【AICPA美國會計師】ISC重點筆記整理 | S1-ISC準備方式、六大準則介紹、重要考點提示

ISC準備前言

我為什麼選擇ISC作為Discipline？

最主要的原因就是，ISC是唯一一科「把所有東西背起來基本上就可以去考試」的科目。這個數據擺明了表示，官方做出肯定ISC這科不會出太難！！也許是因為資訊本來就是所有選修科目裡面和會計最不相關的，了解的人也較少，所以AICPA才決定在ISC的出題內容上放過大家一馬！！相較於應用、分析、評估這類考點，記憶及理解相對單純且簡單。你不需要真的了解太多程式語言知識，只需要把架構、專有名詞的意思大概弄熟，就足以應付ISC這科的考題範圍。

▼從官方公布的表格可以看出來，ISC的remember題型佔了全部的一半以上！

除了只需要記憶的優點外，ISC也是選擇題型比重最高的一科，MCQ占比高達60%。這對於不是很喜歡應付SIM這種複雜題型的我來說，無疑是非常吸引人。

另外，我認為就未來發展而言，資訊相關專業才是目前的趨勢和缺口。與其更深入的研究Business(BAR)或Tax(TCP)，學習一個新的東西對於年輕人而言較具優勢。畢竟，其他財經領域都已經有相對成熟的架構和無數更厲害的專家，我覺得身為後進，就先嘗試跨出去學新東西，會比較容易和如魚得水。

延伸閱讀：
ISC的內容對應事務所工作最相關的職缺，就是IT電審啦！
在我去支援電審組之前完全沒有想過這些知識會這麼快就被用上呢！
想了解IT電審的工作內容的話可以看這篇👉【四大事務所日記】 IT電審是什麼？ | 基本工作概述篇

而在大學期間，我也有修過Python、HTML等程式語言。雖然沒有很強，但我不太會對IT感到害怕。（不過後來實際讀完也發現其實ISC並不需要真的學過程式，大部分真的純記憶就夠了！）

基於上述4個理由，我就毅然決然地選擇了ISC！

ISC四大Unit內容簡介

S1 – IT基礎知識、準則

S2 – 常見資訊系統、IT架構、IT change management、data蒐集&儲存、SQL、business process model

S3 – 資安法規、企業可能遇到的資訊風險類型、如何維持&測試資訊系統、如何應對資訊外漏

S4 – SOC案件（會跟AUD部分重疊，但這裡講得更仔細，也是我覺得ISC中考點最多的一章）

S1章節概要

S1主要在介紹各大基本準則的架構及內容。了解這些準則的大鋼，會對後面各章節介紹資訊系統細節內容時，有初步的認知。雖然由AICPA官方公告的考點分布中，此unit並非主要考點，但依據我的實際應考經驗，關於各framework細節的考題還是有它的分量在。所以建議大家還是要認真把每個準則的內容讀熟，才能有把握的應付這部分的考題！

▼AICPA官方公告的ISC考試方向（Becker TW教材和YouTube頻道中也有相關中文解析影片）

下載AICPA官方Blueprint請點此連結👉AICPA官網下載區

▨ 前情提要：這系列重點筆記是我讀完Becker教材內容後，從寫題目的經驗中整理出來的考點。純為個人讀書心得，且非所有考試範圍詳細內容。Blog分享的這個版本較適合作為最後應試前的總複習。考試準備仍要以Becker教材或AICPA官方公告為準~~

補充資源：
如果需要更詳細的各章節重點筆記PDF電子檔，可以參考我當時做的Outline筆記👉點此連結
Outline筆記完整收錄重要表格、各章節單字、細節解釋…等，更適合剛開始讀ISC的人準備考試使用

S1重點整理

NIST Frameworks

NIST Frameworks共有三大架構，都是各產業通用。

Cybersecurity Framework(CSF)

• 用來發展一套plain language的控制
• 自願性質
• 五大functions：identify-風險管理、protect-維護access的管控/資安/保持警覺/教育訓練、detect-持續監控和檢測、respond、recover，再下分23個categories和108個subcategories
• 將企業依基礎建設的完整程度分為4個Tiers-Tier 1(partial)、Tier 2(risk-informed)、Tier 3(repeatable)、Tier 4(adaptive)

✏ 考點：各個tier的意義

Privacy Framework

• 架構跟CSF很像，且兩者都是只追求cost-effective & best practice
• 用來保護個資
• 八大functions：CSF的那五個（identify-辨認程序中的隱私風險）、govern-策略/政策/教育訓練/監管…等治理架構、control-process的管理架構、communicate，再下分29個categories和100個subcategories

✏ 考點：某群categories是屬於哪個function、不同function的意義

SP 800-53(Security and Privacy Controls)

• 比前兩個架構更嚴格、對企業而言負擔更大
• 用來保護資訊系統，以達到OMB的Circular A-130和FISMA兩個對系統控制的準則
• 提出三種實施每個控制的方式：common(=inheritable)、system-specific、hybrid

HIPAA

共有3大類safeguards：

• Administrative Safeguards→原則、非實體控制
• Physical Safeguards→實體控制
• Technical Safeguards→自動化控制

✏ 考點：某個控制是為了符合哪個safeguards→要記得有哪三種safeguards

GDPR

歐盟用來保障個資的法案，非常嚴格

PCI DSS

金融機構聯合制定，用來強化支付安全的標準

CIS

• 由SANS Institute支持其運作
• 用來防禦保護網路安全
• 建議而非強迫性質
• 五大principles：align（遵循相關準則）、measurable（明確性）、offense informs defense（確實有防禦作用）、focus、feasible（可行性）
• 最新版本（Version 8）的control共有18個，再下分153個safeguards
• 將企業依規模（由小到大）分為3個Implementation Groups(IGs)-IG1, IG2, IG3

COBIT 2019 Framework

• 由ISACA提出
• governance system的principle共有6個：provide stakeholders value、holistic approach（可以包含多個不同成分）、dynamic governance（隨情況不同而更新）、governance distinct from management（兩者的function不同）、tailored to enterprise needs（依據不同組織做調整）、end-to-end governance system（所有相關流程都應納入考慮）

✏ 考點：不同principle的意思

• 指引企業如何govern（治理單位的事）和manage（Mgt的事） IT
• objectives（共2大類）：
  • governance objectives→EDM
  • management objectives→APO, BAI, DSS, MEA
• components to satisfy objectives（共7個）：
  • Process→實際進行activities
  • Organizational structures→有決策單位
  • Principles, policies, and frameworks→有實施政策的指引
  • Information→有必要的data
  • Culture, ethics, and behavior→tone of the top、風格
  • People, skills, and competencies→做有建設性的決策並適時予以修正
  • Services, infrastructure, and applications→有必要的資源及工具

✏ 考點：某個措施是為了符合哪個objective或components⇒要記得每個objective和components代表的意義

• compliance requirements分三階：low-最低要求、normal-該產業平均等級、high

延伸閱讀：
更多AICPA重點整理筆記全部彙整在👉AICPA分類
出國應考行前準備可以參考這篇👉【AICPA美國會計師】夏威夷考場&旅遊指南
還沒看過的人趕快去看看吧( ˶ˊᵕˋ)੭♡