CGEIT 是全球唯一把"企业 IT 治理"做成独立认证的考试 — 适合已经坐在 CIO / IT Director / Head of IT Strategy 位置的人镀金,普通 IT 管理者考了用不上。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
Certified in the Governance of Enterprise IT(CGEIT)是 ISACA 从 2007 年开始颁发的企业 IT 治理认证,也是 ISACA 五大证(CISA/CISM/CRISC/CGEIT/CDPSE)里**持证人数最少、门槛最高、最"高管向"**的一张。ISACA 官方披露的全球 CGEIT 持证人约 8,000-9,000 人(对比 CISA 15 万、CISM 7 万、CRISC 3 万),稀缺度一目了然。它不是技术证,也不是安全管理证 — 它考的是"作为董事会/CxO 层面的 IT 治理负责人,你如何把 IT 投资、风险、效益、资源跟企业战略对齐"。
CGEIT 有一个常被忽略的门槛,比 CISM / CISA 更严:
5 年 IT 治理相关经验,其中至少 1 年必须在 Domain 1(Governance of Enterprise IT Framework)
ISACA 不接受用学历抵扣 CGEIT 的经验要求,这跟 CISA/CISM 不一样。并且那 5 年必须直接支撑 CGEIT 的 4 个 domain 之一,经验 endorsement 阶段要由 CGEIT 持证人或你的直线上级签字。如果你是"IT Manager 带 10 人团队但不参与企业级战略制定",很容易在 endorsement 被打回。没经验可以先考,成绩 5 年内有效。
考试结构(2022 版考纲)
- 150 道选择题 / 240 分钟 / 线性考试(不是 CAT)
- 200-800 分制,450 分通过(约等于原始正确率 65-70%)
- 线下 PSI 考点或远程在线监考
- 4 大 domain 权重:
- Governance of Enterprise IT — 40%(最重,COBIT 2019、治理框架设计、董事会职责、EGIT 运营模式)
- IT Resources — 15%(人力、基础设施、应用、信息、供应商的战略级管理)
- Benefits Realization — 26%(IT 投资组合管理、价值交付、绩效衡量、BSC)
- Risk Optimization — 19%(企业级 IT 风险、与 ERM 整合、风险偏好与容忍度)
注意 Domain 1 权重 40% — CGEIT 的灵魂是 COBIT 2019。不熟 COBIT 40 个治理与管理目标、5 个治理系统设计原则、6 个治理组件的人,考场上至少有 60 题直接打懵。
费用
- 报名费:ISACA 会员 $575 USD / 非会员 $760 USD(会员年费 $135,一次性入会通常更划算)
- 年度维护费 AMF:会员 $45 / 非会员 $85
- CPE 要求:每年 ≥ 20 CPE,3 年 ≥ 120 CPE
CGEIT vs CISM vs COBIT Foundation(最常见的选证困惑)
| 维度 | CGEIT | CISM | COBIT 2019 Foundation | |------|-------|------|------------------------| | 颁发机构 | ISACA | ISACA | ISACA | | 定位 | 企业 IT 治理(董事会层) | 信息安全管理(CISO 层) | COBIT 框架基础知识 | | 经验要求 | 5 年(+1 年 Domain 1) | 5 年(含 3 年管理) | 无 | | 难度 | 最高 | 高 | 低 | | 适合岗位 | CIO、IT Director、Head of IT Strategy、Enterprise Architect Lead | CISO、Security Manager、Risk Manager | 顾问、审计师、进阶备考 | | 考试 | 150 题 / 4 小时 / 线性 | 150 题 / 4 小时 / 线性 | 50 题 / 1 小时 | | 费用 | $575/$760 | $575/$760 | 约 $400 | | 全球持证 | 约 8-9 千 | 约 7 万 | N/A |
一句话选证:你的日常工作是 "向董事会汇报 IT 投资组合的价值与风险" → CGEIT;你的日常是 "带安全团队对接 CIO" → CISM;你还在学习阶段想建立治理框架知识 → 先考 COBIT 2019 Foundation。CGEIT 不是用来"升级"CISM 的 — 它们完全是两个方向。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 ISACA CGEIT 官方认证
- 掌握 CGEIT 考试核心知识和技能
- 提升专业领域竞争力
考试详情
适合谁考
适合人群
- 希望获得 ISACA CGEIT 认证的 IT 专业人员
- 网络工程师和系统管理员
- 希望提升专业技能的 IT 从业者
- 计算机科学/网络工程专业学生
开始前最好先有
- 了解基本的网络安全概念
- 有相关领域的工作经验
- 建议先通过相关入门级认证
值不值得考?职业价值
ISACA CGEIT 持证人的薪资区间、对应岗位、以及真实的职业影响。
CGEIT 是 ISACA Pay Index 里薪资最高的一张证 — 但不是因为证本身值钱
