iPAS中級資安工程師測驗心得

好久不見

筆者今年考了 iPAS 中級資安工程師認證，在考試之前看了這麼多資源與心得，那也來分享一點、增加學習資源吧

動機

為什麼會想要考這張證照呢?主要是因為

碩士時就考過 iPAS 初級資安工程師了，而進入資安領域這麼久，還在初級實在是拿不上檯面
去年因為免費的關係考了 ISC2 CC (Certified in Cybersecurity Certification)，想要體驗一下兩者的區別
增加動力去熟悉資安管理/法規的知識
很便宜、很便宜、真的很便宜，只要 2,000NTD!!!
~~很想接 iPAS 的獲證者追蹤調查電話~~

先說明一下 iPAS資訊安全工程師-中級能力檢定

來自於經濟部產業人才能力檢定 A.K.A. iPAS(Industry Professional Assessment System)提供的眾多能力檢定之一，資訊安全工程師共有初級與中級兩個等級，而中級可以跳過初級直接報考

另外，中級證照有五年的效期限制，在證照到期 3 個月前可以透過 48 小時的資安相關訓練證明來換發新證¹，而初級無此限制

考科

主要分為法規與管理導向的『資訊安全規劃實務』，以及攻防與技術導向的『資訊安全防護實務』兩科，下方附圖為官方提供的評鑑範圍²，可以直接理解成管理+技術相關的都在範圍內就行了

單科70分以上就及格，兩科皆及格便可取證，若只有單科及格，得保留該成績三年

歷年通過率³

雖然有高有低，但中級的歷年獲證率平均下來僅約 27%，這代表它不是『考了就一定會拿到』的證照，為此帶來了一定的鑑別度。有趣的是，『資安防護實務』的通過率比『資安規劃實務』要低了將近 20%，可見技術導向的『資安防護實務』才是最大的挑戰

雖然本來想要和初級比較，但查了發現初級光這幾年的的獲證率從 29% 一路到 67% 都有，不知道從哪裡比較起，所以就不拿出來混淆焦點了

如何準備?

官方版本

在中級，官方並沒有提供明確的準備書目

大家如何準備

書目

資訊安全(Information security)(上下兩冊)，樓霙
Kali Linux 滲透測試工具

資源

iPAS 資安證照討論區
iPAS 筆記/統整資源
CISSP 的學習資源都有幫助

課程

非常多針對此證照的課程，費用從幾千到上萬都有

筆者如何準備

iPAS 筆記、統整資源
歷屆試題
ChatGPT/Grok

準備歷程

筆者報名的是【114-01中級資訊類第一次鑑定】，因為已經在資安領域打滾了不少時間，憑藉著累積的經驗，這次的考試其實是到前九天才開始準備的，至於為什麼是 9 天?

原本是打算前一個禮拜再開始，但是突然發現考古題好像看不完，就提早了 (最後其實也沒看完😂)

雖然是 9 天，實際上筆者大約花了 40 個小時進行準備，其中大部分的時間都花在做考古題與訂正，再花一點時間透過前面提到的 iPAS 筆記、統整資源進行複習。由於筆者主要是走技術領域，對於資安法規的涉獵較少，所以再抽時間補充資安管理面的法規知識

做考古題

由於官方有公告每年的歷屆試題，所以筆者的大部分時間都花在做考古題上

做考古題不是單單做一題、記一題，這種方式只能應付相同的題目。更重要的是透過題目與選項來提醒自己，XX 領域不熟悉、XX 知識點不瞭解、XX 協定不清楚，要清楚題目在說什麼、每個選項在講什麼，才算是真正理解，否則就算這一題答對了意義也不大

在做考古題時，筆者會一邊筆記不熟悉的知識點，再花時間瞭解透徹

AI 輔助學習

大家都懂得讀書、做考古題，而最大的問題還是在遇到錯誤時的糾正與解惑，需要一位前輩(老師)來回答並解析錯誤，這時筆者就會選擇使用 LLM 來輔助

方法很簡單，直接複製考古題中的文字或是將題目截圖(但不提供答案)並提供給 LLM，請它針對題目提供正確答案，並對每個選項做詳細的解析，就可以得到很完整的結果了

但是要特別注意兩點

LLM 並非全知，解析出來的答案也是有可能出錯，如果解析出來的答案與考古題不同，可以確認看看以下
1. 該試題是否為疑義題釋義版?如果不是，或許該題在後續已經被釋疑並更新了新答案
2. 有可能是 LLM 搞錯了，但這時筆者會調整 Prompt 或切換不同的 LLM 來試試看，筆者常用的是 ChatGPT 與 Grok
3. 也有很少數的題目屬於: 筆者認為是 A 、LLM 也說是 A ，其中的思路也一模一樣，但試題答案就是 B，那就沒辦法了，如果未來測驗時出現了這種題目，不妨在時間內送個釋疑申請，或許會被你挑戰成功喔
針對資安法規類型的題目，由於各國的法規不一，請依照題目中的條款在 Prompt 之中先指示 LLM 參考台灣的特定資安法規或條款再做判斷，否則解析出來的答案可能會跟考古題的解答不一樣，所幸法規類型的題目大家也可以直接到法規資料庫對照法規條文

