電腦稽核師認證和Certified Information Security Manager（CISM）國際資訊安全經理人認證是其中兩個卓越的證照。儘管這兩種證照都由ISACA（國際電腦稽核協會）提供，但它們具有不同的目的並針對不同的工作實務場景。因此在決定首先考取哪一個證照之前，最好先了解它們各自的針對性以及相互之間的區別是至關重要。

認證簡介

CISA認證

自1978年以來，CISA認證已被全球公認為具備電腦稽核、控管、監視和評估IT組織和業務系統的業界成就標準，用來展示您的專業知識，強調應用基於風險的方法來計劃、執行和報告稽核任務的能力。CISA證照持有人在識別漏洞、確保信息來源的可用性、保密性和完整性以及為組織進行資訊系統稽核方面發揮著至關重要的作用。

CISM認證

CISM認證則涵蓋了IT專業人士如何應對當今最為關注的數據泄露、勒索軟件攻擊和其他不斷演進的資訊安全威脅。通過CISM 認證，你將學會如何評估風險，實施有效的治理並主動應對資安事件。在資訊安全管理領域，CISM在建立和管理資訊安全計劃方面的能力而廣受推崇，是專業人士需要除了資訊安全所需的眾多技術證照外的最佳管理證照。

如何選擇適合您的認證

無論是CISA（國際電腦稽核師）還是CISM（國際資訊安全經理人），都提供了自己獨特的工作實務領域和不同的技能經驗要求，使其對那些渴望在資訊安全和治理的不同方面取得優異成績的個人至關重要。我們下面就從工作實務領域（Domain），工作職稱（Job Title），申請要求（Requirement）等方面進行討論和對比。

對比工作實務領域

雖然CISA和CISM的領域知識都主要集中在資訊安全方面，但各自的側重點有很大的不同：

#	CISA	CISM
領域 (%)	資訊系統稽核流程 (21%) 資訊科技治理與管理 (17%) 資訊系統的取得、開發與建置 (12%) 資訊系統的營運及企業靈活性 (23%) 資訊資產的保護 (27%)	資訊安全治理 (17%) 資訊安全風險管理 (20%) 資訊安全計畫 (33%) 事故管理 (30%)

CISA認證主要側重於稽核、運營和保護。這意味著通過內部控制保護重點資訊資產，從而建立業務彈性。CISA的實務領域涵蓋稽核、風險管理和IT科技治理等主題，並對資訊系統及其控制提供了更廣泛的瞭解。另一方面，CISM認證側重於資訊安全管理的治理和策略。這意味著需要深入瞭解企業資訊安全計畫和事件響應的管理、設計和評估。此外，除了科技專長外，CISM的認證還側重於培養領導技能。最關鍵的區別是：CISM的實務領域聚焦到企業資訊安全的管理，而CISA的領域則更加強調資訊安全控制技術和針對目標對象的稽核。

分析工作職稱

如果想更直觀的瞭解CISA和CISM的差異，那麼從雇主的視角看可能會更加便利。筆者從台灣104人力銀行（中文）和香港JobsDB（英文）這兩個大型的求職徵才平台上分別搜尋了要求CISA或CISM證照的職缺資訊，然後利用自然語言處理（NLP）技術製作了關於資料中工作職稱的文字雲（Word Cloud）。觀察NLP生成的文字雲時，讀者可以通過文字的大小來快速瞭解工作職稱中的關鍵詞組重複出現次數的高低，高者越大，低者反之。

下面兩張圖分別呈現了在台灣104人力銀行和香港JobsDB中，搜尋CISA所產生的文字雲結果：

香港 JobsDB CISA 工作職稱文字雲 — 香港 JobsDB - CISA

透過觀察台灣和香港的CISA工作職稱文字雲，我們發現和CISA相關的工作職稱大部分都圍繞著稽核（Audit），尤其是IT稽核，內部稽核（Internal Audit）最為常見。另外，資安顧問/諮詢（Consultant），資安工程師等也比較常見。

下面兩張圖分別呈現了在台灣104人力銀行和香港JobsDB中，搜尋CISM所產生的文字雲結果：

香港 JobsDB CISM 工作職稱文字雲 — 香港 JobsDB - CISM

觀察台灣和香港的CISM文字雲，不難發現大多數相關的工作職稱主要集中在資安的管理和諮詢為主，而且包含一部分高級管理人員，比如公司資安方面主管（Officer），安全顧問（Consultant），IT安全主管（Manager）等。

通過對比CISA和CISM的工作職稱（Job Title），CISA的職稱名稱更適用於參與稽核、控制和保證的專業人員，這些專業人員的職責包括IT稽核、內部稽核、資安顧問或分析師等。而CISM的職稱名稱則更適用於資訊安全管理和治理領域，包括資訊安全經理、安全顧問或安全性策略師等角色。