ISACA 2024 Pay Index 显示 CGEIT 持证人平均年薪约 USD 170,000-180,000,略高于 CISM,稳居 ISACA 五证之首。但要冷静看:这个数字高是因为 CGEIT 持证人本来就是 CIO / IT Director / 战略顾问级别,他们的薪资跟证书相关性很低。证书是门槛,不是溢价引擎。如果你是 Senior Manager 想靠一张 CGEIT 把自己从 15 万干到 25 万,大概率做不到。
真实定位:CGEIT 是"CIO 候选人的背书"
在澳洲和北美的中大型企业招聘 CIO / Head of IT 时,JD 里很少明确写 "CGEIT required",但在两种场景下它非常值钱:
- 政府 / 半政府 / 监管行业的 CIO 岗位 — 澳洲联邦政府 EL2 / SES 级别的 CIO 招聘、美国联邦 GS-15 以上的 CIO 岗、英国 NHS Digital 的 Director 岗,明确把 CGEIT 或 TOGAF 列为 "highly regarded"。原因是这些机构需要"可审计的治理成熟度",而 CGEIT 是唯一聚焦治理的独立认证。
- 咨询公司(Big 4、Gartner、埃森哲)的 IT Advisory Director — 你要卖 COBIT 评估、IT 治理成熟度审计、CIO Advisory 服务,CGEIT 在客户眼里就是你的"门票"。Deloitte 和 PwC 的 IT Advisory 团队内部把 CGEIT 作为 Manager 升 Senior Manager 的推荐证。
CGEIT 对职业的真实加成
| 岗位 | CGEIT 带来的变化 | |------|------------------| | 已经是 CIO | 几乎零加成,更多是"合规必需"或内部认可 | | IT Director → CIO 晋升候选 | 有帮助,董事会/CEO 筛选时多一张背书 | | Senior IT Manager → IT Director | 有帮助但不够,还需要实际带过 50+ 人的履历 | | 咨询公司 Manager | 明显加成,客户更愿意听你讲 COBIT | | 政府 IT Strategy Advisor | 明显加成,很多岗位直接写入 JD | | 纯技术 Senior Engineer | 零加成甚至反效果,会被怀疑"你想转管理但没经验" |
最适合考 CGEIT 的人:
- ✅ 已经在 CIO 办公室工作的 IT Strategy Manager / Enterprise Architect — 你已经在做 IT 治理但没有正式认证背书,CGEIT 是最对口的那张证。
- ✅ 咨询公司 IT Advisory 方向的 Manager / Senior Manager — 卖治理与 COBIT 服务的门票。考下来对晋升和 billing rate 都有直接影响。
- ✅ 政府 / 半政府 IT 高管候选人 — 澳洲 APS、美国联邦、英国 NHS 的 IT 高管岗位对 CGEIT 的认可度明显高于私营部门。
- ✅ 持有 CISA / CISM 想完成 ISACA 证书组合的 GRC 高管 — 三证(CISA+CISM+CGEIT)齐全的人在大行 / 保险 / 电信的 Head of GRC 岗位上几乎是模板。
- ✅ 想从 "IT 经理" 定位跃迁到 "IT 战略顾问" 的人 — CGEIT 备考过程本身会强迫你建立董事会视角,这种思维转变对后续 3-5 年职业发展的帮助大于证书本身。
不适合考 CGEIT 的人:
- ❌ 纯技术 Engineer / Architect — CGEIT 里没有一道题考技术细节,100% 是战略与治理题。你的经验用不上,考试也很痛苦。
- ❌ 5 年以下经验的 IT Manager — 经验不够 + 没碰过企业级治理,硬考过了 endorsement 阶段会被打回。先做几年 PMO / IT Portfolio 再说。
- ❌ 想进入 Cybersecurity 的人 — 安全方向看 CISM / CISSP / CCSP,CGEIT 跟安全只有约 10% 的交集(Risk Optimization domain 一小部分)。
- ❌ 中小企业 IT 负责人 — CGEIT 的框架(COBIT、BSC、IT 投资组合管理)都是给 500 人以上企业设计的,中小企业的 IT Head 学了用不上。考 ITIL 4 Managing Professional 更实用。
- ❌ 技术控、不喜欢"空对空"治理框架讨论的人 — CGEIT 的题目密度极高,一道题题干经常 80-120 词描述一个董事会场景,再让你选"BEST course of action"。不习惯这种抽象讨论的人会备考极痛苦。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
7 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:啃透 COBIT 2019 + CGEIT Review Manual(5-6 周)
