完成初級資訊工程師後,就有進一步取得IPAS中級資訊安全工程師的想法,因為過去工作的關係,原因是手上的證照都是產品原廠的證照為主,並沒有中立第三方的證照,另外一點是這張證照有在數發部公告資通安全專業證照清單內。而且可以藉由過去工作經驗,以較少的時間成本,拿嘗試取得這個證照。參加的考試梯次為2024年8月10日。我在7月初投入IPAS 中級準備,前後大約花了一個月的時間左右。
考試科目有兩科目,分別是 資訊安全規劃實務 及 資訊安全防護。在整體考試結果,規劃實務科目對我而言比較簡單,主要這次考的題目,多以ISO標準、風險管理實務、資通安全管理法、作業實務等面向。基本上掌握這些標準運作及法規要求再加上一些些實務概念。就能很順利答題且不太會有什麼失誤。在考試前再練習一下歷年試題用來盤點需要加強觀念要點。成績大概就八九不離十。
另外一科 – 資訊安全防護,我預估成績在及格邊緣上。我有幾題太不小心了,回答時少了一根筋。變成成績有些尷尬。在考試前我也再練習了一下歷年試題,以這次題目難度算是適中。了解一些慣用攻擊手法及因果關係,其實不難答題。但是一定要小心看清楚問題,要再多想一下,避免低級失誤。這次題目比較特別之處是有程式題組。雖然是程式但題目不算難。這個程式以是在Web應用為主,所以了解Web相關攻擊手法,如SQL Injection及Web登入驗證,這個題組就變得十分容易回答。在這一個科目的準備上,我的經驗是了解滲透工具的用途、使用時機及區分比較、CVSS及CVE、OWASP、MITRE ATT&CK、加解密概念、Web防護安全概念 及 相關資安名詞(包含:技術、資安產品名稱 及 作業流程),應該就可以有一個及格成績了。
雖然很多人說這個IPAS資訊安全工程師考試是沒有標準教材可以研讀的,但某一個層面來說,反而一個可以檢視自己不足之處。畢竟資訊安全並不完全是一門純技術領域,更多的是需要理解標準運作、法規要求及各種作業流程實務。讓相關從業人員有一個共通語言,以利協同。完成這次考試後,接下來,我要繼續準備其他的考試囉~~
2024年9月6日 補充:今日公佈成績,順利通過考試。資訊安全規劃實務拿到90多分,而資訊安全防護部份落在70多分。接下來就等證書啦。