edu_aqniu的博客

原创 CISA 学习笔记 ｜第二章 IT治理和管理

原创 CISA学习笔记-第一章、信息系统审计过程

固有风险（Inherent Risk）：业务自身风险，不采取控制时的风险 控制风险（Control Risk）：采取控制后仍具有的风险 检查风险（Detection Risk）：得出错误检查结论的风险 整体审计风险（Overall Audit Risk）：对每一个控制目标评估出的各类审计风险的综合。抽样不能检查出样本总体的所有错误，但可以将检查风险降低到可接受水平。传统的审计三方关系理论指明，审计作为独立于会计记录之外的一项重要职能，是公司财务信息公允可靠的有力保障，制约着会计行为，制衡了会计权力。

原创 CISSP战斗复盘

真正开始想着去考CISSP是因为在一次和现在就职的公司商务闲聊中，听大哥说35岁之前还可以通过面试找工作，35岁之后就只能靠能力人脉来开拓职场了。

原创 CISSP和Security+的区别和学习建议

能够证明持证人员在广泛的安全实践和原则方面的知识，是对个人信息安全专业知识的客观评估，深受行业雇主和专家的青睐，是有经验的安全从业者、经理和高管的理想选择。目前，国内的信息安全相关的权威认证基本上都是针对具备数年工作经验从业者，偏理论、偏框架、偏指导性，缺乏一个基础级的，实用性的，且含金量较高的安全认证，Security+的出现填补了这一方面的空缺。Security+符合最新的趋势和技术， 涵盖风险评估和管理、事件响应、取证、企业网络、混合/云操作和安全控制等最核心的技术技能，确保工作中的高性能。

原创 7种常见的恶意软件类型

在当今的数字时代，恶意软件攻击威胁持续增加。企业和消费者很难定期保护自己免受这些安全威胁。虽然恶意软件这个术语通常用于描述可以渗透和破坏计算机系统的各种恶意软件程序，但有许多类型可以对系统造成更大的破坏。

原创 IAPP-CIPT备考经验分享——终生学习路漫漫

作为一名有着多年工作经验，游走于各大安全厂商的从业人员，也曾经历过网络安全、信息数据、云安全和数据安全各个发展阶段，特别是近些年数据安全概念火热，GDPR、DSMM、《数据安全法》和《个人信息保护法》相继出台，各大厂商也推出相应解决方案，但对于数据安全与合规始终感觉有点盲人摸象，始终没有一个全面知识体系。经过同行交流，了解到目前数据安全与合规领域比较权威的认证只有EXIN的DPO认证和IAPP的CIPP/CIPM/CIPT认证。

原创 IT审计黄金标准“CISA”备考经验分享-529分成功上岸

所以在综合考量后选择把原计划的14th Jan的考试改到了年后，主要是保证考试的质量，这块也建议大家量力来安排，不要给自己过紧的时间安排，同时也不能不预订考试然后以走走看的形式，还是建议有个时间安排然后循序渐进的方式开展。考虑到国内的数据以及安全的风向标越来越清晰，一个合适的合理的审计能更让上手这些任务驾轻就熟。谷安有着完成的视频课程体系，支持回看，我个人看了不下3，4遍或者更多，主要是碰到一些知识点的时候，书上的内容有限，或者网上的资料不容易理解，所以有老师的讲解更容易接受，关于重点的内容也会着重提出。

原创 【CISM备考经验分享】“”作为信息安全经理”来处理问题的心态尤为重要

复习时间的话，在约定的考试日期往前推2周左右，作为自己的复习时间。平均每天给自己留1-1.5小时复习，周末有空的话可以2小时，肯定够用了。这是上完课一阵有点忘记的情况下，如果上完课趁热考的话，可能还能缩短点，因人而异吧。

原创 善用思维导图，我是这样一次通过CISM的【备考经验分享】

能自己做思维导图真的对学习很有用处，可以把相关知识点位于哪个章节，哪个知识域清晰地梳理出来，最后祝各位备考的同学，和准备考CISM的同学加油，考试必过！

原创 CIPM（DPO高阶）隐私经理认证备考技巧分享

我给自己确定了一套利用思维导图加罗列知识点的方法，争取慢读一遍参考书就把它的主要“骨架”给剥离出来，如果碰到理论点多，实在不好画图的地方，就采用罗列主要提纲的方式，把书上描述的主题给列举出来。这也不是什么十分高明跟玄奥的方法，相信大家都会用。

