fbpx

昨天總算拿到了ISACA正式的信件通知CSIM的考試通過了,成績是629,分佈是:

Information Security Governance 574
Information Risk Management and Compliance 621
Information Security Program Development and Management 683
Information Security Incident Management 637

上完課後原本還有雄心狀志,想要在三個月內考完CISM的,結果還是因為種種的雜事與懶惰,就讓自己一直到1/13才考試,嚴格來說,真正認真準備考試是在11月中下旬才開始,所以大概是用2個月的週末假日準備,每天大約都是用6-8個小時在進行,考試這種東西,真的要打鐵趁熱,冷了就不好了。

教材:
1.上課時的講義
2.CISM Review Questions, Answers & Explanations Manual

過程:
1.先看完各domain的講義,”簡單”記一下內容,補充的那張Goal -> Objective -> Strategy -> Policy -> …的圖、Risk Management的圖、RTO、AIW的圖及講義中有張Threat、Vulnerability、Control關聯性的圖”用力”記下來,接下來就把Review Questions的題目做一次,做完後,”簡單”地把每一個解釋都看完(無論是對的答案或錯的答案),這個步驛是要比較精確地去抓到每一個domain的重點,在這個過程中,我也把我自己每天的工作試著與CISM的內容去做連結,這一點可能是我運氣不錯的地方,坦白說,CISM裏所說的東西,大多是我每天工作中在執行的,如我經常需要去評估風險、需要去review KRI、需要去評鑑3rd Party、需要定期與senior management簡報與討論等,所以許多時候,還滿能體會CISM中所有表達的。
2.前面的過程做完大約也過了四週的時間,之前做Review Questions的印象也忘了一大半,我再很快地把講義看完一遍(包含補充的教材),把Review Questions做一遍,這次很”用力”地把錯的題目跟答案解釋看完,這個步驟主要的目的就是要測試我自己是否已經在思想上面已融入了ISACA的思維模式。什麼是他們在意的,什麼是所謂ISACA的最佳解,如果已經融入了他們的思維,那麼,這次做的答案就是對的,如果還是錯的,那就代表我們還存在著不一致,所以要”用力”地去理解。
3.考前最後一個週末、前一天晚上及考試當天一早,我把所有的教材再”快速”地看完一次,至此,我應該算是把所有的教材看了三遍。
4.正式考試時,我中間沒有做休息的動作(本來有想,但後來超想解脫的,所以就一題接一題往下寫),我大約用了3個小時的時間完成了所有的題目,再用一點點的時間把之前有註記的題目看一下並調整(我應該差不多註記了30多題,調整了2題)。

最後補充:
1.我認真地拜讀了本班Hurryken同學的分享,所以我在進行先前的刷題準備中,也先參考了答題的正確率後才真的報名考試,我的答題正確率分別是78/76/69/74。
2.我是考英文的題目(簡中我也是完全不行),正式考試時,題目的長度出乎意料地比寫Review Questions短很多。
3.這次考試我遇到了許多與cloud、BYOD有關的題目,大多都是在問出現這些需求時,應該要採用什麼樣的control
4.誰該做什麼事、什麼事是誰的責任等的問題,也時常出現。
5.遇到持續改進,就聯想metrics

以上希望對大家有幫助。