對比申請要求

按照ISACA的要求，即使您通過了CISA/CISM的認證考試，也不意味著就能馬上獲得證照，因為還需要您達到一定的工作經驗要求，並向ISACA提交相關的證明材料，才能最終獲得證照（如果您通過了考試，但是工作經驗不夠，也不要著急，ISACA給了您從考試通過之日起計算的5年緩衝期）。雖然CISA和CISM總體上都對候選人有著5年工作經驗的要求，但是細則上還是有很大的差異：

#	CISA	CISM
經驗要求	五 (5) 年（含）以上資訊系統/資訊科技稽核、控制、保證或安全工作經驗。經驗至少符合一個CISA工作實務領域. 經驗豁免最多可抵減三 (3) 年。	五 (5) 年（含）以上資訊安全管理工作經驗。要求在四個工作實務領域中的三個領域擁有至少三年的經驗經驗豁免最多可抵減兩 (2) 年。
經驗豁免	一般工作經驗豁免，最多可抵减1年通用資訊系統或普通審計工作方面的經驗教育經驗豁免，最多可抵减3年副學士學位可抵减1年任何研究領域的學士、碩士或博士學位可抵减2年資訊系統或相關領域的碩士學位可抵减3年 CIMA（皇家特許管理會計師公會）完全認證可抵减2年特許公認會計師公會的ACCA會員身份可抵减2年	一般資訊安全經驗抵减，最多可抵减2年 CISM工作經驗替代（只能選擇下列中的一種），最多可抵减2年合格的CISA可抵减2年合格的CISSP可抵减2年資訊安全/相關領域的MBA或碩士學位可抵减2年資訊安全領域/相關領域的學士學位可抵减1年基於技能的安全認證或一般安全認證可抵减1年資訊系統管理經驗可抵减1年（必須是一整年）

如果利用經驗豁免，CISA最少只需要2年經驗，CISM則需要3年經驗。同時CISM對工作經歷的要求更加仔細，即必須滿足CISM四個工作實務領域中的三個領域，而CISA只要求一個領域。通過比較得出，CISM對工作經驗的要求比CISA嚴格，並且可以使用CISA等證照抵減時間，所以從這個角度看CISM的綜合要求更高，更依賴實務經驗的積累。

小結

通過以上三個方面的介紹和對比，相信您對CISA和CISM已經有了一個比較快速的瞭解。作為職業生涯中期的專業人士，如果您的工作和稽核相關或有志於此領域，那CISA證照會非常適合您。如果您希望在資訊安全管理方面發展自己的職業生涯，那CISM證照將更有助於您獲得領導職位。如果是那些希望在IT領域處於領先地位的專業人士，則建議兩者兼而有之。這些認證不僅有助於他們很好地理解這兩個領域，而且有助於建立該級別所需的知識權威。

考試流程

CISA和CISM考試從流程上分為5個步驟：

登入ISACA網站進行註冊，需注意的是註冊登記的姓名要和您考試日出示的身分證明一致。
在網站上為CISM/CISA考試報名繳費，然後方可排定考試日期
考試日參加考試，可以去實體考場或遠距線上應考（根據您先前的預定）
考試通過後，需先在網站繳納 50 美金的證照申請費用
從網站下載申請表單，按照要求填寫，然後發送ISACA核准

以下表格提供了CISA/CISM考試的概要情況

#	CISA	CISM
考試費	ISACA會員：575 美金非ISACA會員：760 美金考試費無法退還或轉讓，付款後有效期12個月，超出有效期沒有排定考試需重新付款
考試時長	4小時（240 分鐘），150個選擇題。可以向考官要求兩次不超過10分鐘的休息（可能觸發額外的安全檢查）。
考試語言	繁體中文簡體中文英語日語	簡體中文英語日語

證照成本

在不考慮額外的學習成本下，您在CISA/CISM考試上可能的花費為：

非會員：$760(考試費) + $50(申請費) = $810 美金
會員：$145(會員費) + $575(考試費) + $50(申請費)= $770 美金

取得證照後，仍需支付相應的持有成本，這和會員資格一樣需要進行年度支付。有關詳細情況，請繼續閱讀本文。

如何排定考試

按照ISACA的流程，您必須先在網站上支付考試費才能排定考試日期。CISA/CISM考試均為電腦上機考試，並由全球獲授權的PSI 測驗站舉辦（實體考場），或採遠距監考考試形式（線上）。這兩種考試方式均需要在網站上排定日期，如果您選擇在實體考場考試，可以先在PSI查詢您附近是否有合適的考試中心。如果您想選擇在家中遠距監考方式，需要先對您的電腦設備進行相容性檢查，看是否滿足PSI遠距考試的要求。

關於考試改期

如果在資格有效期內，在原本排定的考試日期前至少 48 小時提出，您可以隨時重新安排考試日期，不會產生任何罰金。若您在排定的考試日期前48小時內才提出，則必須如期應試，否則報名費不會退還。

