- 未填公司未填職務31-35歲
稽核轉資安的入門及後續規劃
各位前輩好
目前已在產險公司稽核室擔任稽核人員四年多
也考取CIA (內部稽核師)及 CISA
最近公司資安部門詢問我轉調意願
我想嘗試
因為在準備CISA(電腦稽核師)的過程
發現自己對資訊很有興趣
只是資安領域龐大
我應該要怎麼入門?
後續又應該如何規劃自己的學習地圖呢?
感謝您
Hi,
進入資安領域,誠如前一位前輩Alvin所說,從會計背景會有需補強的知識。
一般來說,資安的職涯發展,可先大致分為管理面與技術面,這兩個面向又可再分別有不同的發展。
但,要強調的是:在資安需要的「全才」,無論管理或技術,都要「懂這兩個面向」只是「深度的不同」,所以以下並不特別分兩個面向來說明需要的知識:
- 管理系統概念
- 資產管理、風險管理
- 安全架構、模型與設計
- 存取控制
- 人員安全
- 實體與環境安全
- 密碼學
- 通訊及網路安全
- 存取控制
- 軟體開發安全
- 安全評估與檢測
- 安全性作業
- 事件事故處理、緊急應變
- 災害復原、營運持續
- 法規與遵循
以你的背景,建議你先去上國內比較多單位導入/驗證的ISO主導稽核員課程:ISO 27001/ISO 27701(相關的有BS10012),這兩個課程比較偏管理面,加上你的稽核專業,上手會較快,相信上完之後就會有比較完整的概念,你也可以看在這幾個標準提到的相關技術知識,自己比較不足的去進行補強。
以上先回答到第一階段,你能較快著手的,之後再視情況看怎麼往下發展,基本上,你先了解上面的各領域知識和常見的ISO標準之後,你應該就能判斷適合自己的方向,在已具備的「廣度」之下,去建立適合你的「深度」。
你好,
稽核範圍很多,CISA偏重於資訊稽核面,有助於熟悉稽核流程。在稽核領域通常是專業資深背景下才有辦法去看到問題及預防依你的描述,你應屬會計背景,會計背景的應多努力下功夫在資訊管理的實務應用專業知識及流程管控措施,資訊系統流程、資訊技術基礎的架構、資訊保護、災害的復原等等。