原创 为了更好的提升自己，历经半年顺利考过CISM（国际信息安全经理认证）

做完ISACA的考试反馈的问题，系统显示我的考试通过，结束了我的紧张CISM的考试复习之路。

原创 我觉得CISA要不比CISSP更难，分享我的备考经验

考试会有没见过的知识点，不多，个人感觉5道多左右，比较少。纠结的题稍微多一些，不要慌，可以先标记下来。之后再一道一道题过一遍。不建议做大规模更改，除非你有90%的把握你做错了，否则不要改，因为你纠结的题大概率会因为你修改而做错。

原创 Security+新版601考过啦，分享我的备考经验

习题一定要刷一遍，第一遍可以边做翻翻教材，记下不懂不熟的地方，每个选项都要去看一下，这一遍主要是巩固知识点。第二遍要检验自己的学习效果，及时查漏补缺。

原创 ISACA CISM 一次通过备考经验分享

考试前，提前20分钟到了约考地点，在相关工作人员做了简单的身份核查工作（双证身份证+其他证件）后，提前十分钟进入考试，熟悉了一下考试系统后正式开始

原创 CISA备考分享-学会做知识点巩固+思维导图

背的滚瓜烂熟是没有用的，甚至在这道题里是正确选项，同一个考点在另一个考题里就不是正确选项了，因此考生需要在学习过程中选择最优答案，

原创 CIPT备考心得分享-下一个考过的就是你

既然CIPT是一门英文考试，那么英语单词的复习就非常重要了。前面看书摘录下来的英文单词，应该用英文翻译软件的单词卡片功能，进行反复记忆，根据艾宾浩斯遗忘曲线定律，一周刷几次，基本90%以上都没有问题了，可以大大提高阅读速度。...

原创 CompTIA美国计算机协会的热门认证一览

CompTIA A+ 认证是对技术人员完成一些工作的能力进行确认，例如：安装、配置、故障诊断、定期维护和基础组网等。该考试还涉及了网络安全、人员及设备安全和环境问题，以及用于客户服务时的沟通技巧等领域。...

原创 CISSP监考官给我一张A4纸，内容朝下放在桌子上，说...

全程做下来就是在难易题目间来回横跳，时而简单时而纠结，我大概有30%的题目是十拿九稳的，30%的题目是略有纠结，30%的题目非常纠结，10%的题目的知识点完全是知识盲区，答案纯靠猜。

原创 分享CompTIA Security+ 新版的变化，越来越像CISSP了

网络安全攻击持续增加。越来越多的工作角色被赋予基线安全准备和响应的任务，以应对当今的威胁。Security+的更新反映了与这些工作角色相关的技能，并为候选人更积极地预防下一次攻击做好准备。为了应对这些新出现的威胁...

原创 2022薪酬调查结果，CRISC和CDPSE更是包揽了冠亚军

美国《证书》杂志Certification Magazine近日发布2022薪酬调查结果,本次调查涵盖了900多项IT认证，调查对象涵盖了全球114个国家的持证人员。最终评选出全球IT证书薪资排行榜75强。

原创 时候在你的职业技能中增加隐私知识了，那今天就说下CDPSE吧

当我们提到隐私专业人员时，我们通常会想到具有数据保护官 (DPO) 称号的人，但这是一种狭隘的观点。隐私专业人员无需拥有 DPO 头衔即可履行隐私责任。隐私专业人员是负责、管理或支持收集、使用、访问或处理个人信息的人员。这些角色包括安全专业人员、开发人员、分析师、销售和营销人员以及人力资源和法律专业人员。...

