我雖然已經在《2015 June CISA Exam Taiwan CAA Class 認證研習班 2》提到自己參加了「2015 CISA 認證研習班」課程,也在《2015 June CISA Exam Taiwan Preparation 考試準備 1》內提到其他準備的方法,包括:蒐集考古題、和參加「2015 CISA中文模擬測驗解析班」。
在這篇文章,我會特別介紹自己學習 CISA 和準備考試的過程,希望對其他有志考 CISA 的朋友有幫助!
以下列出我學習 CISA 的方法:
學習 CISA - 了解自己的資源
我所認識想考 CISA 的人,都是已經有數年、十數年、或數十年工作經驗的社會人士。
所以,我強烈地建議大家讀以下 Steve Jobs 於 2005 年對史丹佛畢業生演講內容中,我最有感觸的一段。
我再說一次,你無法預先把點點滴滴串連起來;只有在未來回顧時,你才會明白那些點點滴滴是如何串在一起的(you can't connect the dots looking forward; you can only connect them looking backwards)。所以你得相信,眼前你經歷的種種,將來多少會連結在一起。
你得信任某個東西,直覺也好,命運也好,生命也好,或者業力。這種作法從來沒讓我失望,我的人生因此變得完全不同。
我也建議大家回想過去從求學到工作的一連串過程,因為這些過程把你帶到現在決定考 CISA。但這些「過去」其實就是你的資源,以及你和其他人最不同的地方。
以我來說,我的背景是工業管理,這個背景幫助我在工作過程中觀察不同組織在第二章:IT 治理的作為,以及 IT 治理和 IT 管理的不同。
我在前公司導入 ISO 的經驗,協助我用系統的概念去理解 CISA 的知識架構及章節;過去幾年參與軟體開發專案的經驗、以及擔任 SQA 的經歷,則協助我理解第三、四、和部份第五章的內容。就是因為這些經歷,大輻減少了我研讀這些內容的時間。
所以,雖然我過去幾個月花了 300 個小時準備 CISA,但主要花 2/5 的時間做考古題,2/5 時間是花在理解、重新認識這些我以為會,但實際上不符合CISA要求的知識。剩下 1/5 的時間是去理解那些我根本從未聽過的內容。
這些過去累積的資源(背景、工作經歷)決定了我如何準備考試、及投資各章節時間的方法。
所以,大家可以開始回想過去的經驗可以如何幫助自己準備 CISA 考試。
學習 CISA - 承認自己的無知
我唯一知道的事,就是我什麼都不知道。
這是蘇格拉底(希臘文:Σωκράτης,拉丁文:Socrates,西元前470年-前399年)的名言。
但這不表示蘇格拉底謙虛,而是他比其他人誠實,能及早認清這個事實,勇於面對自己的無知。因為承認自己的無知才是最難的功課!
但要探尋知識,就得先誠實面對自己的無知,我們才有動機與熱情發問、讀書、思考,知道該學習什麼?也知道該往那裏學習!
最後,才有機會改變自己!
以我來說,我承認自己無知的方法,就是把蒐集到的考古題 excel 檔的欄位加入「所屬章節」、「錯誤數」和「測驗次數」三個欄位。
- 測驗次數 每當我做過一次考題,就把這個欄位加 1。
- 錯誤數 只要我做錯一次考題,就把這個欄位加 1。
- 所屬章節 我會把每個考題都依照問題的核心重新歸類章節。
透過這三個欄位,我可以很清楚地知道我做了幾次題目?那些題目我做對了?那些題目我做錯了?那一個章節我錯得最多?
學習 CISA - 了解自己的錯誤
接著,我會去看答案後面的解釋,然後思考自己為什麼不會?是因為我缺少某些知識?還是其他的原因?以致於我會答錯。
這個答案通常會指向「我欠缺某些知識」。
所以,我會停下來,從問題和答案的關鍵字去找資料,以釐清自己會做錯的原因。例如以下的題目:
34 為了保護VoIP設備免於拒絕服務攻擊,最重要的是確保什麼的安全?
A 讀取控制伺服器(access control servers)
B 會話邊界控制 (session border controllers)
C 骨幹閘道器 (backbone gateways)
D 入侵偵測系統 (intrusion detection system)
我會去 Google 上面提到的所有關鍵字,包括:VoIP、讀取控制伺服器(access control servers)、會話邊界控制 (session border controllers)...。接著,我要知道這個產品/技術是用在那?要解決什麼問題?和其他解決類似問題的手法有什麼不同?相關解決方案的優缺點比較?或是要注意的地方?
學習 CISA - 記錄/更新相關的必要知識
接下來,我會把找到的某個專有名詞的必要資訊,按照 CISA 的章節放入我的筆記中。
我所謂的必要資訊,就是指某個特殊的產品/技術/手段/方法:
- 是用在那些領域?
- 要解決什麼問題?
- 有其他解決類似問題的手法?
- 不同解決手法的優缺點比較
- 其他特別要注意的地方?