考試日的流程

根據您選定的考試方式，考試當日的流程略有差異。

前往實體考場
- 預定於考試開始時間至少 30 分鐘前抵達，如因遲到引發的無法考試，不能退款
- 務必帶上自己的身分證明文件，特別注意的是，實體考場一般都要求您出示兩項有效之身份證明文件：
  1. 一份有照片的政府簽發的有效證件，如身份證/護照
  2. 考生姓名及簽名的證件，如信用卡等
  *身分證明文件的具體要求請聯繫當地考試中心
- 考試完成後，考場不能立即出具成績單，需要自己在官方網站查詢
遠距監考考試
- 提前完成相容性檢查
- 提前下載安裝PSI Secure Browser，請參考遠距監考指南
- 準備好自己的有效身分證明文件，要求由政府簽發，有自己的照片，且英文名字要和ISACA帳戶中登記的一致，比如護照/居留卡等帶有英文名字和頭像的證件
- 考試開始前30分鐘Launch Exam，等待check-in時間的到來，然後按照屏幕提示完成流程
  - 給你的身份證明文件拍照
  - 使用網絡攝像頭掃描你所在的房間，確保顯示你周圍的辦公桌區域、地板和牆壁
  - 自拍以檢查您是否與您的身份證明文件相符
- 等待遠距監考官檢查你的check-in資料
- 檢查通過後，考官會釋放考試，您可以開始做題

遠距考試的注意事項

請確保你在一個光線充足的房間裏，因為你需要上傳房間的錄影——建議使用人工照明確保明亮。
請確保您的辦公桌空間內沒有任何違禁物品，最好是除了您的電腦不要再有其他的物品。
請不要配戴智能手錶或其他可穿戴裝置
監考員將在考試期間使用你的網絡監視器監督你，請不要有下列情形：
- 視線看著電腦的荧幕外面
- 喃喃自語的發出聲音，或嘴唇默讀題目
- 離開網絡監視器的視野
- 使用任何可能的通訊工具

成績單及證照申請

您完成考試後，可立即在螢幕上查看初步考試結果。您不可拍攝考試任何部分的螢幕畫面或相片，包括考試結果畫面。正式分數則會在 10 個工作天內透過電子郵件寄發，或於線上提供。如果您通過考試，會收到認證申請方式的詳情。

電子郵件通知：寄送至您個人檔案中列出的電子郵件地址
線上結果：在 ISACA 網站的「MyISACA > Certifications & CPE Management」（我的 ISACA > 認證與 CPE 管理）頁面提供
考試分數不會透過電話或傳真提供
無法提供分題結果

如果您的成績通過，可以按照提示支付50美金的申請費，然後上傳申請表單，等待ISACA簽發證照。

有效期和續證

請千萬注意，CISA和CISM證照都只有三年時效，為了能夠在時效到期時進行續證，您需要按照ISACA持續專業進修政策(CPE)的規定向ISACA提交CPE學習時數。

持續專業進修政策

每年最低應達到並報告 20 個持續專業進修 (CPE) 學習時數。
向 ISACA (國際電腦稽核協會) 國際總部全額交付年度持續專業進修 (CPE) 維持費。
在三年報告期間最低應達到並報告 120 個持續專業進修 (CPE) 學習時數。
被選中參加年度審查時，必須回應並提交參加持續專業進修 (CPE) 活動的所需文件記錄。
遵守 ISACA 的職業道德準則。

*未能遵守以上認證要求者，其個人的CISA/CISM證照將被撤銷。

CPE年度維持費用

ISACA會員：45 美金, 非會員：85 美金
如果您擁有2個以上的ISACA證照，從第三個證照開始，會員：25 美金, 非會員：50 美金

如何取得CPE學習時數？

ISACA提供了多種途徑供您獲取CPE學習時數：

參加ISACA網絡研討會和虛擬講師指導培訓，每年可獲得多達36個免費CPE
參加ISACA組織的會議，每年可獲得多達32個CPE
完成ISACA培訓周課程後，最多可獲得32個CPE
完成ISACA線上課程後，每門課程最多可獲得28個CPE

如需要進一步了解更多的學習時數獲取途徑，可以訪問ISACA的相關頁面

結束語

在不斷發展的資訊安全領域中，ISACA提供的CISA和CISM證照是展現您專業知識和技能的卓越標誌，為追求卓越的專業人士提供了不同的發展道路。

無論您選擇CISA還是CISM，都是對個人職業生涯極具價值的投資。CISA認證強調電腦稽核、控制、監視和評估IT組織和業務系統，使持有者能夠在稽核、風險管理和IT治理方面展現卓越能力。另一方面，CISM認證注重IT專業人士在應對當今複雜的資訊安全威脅時的管理技能，包括風險評估、安全治理和事件應對。這兩個證照各有其獨特之處，CISA更適合那些想要從事稽核、風險管理和IT治理的專業人員，而CISM則更適合希望在資訊安全管理和領導方面取得成功的專業人士。我們希望這份CISA和CISM考試的入門指南能夠為您提供清晰的方向，助您在資訊安全領域取得更大的成就。

我們目前提供了針對CISA和CISM考試的專家服務：零壓力，100%通過，先用後付。如有需要，請聯繫PMP360了解更多詳情。

感謝您的耐心閱讀，祝您在考試中取得優異成績，並在職業生涯中蓬勃發展！

CCNA / CCNP系列文章