TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากที่ทาง คปภ. ออกประกาศฉบับใหม่เรื่อง “หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560” โดยบริษัทประกันจะต้องผ่านการตรวจประเมินด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security/ Cyber Security) โดยผู้ตรวจสอบอิสระที่มี Certificate CISSP, CISA, CISM, ISO 27001 หรือ โดย CB (Certification Body) เชื่อว่าหลายคนที่อยู่ในวงการคงสนใจ Certificate เหล่านี้มากขึ้น บทความนี้ขอนำ Certificate ที่เป็นที่นิยมอย่าง CISSP, CISA, CISM มาวิเคราะห์กันครับ เผื่อใครกำลังคิดว่าจะสอบอะไรดี
| CISSP | CISA | CISM | |
| ค่าสอบ | 599 USD | ประมาณ 700 USD (Early registration)
|
ประมาณ 700 USD (Early registration)
|
| รายละเอียดการสมัครสอบ | – | +50 USD ถ้าไม่ใช่ Early registration แนะนำว่าสมัคร membership ของ ISACA ไปด้วยเลย | +50 USD ถ้าไม่ใช่ Early registration แนะนำว่าสมัคร membership ของ ISACA ไปด้วยเลย |
| จำนวนข้อสอบ | 250 ข้อ (6 ชั่วโมง) | 150 ข้อ (4 ชั่วโมง) | 150 ข้อ (4 ชั่วโมง) |
| จำนวน Domain area ของเรื่องที่ใช้ในการสอบ | 8 Domain | 5 Domain | 4 Domain |
| คะแนนขั้นต่ำในการสอบผ่าน | 700 จาก 1000 | 450 จาก 800 | 450 จาก 800 |
| จำนวนหน้าของหนังสือที่ใช้ในการสอบ | CISSP All-in-one Guide, 7th Edition จำนวน 1,456 หน้า | CISA Review Manual 2015 จำนวน 468 หน้า | CISM Review Manual 2016 จำนวน 292 หน้า |
| ราคาค่าเรียนโดยประมาณ | 30,000 บาท
เรียน 5 วัน |
30,000 บาท
เรียน 4-5 วัน |
30,000 บาท
เรียน 4-5 วัน |
| การสอบ | Online | Online | Online |
| จำนวนคนที่มี Cert | 199 คนในประเทศไทย (ข้อมูลวันที่ 16 Jan 2017)
คนทั้งโลกมี 112,412 คน |
ทั้งโลกมีประมาณ 115,000 คน | ทั้งโลกมีประมาณ 27,000 คน |
| Pass rate | ไม่มีการบอก pass rate | เอกสารจาก ISACA นานมากแล้วบอกว่าทั้งโลกอยู่ที่ประมาณ 50%
ในประเทศไทย ปี 2553 Isaca-Bangkok เคยแจ้งอัตราการผ่าน 13% |
ในประเทศไทย ปี 2553 Isaca-Bangkok เคยแจ้งอัตราการผ่าน 55% |
| จำนวนประสบการณ์ที่ต้องมีในการ apply cert | 5 ปี | 5 ปี | 5 ปี |
| จำนวนประสบการณ์ที่สามารถ waive ได้ | 1 ปี | 2 ปี | 2 ปี |
หลังจากดูสถิติแล้วดูเหมือนว่า CISM จะน่าสอบที่สุด เพราะอ่านหนังสือแค่ 292 หน้าเท่านั้นเอง น้อยกว่าตัวอื่น ๆ มากเลย โอกาสสอบผ่านก็ค่อนข้างสูง แต่!!! ผมคิดว่าโอกาสที่สอบผ่านสูงนั้นเพราะว่าคนที่มี CISM ส่วนใหญ่มี CISSP หรือ CISA มาก่อนแล้ว การที่จะไปสอบ CISM ไม่ได้ยากมาก เพราะว่าเนื้อหามีส่วนที่ overlap กับ CISSP และ CISA อยู่
อีกสาเหตุที่ CISA มีคนสอบผ่านน้อยน่าจะเป็นเพราะมีคนไปสอบเป็นจำนวนมาก ซึ่งในกลุ่มนี้มีคนที่เป็น Auditor แต่ไม่มีพื้นฐาน Security ไปสอบเยอะ (ปริมาณคนที่เป็น Auditor นั้นมีสูงเมื่อเทียบกับคนที่ทำด้าน Security)
