我認為最該有的應該是CIA, CCSA （內部稽核師, 內控自評師）

連內控五大要素都不知道, 搞什麼內部控制？一堆資安證照把自評當稽核, 驗證當自評. 風險導向式稽核的風險, 是關注確保經營與財務的不受影響（無繼續經營假設之顧慮), 連動的的法尊風險是另外課題.

打下你一架系統(某個I.P), 不影響業務, 財務, 或許有商譽或法尊課題.

但風險就與影響業務財務完全不同. 同樣的漏洞在不同業務應用的主機上, 風險全然不同,跑個VM 軟體的風險報告等於內控風險. 就荒天下之大謬了.

資產安全

財務資訊正確表達

經營效果與效率

要能保障這三點的資安控管才是有效的內控.

我這可不是亂掰, 這是寫在公報裡面的東西. 什麼CISSP, CISM, CEH, 未必懂這個, 內控和稽核可是不同的東西.

我都考過, 監考老師還是柯承恩教授, 只不過這些證照以前不是顯學, 現在更不是XD