嗨 我是CCChen
預計參加 iPAS 資安工程師 能力鑑定
學習步驟:
簡章了解-->考試科目理解-->收集考古題-->分析題型與主題-->彙整主題+核心重點-->擬定學習計畫-->執行學習動作-->模擬案例學習-->整理學習筆記-->整理考試重點-->題目練習-->錯題複習-->弱點加強學習-->考前衝刺-->正式考試
使用GPT-5 彙整相關資料
提供分析資料: 官網公告報名簡章+113/114 公告各科目考古題
AI彙整內容應自行再次確認正確性, 僅供參考.
根據提供的 iPAS 資安工程師相關資料(包含114年資訊安全工程師能力鑑定簡章及歷年試題),整理了「出題方向」與「題型類型」的彙整,方便掌握考試重點與題型特性:
主要出題方向與核心主題
初級
- 資訊安全管理概論
- 資訊安全管理系統(ISMS)架構與運作
- 相關法規與遵循(個資法、資通安全管理法等)
- 資產分類與風險管理基礎(資產盤點、風險評估、風險處理)
- 存取控制基礎(身份認證、權限管理)
- 事故管理與營運持續性
- 資訊安全技術概論
- 網路安全與通訊安全基礎
- 作業系統與應用程式安全(漏洞、攻擊手法、防護)
- 資安維運技術(惡意程式防護、弱點管理、備份、日誌管理)
- 新興科技安全(雲端、行動裝置、物聯網)
中級
- 資訊安全規劃實務
- 資訊安全管理系統規劃與法規遵循
- 資安管理實務:存取控制、縱深防禦、職務區隔(SoD)、安全架構設計
- 風險管理實務(風險分析、評估與處理)
- 資訊安全防護實務
- 弱點、威脅分類及攻擊手法
- 防護與應變實務
- 作業安全實務(安全維運、滲透測試、原始碼檢測、資安健檢)
出題風格與建議
- 強調實務應用與法規遵循:例如事件通報時間、資安政策核定職務、資安風險處理方法。
- 考察新興技術趨勢:生成式 AI 的攻擊風險、零信任架構、雲端安全控管。
- 混合理論與案例分析:以案例情境設計複選題,考察法規運用與技術控管判斷。
- 考題多使用「不適合」、「不正確」類反向表述,需仔細辨識。
準備建議
- 熟讀法規與標準:ISO 27001:2022、資通安全管理法、個資法、NIST CSF等。
- 強化風險管理知識:風險評鑑流程、風險處理策略(避免、緩解、分擔、保留)。
- 練習情境題判斷:特別是複委託管理、事件通報、資安架構設計。
- 掌握技術實務基礎:存取控制、滲透測試、系統安全與弱點掃描。
- 善用官方公布試題與樣題演練:以熟悉題型與出題思維。
參考官方「iPAS 資訊安全工程師初級」能力鑑定資料,針對初級考試兩科(科目一「資訊安全管理概論」與科目二「資訊安全技術概論」)的考試主題分布整理,讓你清楚掌握各主題的比重與重點:
總結
- 管理概論側重管理系統、法規遵循、風險管理與事故處理,強調政策與流程
- 技術概論側重技術基礎、系統與應用安全、維運操作與新興技術安全
- 兩科各有約 50 題選擇題,考試時間75分鐘,答題時需兼顧理論與實務知識
針對無資安背景、每日可用2~3小時學習、目標是10天取得 iPAS 資安工程師初級合格證書,為你規劃以下緊湊且高效的10日學習計劃:
iPAS 資安工程師初級 10天詳細重點筆記安排
Day 1:認識考試與資訊安全管理概念入門
- 考試架構
- 初級兩科:資訊安全管理概論、資訊安全技術概論
- 題型:單選題,每科50題,75分鐘
- 資訊安全基本概念
- 資訊安全三要素:機密性、完整性、可用性 (CIA)
- ISMS(資訊安全管理系統)簡介
- 資訊安全政策與管理流程概念
Day 2:重要法規與標準入門
- 主要法規介紹
- 個人資料保護法(個資法)重點
- 資通安全管理法基礎
- 國際標準
- ISO 27001:2022 核心內容
- 資訊安全目標要求
- 法規遵循重要性
Day 3:資產與風險管理基礎
- 資訊資產概念
- 資產盤點與分類分級
- 資產清冊的建立與維護
- 風險管理基礎
- 風險評鑑流程(辨識、分析、評估)
- 風險處理四大策略:避免、降低、分擔、保留
- 風險處理計劃
Day 4:存取控制與身份認證技術
- 存取控制類型
- DAC、MAC、RBAC基礎介紹
- 身份認證方式
- 密碼、多因子認證(MFA)、生物識別
- 授權管理與權限控管
Day 5:加密技術與金鑰管理 / 事故管理與業務持續計劃
- 加密基礎
- 對稱式與非對稱式加密
- 數位簽章與驗證
- 金鑰管理
- 金鑰產生、存放、使用、撤銷與銷毀
- 事故管理
- 資安事件與事故定義
- 事件通報流程
- 業務持續計劃
- 備援與災難復原
Day 6:網路安全基礎
- 網路設備角色
- 防火牆、入侵偵測系統(IDS)
- 通訊安全
- VPN原理與應用
- 通訊協定安全(TLS/SSL)
- 常見攻擊手法
- DDoS、釣魚、網路釣魚
Day 7:作業系統與應用程式安全 / 惡意程式與弱點管理
- 作業系統安全
- 使用者權限控管
- 常見漏洞與防護(如SQL注入、跨站攻擊XSS)
- 應用程式安全
- 安全開發基本觀念
- 惡意程式
- 病毒、木馬、勒索軟體介紹
- 防護措施與弱點掃描工具概述
Day 8:新興技術安全 / 日誌管理與監控
- 雲端安全
- 共享責任模型
- 雲端資安風險與控管
- 行動裝置與物聯網安全概念
- 日誌管理
- 日誌收集、分析的重要性
- 監控工具簡介
Day 9:模擬試題演練(資訊安全管理概論)
- 練習50題模擬單選題
- 針對管理概論主題進行
- 錯題解析與重點複習
Day 10:模擬試題演練(資訊安全技術概論)與總複習
- 練習50題模擬單選題
- 技術概論範圍
- 錯題整理與重點回顧
- 法規、風險管理、技術安全、事故管理等重要主題
請持續追蹤, 後續更多的學習分享.
CCChen