CGEIT 的灵魂是 **COBIT 2019**,Domain 1 单独占考试 40%,跨 domain 题里 COBIT 还会出现。先读两本书:**COBIT 2019 Framework: Introduction and Methodology**(免费 ISACA 会员可下载)和 **COBIT 2019 Framework: Governance and Management Objectives**。重点背熟 **40 个治理与管理目标**(5 个 EDM + 35 个 APO/BAI/DSS/MEA)、**6 个治理组件**(Processes / Organizational Structures / Principles & Policies / Information / Culture / People)、**5 个治理系统设计原则**(Meet stakeholder needs / Holistic approach / Dynamic / Governance distinct from management / Tailored to enterprise needs)。读完 COBIT 再回头读 **CGEIT Review Manual 8th edition**,这时候你会发现 CRM 其实是 COBIT 的"应用手册",理解起来顺很多。每章末尾 Self-Assessment 低于 70% 就回去重读。
第二阶段:按 Domain 刷 QAE 题库 + 建立高管思维(4-5 周)
**CGEIT Review Questions, Answers & Explanations Manual(QAE)** 是必买,约 500 道题附详细解析。按 4 个 domain 分类刷 — Domain 1(40%)每天至少 30 题,Domain 3 Benefits Realization(26%)每天 20 题。这一阶段的核心是训练 **"董事会视角"**:每道题先问自己 — (1) 我是 CEO / 董事,不是 IT Manager;(2) 企业战略是什么,这个决策如何与之对齐;(3) stakeholder 有谁,他们的诉求是什么;(4) 风险偏好是什么。CGEIT 的正确答案永远是 "align with enterprise strategy"、"engage stakeholders"、"establish accountability"、"measure value delivery",而不是"部署新系统"或"修复技术问题"。错题整理到错题本,每周复盘。
第三阶段:专项补强 Benefits Realization + Risk Optimization(3-4 周)
Domain 3(26%)和 Domain 4(19%)合计 45%,但大多数考生只在 Domain 1 花时间,结果这两部分惨败。**Domain 3** 重点是:IT 投资组合管理(Val IT 框架、5 个 portfolio 管理步骤)、**Balanced Scorecard(4 个视角:Financial / Customer / Internal Process / Learning & Growth)**、Business Case 结构、Value Realization 生命周期、IT 投资分类(Run / Grow / Transform)。**Domain 4** 重点是:企业级风险管理(ERM)与 IT Risk 的整合、**Risk Appetite vs Risk Tolerance vs Risk Capacity** 三层区别、Risk IT Framework、风险与控制的关系、COSO ERM 与 COBIT 的对应。这些框架名词每场考试至少 15-20 题直接考。JR Academy 的 **ISACA CGEIT 认证备考课程**(7 章 + 362 题)的中文解析会帮你把 Val IT、Risk IT、BSC 这几个偏学术的框架讲得更接地气。
第四阶段:全真模考 + 错题闭环(最后 2-3 周)
用 QAE exam mode 做 **至少 3-4 套 150 题 / 4 小时全真模考**,稳定 72%+ 再约考。CGEIT 的模考难度普遍比真考略高,QAE 能稳定到 70% 就基本稳过。模考的目的不是分数而是 **训练 4 小时的专注力** — CGEIT 题干平均比 CISM 还长(很多题干 100 词以上描述一个治理场景),4 小时读下来会疲劳。考前 5 天停刷新题,只看错题本 + 三张关键图:**COBIT 2019 一页总览图 / BSC 四视角图 / Risk Appetite-Tolerance-Capacity 三层金字塔**。考前一晚正常作息。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
我已经做 IT Director 4 年,带 60 人团队、管 2500 万澳币的 IT 预算,CEO 明确告诉我下一步是 CIO 但要我"补一张治理的证"让董事会安心。我原本以为凭经验轻松过 — 结果第一次做 QAE 只有 58%。问题在于我过去 10 年都是"执行者"思维:预算怎么花、系统怎么上、供应商怎么选。CGEIT 全部是"董事会思维":为什么要做这个 IT 投资、如何向非技术董事解释价值、出了问题谁负责(accountability vs responsibility)。最头疼的是 **Domain 3 Benefits Realization**,Balanced Scorecard 我以前只听过名字,CGEIT 却要求你能解释每个视角下 IT 指标怎么设计。花了 3 周专门啃 BSC 和 Val IT 才上了 70%。考完之后 6 个月内正式被任命 CIO,董事会对 CGEIT 的认可度超出我预期 — 他们真的在面试时问了 COBIT 相关问题。