原创 我的备考分享：良好的企业治理需要CGEIT

ISACA于2007年推出了国际注册企业IT治理证书（Certified in the Governance of Enterprise IT－CGEIT），满足企业IT治理专业人员的需求。

原创 最高检：聚焦金融、电信、互联网等领域 打击泄露个人信息违法犯罪

近日，最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》（以下简称《通知》），要深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作，聚焦重点行业、重点领域、重点群体开展监督办案，充分发挥公益诉讼检察职能，依法追究违法主体的民事责任，督促行政机关履职尽责，增强惩治预防效能。...

原创 CISSP考试回忆录 | 考试契机、曲折备考、考试现场回顾

CISSP一共有250道题，360分钟，平均每道题1.44分钟（不去吃饭的话），还有一点注意的是，考题做完一道是一道，不能往回修改。

原创 IT审计工具和流程

T审计是识别和评估与IT有关的固有风险，只要这个事情与IT有关，它就一定会存在因为IT的信息系统的特点而存在的固有风险，这就和IT审计有关系。

原创 CIPM隐私经理-464分高分秘籍攻略

按谷安备考安排，在 2022.1.10 ～ 2022.3.13 号有8周的时间需要自己复习看书，准备思维导图。我也对自己时间做了计划，在 2.14 号之前把书看一遍，在2.14 ～ 3.13 日在看第二遍书的时候，把思维导图准备好。1.10 ～ 2.14 号中间遇到了春节，春节期间就是一有空就花个半个小时的时间看几页书，平时下班后会在公司也会看会书。看第一遍书的时候主要是先让自己对于纯英文资料有个大概的熟悉，把一些影响自己了解的英文生字用网易有道记录下来。

原创 想从事信息安全相关工作，Security+认证真的适合我吗？

Security+是针对信息安全基础级从业者的认证，号称信息安全敲门砖，偏重技术实操。无论是信息安全专业毕业生和其他专业，还是没有经过正统安全教育的小白帽，甚至是信息安全管理岗位的资深人士和非安全岗位的运维及开发人员，Security+都不失为一门优秀的安全技术实操类培训。通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞、渗透，应用程序、数据安全和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。为什么说Se

原创 国际注册风险及信息系统控制证书CRISC含金量咋样？

国际注册风险及信息系统控制证书CRISC自2010年推出以来，全球已有超过26,000名专业 人士获得了认证，证明了他们在业务管理和IT风险管理方面的能力，能够识别、评估和管理信 息系统和技术风险，并帮助企业实现其业务目标。CRISC为IT专业人士提供评估、治理和缓解风险的工具，使您有能力直面真实世界的威胁。随着数据泄露事件频发及其对公司信誉的损害日益增加，IT专业人士的重要性越来越凸显。备受推崇的CRISC证书向雇主展示了持证人员识别和评估IT风险、帮助企业实现业务目标的 能力。CRISC迄今已经获得

原创 CIPM隐私数据经理认证备考经验分享

数据安全、个人信息与隐私保护的合规监管环境在全球数字化背景下不断加强，中国的数据合规也迎来了春天，为信息安全从业人员开辟了一条新的安全赛道--隐私保护。IAPP（International Association of Privacy Professionals）是国际知名的隐私保护专业机构，其发布的CIPP/E/US/A/C、CIPM和CIPT认证得到了全球隐私保护业界的高度认可。我们作为隐私保护从业人员，考取IAPP的认证可以系统化地学习掌握隐私保护的基本知识，也可以获得业界的认可。我从事信息安

原创 ISACA系列-CISA CISM CRISC CDPSE CGEIT维持政策分享

必须符合如下要求才能保持其资格： 每年最低应达到并报告 20个CPE 学时，同时在三年报告期间最低应达到并报告 120 个 CPE 学时。向 ISACA（国际信息系统审计协会）国际总部全额交付 CPE 维护年费：85美金/年。被选中参加年度审查时，必须响应并提交参加 CPE 活动的所需文件记录。遵守 ISACA 的职业道德规范。

原创 信息安全入门Security+认证新版601听说要出中文考试了

CompTIA Security+ SY0-501中文版在今年1月底下线了，有消息说601中文版将于6月上线

原创 国内渗透认证CISP-PTE 备考攻略（含题型示例）

CISP-PTE 知识体系使用组件模块化的结构包括4个层次：知识类、知识体、知识域、知识子域

原创 通过我的分享，希望你也可以顺利通过OSCP渗透认证

通过对OSCP的学习和考试，不但提升了自己的渗透技能，获得含金量高的证书，也让我拥有了异常强大的耐心和毅力。最后祝福想考这个认证的朋友们，都顺利通过。

原创 CISA国内IT审计行业的“上岗证”