ถ้าอยากได้ความรู้ด้าน IT Security ที่ค่อนข้างมาก แนะนำว่าสอบ CISSP ไปเลยจะดีกว่าครับ
ทั้งหมดนี้เป็นการวิเคราะห์ข้อมูลเพื่อประกอบการตัดสินใจในการสอบนะครับ เรื่อง Security มีการอัพเดทอยู่ตลอดเวลา และความรู้ที่ใช้ในการสอบ Certificate เหล่านี้เป็นเพียงแค่เรื่องพื้นฐานเท่านั้น เนื้อหาค่อนข้างกว้างมาก แต่ไม่ลงลึก ดังนั้นความรู้จากทฤษีก็ต้องเสริมความรู้จากการทำงานจริงๆ ด้วยจริงจะประกอบกันได้อย่างสมบูรณ์
บทความโดย นายณัฐกรณ์ ธีระประยุทธ – Senior Penetration Tester (Incognito Lab), ACinfotec Co.,Ltd. สำหรับผู้ที่สนใจขอคำปรึกษาเกี่ยวกับหลักสูตรอบรม CISSP, CISA, CISM เพื่อสร้างความมั่นใจในการเตรียมตัวสอบ หรือสนใจบริการตรวจประเมินด้านความมั่นคงปลอดภัยของระบบสารสนเทศตามประกาศ คปภ. สามารถตรวจสอบรายละเอียดเพิ่มเติมได้ที่ : http://compliance.acinfotec.com/insurancesector/ หรือท่านสามารถติดต่อขอรายละเอียดเพิ่มเติมได้ที่ http://www.zolventure.com หรือ http://www.acinfotec.com
บทความโดย จริญญา จันทร์ปาน Sales and Solution Delivery Director, ACinfotec Co.,Ltd. และ Zolventure Co.,Ltd. สำหรับผู้ที่สนใจบริการ Security ครบวงจรทั้ง Solution, Consulting, Assessment และ Training สามารถตรวจสอบรายละเอียดเพิ่มเติมได้ที่ http://www.acinfotec.com/ หรือติดต่อทาง Email ที่ jarinya@acinfotec.com ได้ทันที
Ref.
http://www.isaca.org/About-ISACA/Press-room/Pages/ISACA-Certifications-by-Region.aspx
https://web.archive.org/web/20081120013934/http://www.isaca.org.hk/cms/content/view/33/39/
http://www.isaca-bangkok.org/index.php?option=com_content&view=section&id=9&layout=blog&Itemid=29
https://www.isc2.org/myths-about-cissp-training/default.aspx
เกี่ยวกับ ACinfotec
ACinfotec เป็นผู้นำในการเป็นที่ปรึกษาด้าน GRC Services ทั้งในส่วน Process และด้านเทคนิค โดยบริษัทมีการให้บริการหลายแบบ ได้แก่
- IT Standards – ISO 27001, ISO 20000, ISO 22301 CMMI, ISO31000, COBIT5, ISO 29100
- Assessment services – Penetration test, Vulnerability assessment, Incident Handling, Forensics
- Training – PECB, IRCA, EC-Council, CISA, CISM, CISSP, COBIT5, ITIL, Project management
เกี่ยวกับ Zolventure
Zolventure เป็นผู้นำด้านการ Implement และการให้บริการทั้งในส่วน Software tools, Managed service และ Data/Content services ซึ่งบริษัทมีการให้บริการในหลากหลายรูปแบบ ได้แก่
- Big Data service
- GRC services – PCI PA-DSS, Risk Management tools, IT Service Management tools, Business Management tools
- Intelligent gather – Zirious