PwC IT Advisory 内部把 CGEIT 列为 Manager 升 Senior Manager 的推荐证,我已经有 CISA 和 CISM 想凑齐 ISACA 三证。最大的意外是 **CGEIT 跟 CISM 完全不是一个思维路径** — CISM 还有"信息安全"这个具体领域作为载体,CGEIT 完全是抽象的治理框架,很多题目答案的区别只在"是否对齐战略"这种极细微的措辞上。我花了前两周重新读 COBIT 2019 官方文档(不是 CRM),因为 CRM 对 COBIT 的解释偏简略。40 个治理与管理目标的缩写(EDM01-05、APO01-14、BAI01-11、DSS01-06、MEA01-04)必须背到像肌肉记忆,考场上 5 秒内看到缩写要能反应出是哪个流程。考完之后客户 workshop 里讲 COBIT 明显底气不一样,第一个季度的 billable hours 明显增加。对咨询方向的人我强烈推荐。
澳洲联邦政府 EL2 级别的 IT Governance 岗位 JD 里明确列出 CGEIT 为 "highly regarded",我当时从 EL1 申请 EL2 被面试官问了 3 个 COBIT 相关问题,答得不好后痛定思痛决定考 CGEIT。我没有 CISA / CISM 背景,直接考 CGEIT 感觉非常吃力,主要难点是 **没有任何技术或安全的"抓手"**,全部是抽象治理讨论。我的策略是把 CGEIT 当成"政策与框架阅读理解"来考 — 每天固定 1 小时读 COBIT 原文 + 1 小时做 QAE 题。备考 16 周,最后两周才稳定在 72%。考试当天最大的感受是 **时间够用但脑子会累** — 4 小时全部在判断"哪个选项最像 CEO 会说的话",考完后大脑空白半小时。考过后政府内部 EL2 晋升顺利,CGEIT 对我这种政府背景的人价值远高于私营部门。
同赛道认证对比
| ISACA CGEIT | ISACA CISA | ISACA CISM | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 大师级 | 专业级 | 专业级 |
| 考试费 | $575 | $575 | $575 |
| 时长 | 120 min | 120 min | 120 min |
| 题量 | 150 | 150 | 150 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
**报名时申请 ESL +30 分钟加时**:母语非英语的考生在 ISACA 官网报名时勾选 ESL accommodation,免费多 30 分钟(240 → 270 分钟)。CGEIT 题干平均比 CISM 更长,非英语母语考生这半小时非常关键。
**关键词敏感(跟 CISM 类似但更抽象)**:FIRST → 选最早该做的(通常是 engage stakeholders / assess current state / align with strategy);BEST → 选最符合 governance principle 的;PRIMARY → 选最核心 governance 职责的;MOST → 选对 enterprise value 影响最大的。
**永远选"董事会视角"的选项**:看到 "implement a new system"、"deploy a tool"、"fix the issue"、"hire a consultant" 几乎都是错的。正确答案通常是 "engage the IT steering committee"、"align with enterprise objectives"、"establish accountability"、"communicate with stakeholders"、"update the governance framework"。
**COBIT 2019 必背清单**:**40 个 governance & management objectives** 的缩写和分类(5 EDM + 14 APO + 11 BAI + 6 DSS + 4 MEA)、**6 个 governance components**、**5 个 design principles**、**7 个 design factors**(enterprise strategy, goals, risk profile, IT-related issues, threat landscape, compliance requirements, role of IT)。每场考试直接考这些至少 20 题。
**Balanced Scorecard 4 视角 + IT BSC 变体必记**:原版 BSC 是 Financial / Customer / Internal Process / Learning & Growth;IT BSC 变体是 Corporate Contribution / User Orientation / Operational Excellence / Future Orientation。题目问"评估 IT 部门表现的 BEST 框架" → 答案是 IT BSC。
**Risk Appetite / Tolerance / Capacity 三层金字塔画在草稿纸上**:考试开始前草稿纸上先画 Capacity(最大)→ Appetite(中间)→ Tolerance(最小),每遇到 Domain 4 题目就对照这张图判断题干在问哪一层。