近日，美国知名的IT媒体CIO Insight通过衡量证书的价值和含金量评选出了2021年度7大最佳IT证书，CISA证书名列第二。CISA国际注册信息系统审计师证书自1978年推出以来，已经有超过150,000名专业人士通过考试认证。无论是企业的招聘经理，还是商业和政府机构都对CISA持证人员求贤若渴，全球专业人士都将CISA视为IS/IT认证的“黄金标准”。CISA作为信息系统管理与安全首选认证，一直名列“薪资最高证书之列”，是全球最受追捧证书之一，被誉为国内IT审计行业的“上岗证”，.

原创 最有价值信息安全认证CISSP

CISSP老生常谈，安全人最最认可的资质证书非CISP和CISSP莫属。其中，CISSP认证作为网络安全行业的“金牌认证”，享誉全球、含金量高，颇受行业雇主和专家青睐。持有CISSP认证者优先，已经是很多甲方公司招聘安全专家的要求之一。拥有CISSP将助您升职加薪，脱颖而出，更有竞争力！近日为大家整理了关于CISSP的最新资料，文末领取。为何CISSP是适合您的认证？CISSP®(Certified Information Systems Security Professi...

原创 信息安全管理体系“裁判员”ISO/IEC 27001 Auditor审核员

信息安全管理发展至今，越来越多的人认识到安全管理在整个企业运营管理中的重要性，而作为信息安全管理方面最著名的国际标准—ISO/IEC 27001(简称ISMS)，则成为可以指导我们现实工作的最好的参照。ISO27001目前作为国际标准，正迅速被全球所接受。依据ISO27001标准进行信息安全管理体系建设，是当前各行业组织在推动信息安全保护方面最普遍的思路和正确的先进决策。ISO/IEC 27001 Auditor为培养 ISO 27001标准审计人员所开设的课程，注重信息安全管理体系的审计的内容。I..

原创 CDSP基于《数据安全法》和《个人信息保护法》的数据安全专家认证

CDSP是什么？《数据安全法》和《个人信息保护法》是数据安全与隐私保护的基本大法和数字经济发展领域的重要基石。为了响应国家政策和法规，贯彻《数据安全法》在数据安全技术与合规方面的人才培养号召，帮助从业人员更全面的掌握数字安全的知识和技能，并扩展《个人信息保护法》与隐私计算的知识和技能，云安全联盟大中华区重磅推出CDSP数据安全认证专家。数据安全认证专家CDSP（Certified Data Security Professional)，是数据安全领域普遍认可的专业认证资质，以《数据安全法》和《个人信

原创 《上海市数据条例》公布后，以下相关岗位正在变得很抢手

11月25日上海市十五届人大常委会第三十七次会议表决通过《上海市数据条例》（以下简称《条例》，全文请见“阅读原文”），以促进数据利用和产业发展为基本定位，聚焦数据权益保障、数据流通利用、数据安全管理等三大环节，条例增加1个新名词：数据财产权益、1个最关注：个人信息特别保护，条例将于2022年1月1日起施行。关于条例:明确了数据处理是指数据的收集、存储、使用、加工、传输、共享、开放、流通等；数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。上海

原创 学习网络安全一头雾水，想找些学习资料都不知道哪里入手？

网络安全小白常去的学习网站分享

原创 与你相关|《个人信息保护法》发布后我们能做什么？

《中华人民共和国个人信息保护法》于11月1日正式施行，其中明确收集个人信息，应当限于实现处理目的的最小范围；处理个人信息应当与处理目的直接相关，采取对个人权益影响最小的方式。《个人信息保护法》将正式实施，这是一部保护公民个人信息的专门法律，与《民法典》《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。任何组织、个人不得非法收集、使用、加工、传输消费者个人信息，不得非法买卖、提供或者公开消费者个人信息。收集消费者个人信息，应在事先充分告知的前