測驗流程

規則

考兩科: 資訊安全規劃實務、資訊安全防護實務

兩科的考試規則相同

考試時間: 90 分鐘
提早交卷: 考試開始 30 分鐘後
題型(共 40 題)
- 單選題: 15 題
- 多選題: 5
- 題組題: 5(各 4 題)

備註:
- 題目會標註複選題
- 會提供一張白紙，結束後要繳回(測驗過程中筆者都沒有使用到)

電腦作答

測驗都是在電腦上面進行，測驗的介面如附圖，值得注意的有:

點選結束測驗之前都可以自由來回檢視所有題目
單選題是勾選 radio button(圓形按鈕)、複選題是勾選 check box(方形按鈕)
可以點選『試題標記』對題目做標記，不會影響到答案，只是給考生看的

筆者的流程

也一併分享筆者測驗的流程

有猶豫的題目，選完答案後就下標記
全部做完再一一檢查標記的題目，檢查完就把標記清除(如果還會猶豫就不動，維持原答案)
再從第一題重新檢查所有題目與答案(確認是否有理解錯誤，比如說題目問哪項錯誤?填成哪項正確)
開心交卷

結論

順利取證

要不然還講那麼多心得就白分享了😂 只是從 3/24 試題公告確認及格到 6/2 證書寄發，等了快三個月才拿到證書實在是有點久

難度

體感上比 ISC2 CC (Certified in Cybersecurity Certification) 再難一點，但沒有差很多

iPAS 中級資安工程師測驗中常被提到的挑戰是題目的廣度，在零基礎的前提下準備會很漫長。特別是針對技術的部分從異常 Log 的判讀、Exploit 的 Payload 解析到資安框架的排名順序都在範圍之中

對筆者而言

至於這個證照對筆者的幫助呢? 因為本身就是資安工程師了，所以不需要靠這張證照入行，而公司也沒有因為這張證照而加薪(工作不要因此變多就謝天謝地了😂)

最大的幫助看來就是給筆者一個動力去複習基礎知識+資安法規，還有在履歷新增一項證照了吧

證照的幫助

先強調，這只是筆者個人的看法，並不代表資安業界

而大家最好奇的應該就是『這個證照對職涯有幫助嗎?』的確偶爾在某數字人力銀行會看到『iPAS中級資安工程師等證照尤佳』等等的描述，但終究是少數

也的確可以感受到政府持續地在推廣，但筆者的看法是『依照目前這個證照的測驗強度與效力，只能用來佐證你對於資訊安全的基礎具有一定的概念，而實務與技術能力仍有待商確』初級的部分就更不用說了

偷偷抱怨，過去拿到初級資安工程師證照後，每年 iPAS 都會打來做追蹤調查，問公司、問收入、問獎金等等，直到有年不堪其擾理智線斷掉回覆『我不喜歡考張證照後每年被這樣騷擾』才沒有再接到電話

值得一提的是『依據「資通安全責任等級分級辦法」第11條規定，資通安全責任等級列A級、B級及C級機關應分別配置至少4名、2名及1名資安專職（責）人員，各自持有1張以上資通安全專業證照，並持續維持資安證照有效性。』而其中資通安全專業證照的確涵蓋了如 ISO/IEC 27001、OSCP、CPENT 等等耳熟能詳的證照，但並非任何資安證照都算數，要對照資通安全專業證照清單⁴ 是否有你的證照才知道是否合規，而【iPAS 資訊安全工程師中級能力鑑定】就在其中

各位可以比較一下清單中的其他證照，若要說 iPAS 中級資安工程師是其中最好達到合規需求的證照也不為過!

另外要特別提醒想轉職到資安領域的人，拿到證照後並不代表從此就可以無痛轉職到資安，而是一個新的起點，接下來還有更多更深的技術與知識需要繼續精進與學習喔

最後，祝各位在考照的路上武運昌隆👋