**永远不选极端选项**:CGEIT 跟 CISM 一样,"always"、"never"、"completely eliminate"、"100% aligned" 几乎都是错的。治理的本质是 trade-off 和 continuous improvement。
**考前一周停止新内容**:CGEIT 的知识点非常多且抽象,临考冲刺只会混乱。最后一周只看错题本 + COBIT 2019 一页总览图 + BSC + Risk Appetite 金字塔。
**考过 5 年内申请认证**:考试成绩 5 年有效。如果经验不够(尤其是 Domain 1 那 1 年必须经验),可以先把考试过了再补经验。申请认证时需要找 CGEIT 持证人或你的直线上级在 Experience Verification Form 上签字。
**用 Operational Manager 思维答题(CGEIT #1 失败原因)** — 看到"IT 项目超预算"就想"砍需求"、看到"系统故障"就想"找厂商"。CGEIT 的正确答案永远是 **engage the steering committee**、**escalate to the board**、**align with enterprise strategy**、**update the governance framework**。看到选项里有 "implement"、"fix"、"deploy"、"negotiate with vendor" 几乎都是错的 — 这些是 management 职责,不是 governance。
**把 Governance 和 Management 搞混(Domain 1 40% 全在考这个)** — COBIT 2019 明确区分:**Governance** 是 **EDM(Evaluate, Direct, Monitor)**,由董事会/CEO 层面执行,回答 "What to do";**Management** 是 **APO/BAI/DSS/MEA**,由 CIO 及以下执行,回答 "How to do"。任何题目里问"董事会应该做什么"的答案永远是 set direction、approve strategy、provide oversight,**绝对不会**是"审查技术方案"或"批准采购"。
**Risk Appetite / Tolerance / Capacity 三层搞不清** — 这是 Domain 4 高频考点,每场考试至少 3-5 道题。**Risk Appetite**(偏好)= 组织愿意承担多少风险去追求目标(董事会定);**Risk Tolerance**(容忍)= 实际执行中允许的偏差范围(高管定);**Risk Capacity**(承受能力)= 组织最多能承受多少风险(财务天花板)。三者关系是 Capacity ≥ Appetite ≥ Tolerance。题目经常问"首席风险官应该根据哪个指标设定风险限额" → 答案是 Appetite(而不是 Tolerance)。
**Benefits Realization / Value Delivery 跟 ROI 混为一谈** — CGEIT 的 Value Delivery 不等于财务 ROI。COBIT / Val IT 把价值分成四类:**Strategic(战略一致性)/ Value for money(成本效益)/ Operational(运营效率)/ Compliance(合规)**。题目问"评估 IT 投资价值的 BEST 方法" — 答案几乎都是 **Balanced Scorecard** 或 **multi-dimensional framework**,绝不会只是"ROI 或 NPV"。只看财务数字的人会被反复坑。
**忽略 Stakeholder Analysis 的重要性** — CGEIT 的 Stakeholder Engagement 是贯穿 4 个 domain 的暗线。COBIT 2019 的第一个设计原则就是 "Meet stakeholder needs"。题目经常问 "BEFORE implementing a new governance framework, the FIRST step is..." — 正确答案永远是 **identify stakeholder needs and drivers**,而不是"研究 best practice" 或"起草 policy"。Stakeholder-first 是 ISACA 的核心立场。
**死记 COBIT 40 个目标但不理解应用场景** — 很多考生能背出 EDM01-05 的名字但看到具体场景不会选。CGEIT 的难点是 **场景 → 目标** 的映射,而不是背名字。例如:"董事会希望确保 IT 战略与企业战略一致" → EDM01(Ensure Governance Framework Setting and Maintenance);"管理层需要确保 IT 投资组合优化" → APO05(Managed Portfolio)。备考时要做场景对照表,不是单纯背缩写。
**只刷题不读 COBIT 原文** — CRM 对 COBIT 的解释是"压缩版",有些关键细节(比如 5 个设计原则的具体含义、Goal Cascade 的 17 个企业目标到 13 个 IT-related goals 的对应)必须读 COBIT 2019 原版文档才能理解透彻。跳过 COBIT 原文直接刷 QAE 的人到模考阶段会发现 Domain 1 怎么都上不了 70%。