最實際的例子就是《Ch.5.4.4 防火牆》,我就分別從網路上蒐集了防火牆的類型、防火牆的運作模式、防火牆的形式、防火牆的架構的相關資料,以應付 CISA 考試的不同面向。
等做考古題檢討錯誤時,我會再去看筆記中的相關知識,這個動作有許多好處:
- 了解自己欠缺的知識,也就是筆記中欠缺的部份,我可以補齊未知的知識。
- 了解自己的認知錯誤,也就是筆記中有理解錯誤的部份,我可以修正自己的誤解。
- 了解自己記憶不足的部份,我可以重覆閱讀/記憶/理解這些部份。
簡單的說,我就是把 PDCA 循環應用在準備考試,把那些我做錯的問題與不懂的知識,一個一個找出來,接著每做錯一次,我就會再重覆看一次,以增加印象。
學習 CISA - 整理類似的必要知識
以《Ch3.5.2 傳統SDLC階段的敘述》為例,我從考古題內知道過去 CISA 曾考過「動態測試」和「靜態測試」,我用關鍵字去找「動態測試」和「靜態測試」的定義與分類活動,所以我在筆記內建了一個表格說明相關的關鍵字。
| 動態測試 | 黑箱測試 (black-box testing) |
| 白箱測試 (white-box testing) | |
| 靜態測試 | 部件檢測 (Desk checking) |
| 結構預排 (Structured walkthrough) | |
| 設計和編程 (Design and code) |
整理必要的知識有個優點,就是知道 CISA 對於某個領域,曾考過那些內容。
學習 CISA - 整理考題
同時,我也會把具有代表性(通常是錯了很多次)的考題與答案,按章節記在筆記內。例如:
最重要的是把答案的說明一起放進來。因為這些說明具體表達了 CISA 出題者對這類問題的思維、觀點、以及出題的動機。
同時,我也把這些考古題又獨立成另外一份文件,同時印出紙本。這樣,在時間不夠的時候,我可以直接看考古題,而不需要把開電腦看筆記。
學習 CISA - 認清你的敵人
從唸大學開始,我就不把一起參加任何考試的同學/朋友當做考試的「敵人」,我也建議大家別這麼做!
我的原因,全寫在《誰是我的敵人?》內了。
就我來看,每個人的最大敵人,往往就是自己!
因為是自己決定準備考試的時間,也是自己決定想看電視而錯過了準備考試的時間,更是讓自己犯錯的人。
我甚至認為,這些自己會犯下錯誤,絕對比將同學認作是敵人來得可怕!反之,只要避免累積這些錯誤,就可以少掉一個背後捅你一刀、扯你後腿的敵人!
學習 CISA - 了解你的對手
另外,就我來看,除了自己是最大的敵人外,另一個最可能被我視為敵人的是 CISA 考試的出題人員。但更嚴格來說,稱呼他們「對手」會比「敵人」更貼切!
因為,這些出題人員就像球場上發球的對手,而答題的人就要嘗試去接球!但我認為與其被動的接球,不如主動的去了解對手過去出手的球路、以及他們在想什麼!
要了解 CISA 的球路,我認為 CISA Review Manual 內的考題和上 ISACA 網站買到的考題後面都有說明,這些說明會是最重要的線索!因為這些答案後面的出題動機,往往透露 ISACA 對 CISA 的期望,所以透過 CISA 出題人員來了解 CISA candicate 是否合格!
舉以下的例子來說:
在審查 IT 資源能力和性能的持續監測流程時,ISA 應當主要確保該流程重點關注:
A.充分監測 IT 資源和服務的服務等級
B.提供資料,以確保能夠即時規劃能力和性能要求
C.提供有關 IT 資源可用性的準確回饋
D.正確預測 IT 資源的性能、能力和負荷量
正確答案:C
準確監控 IT 資源的可用性是持續監控流程的最關鍵因素。
持續監測有助確保符合 SLA,但這並非監測的主要關注點,即使系統離線,它也有可能符合 SLA 的要求,因此,準確的可用性監控更重要。儘管通過能力和性能監測獲得的資料將是規畫流程的輸入,主要觀注點是監控可用性。儘管持續監測有助管理層預測可能的 IT 資源能力,更重要是可用性監控要準確。
單以「持續監控 IT 資源」的手段來說,答案中的四點都可以確保。但以這題的背後因素來說,我看到的是出題人員想要考的是持續監控 IT 資源的「目的」。
更簡單的說,CISA 出題人員想要確認 CISA candidate 是否知道:如果持續監測流程不能確保 IT 資源的可用性,即使達成了選項 A、B、D 也沒有用!
一旦了解出題背後的邏輯,不論題目的敘述和答案選項如何變,你都可以從中選出正確的答案。
學習 CISA - 小結
以上就是我自己學習 CISA 和準備考試的方法。
我不敢保證自己說的一定對,畢竟聽一個
所以,大家就參考、參考,有問題再留言詢問吧!
Jose’s Google+ profile
沒有留言:
張貼留言