[閒聊] CISSP考試實戰心得:準備工作

看板NetSecurity (資安 資訊安全)作者時間2年前 (2022/06/17 23:06), 編輯推噓4(401)
留言5則, 4人參與, 最新討論串1/1
圖文版 https://tinyurl.com/23k4vfys ******* 既然考過了,現在就有資格分享一下心得,讓有心投入資安產業的讀者,或是想要證明 個人專業的讀者做為參考。筆者先從認識CISSP開始,接著簡單說明考試領域與相關必要 條件。 筆者沉寂了三個月,除了原本的工作之外,就是利用剩下的時間專心準備想要的資訊安全 專業證照CISSP,這個號稱是最難考的IT證照前幾名,資安類別算是最難的專業證照。既 然考過了,現在就有資格分享一下心得,讓有心投入資安產業的讀者,或是想要證明個人 專業的讀者做為參考。 筆者先從認識CISSP開始,接著簡單說明考試領域與相關必要條件。 ******* 為什麼要考CISSP證照? 準備考試通常需要動機,尤其是離開學校之後,工作之餘再花心思讀書其實是非常具有 挑戰性的「課後活動」。資訊工作者本身就有不少的證照可以考,但是筆者相信一件事 :「考證照就要找難的,可以跟別人有差異化的」。否則考一堆「含金量不高」,完全 無法證明專業的證照,就是浪費時間浪費錢而已。身為一個技術人員,對於管理類證照 還是有疑慮,因為我一直相信管理不是用證照可以證明的事情。否則所有的專案只要有 PMP證照的專案經理把關,理應沒有失敗的專案。基於這個理由,筆者大概研究一下高階 IT經理人通常有什麼證照,然後跟自己的專業相關,值得花時間準備的「國際證照」。 就這樣沒有想太多,就是CISSP了! 雖然說是專業技術證照,但是筆者還是必須強調,證照只是一個門檻跟專業領域涉獵評 估的參考,與個人的能力沒有直接關係。在職場上看過太多自恃有證照,但是沒有相對 專業表現的經理人。最後的下場就是淪為笑話,失去同仁的尊敬。絕大多數的場合,同 事跟上司只注意你工作上的專業表現與產出,沒有人關心你有什麼證照。我想對證照的 功能解讀也就是馬斯洛需求層級理論的個人自我實現,心理上的滿足跟基本自信而已。 ******* 對CISSP有需求的產業 如果從標題來看,其實每個有資訊化的企業,都需要CISSP,有IT就會有資訊安全的疑慮 。只是因為行業的差異,對資安有不同等級的需要。尤其是特許行業與公部門,例如金 融、軍事單位、政府機關、醫療院所等,對資安就有最高的要求,自然需要最專業的證照 把關,深入評估營運過程中任何可能有威脅的安全弱點。 其實CISSP已經快要問世三十年了,只是台灣這幾年開始比較重視而已。因為很多大企業 要國際化,就有資訊安全的需求。尤其最近幾年不時在新聞中看到資安事件發生在知名 企業,嚴重影響營運,客戶觀感還有品牌的信任度等等不可量化的項目,讓大公司不得 不重視資安。從公司治理方面,加入資安長或是資訊安全相關部門,進一步推動資安相關 證照的需求。於是,這張號稱最難考的資訊安全專業證照CISSP就慢慢引起注意了。 國外的部分,亞洲金融發達國家日本、新加坡、香港等等,早就有超過一千張CISSP證照 。因為這是資安專業人士想要在銀行、保險、投行、券商甚至主權基金服務的敲門磚。 未來純網銀如果成氣候,相信對這張證照的需求會更高,有心轉行的讀者可以認真考慮 一下。 筆者曾經也是證照無用論的支持者,相信只要畢業證書就能證明一切。但是產業跟社會都 非常現實,等到了一定的年紀,要邁向專業經理人的道路,很難逃過專業認證這件事。從 初階技術人員升級到中階管理者,時間可能可以讓你達到目的。但是要挑戰高階經理人的 職位,尤其是C開頭的各種職稱,證照可以部分幫你的專業背書。 ******* 八大領域全部都要及格 請注意,是八大領域,不是八大行業。雖然筆者不知道高階經理人是不是都要通過八大行 業的挑戰。CISSP囊括的領域有:安全與風險管理、資產安全、安全架構與工程、通訊與 網路安全、身份驗證與存取管理、安全評估與測試、營運安全、軟體開發安全。 所以從這八個領域可以看出CISSP的考試兼具管理與技術實務,這些內容適用各種產業。 筆者雖然是資訊業,但是CISSP還要探討消防安全、實體安全、災後復原計畫等等幾乎工 作內容碰不到的東西。外加聽起來很簡單,真的讀起來很難的風險管理。所以讀者有心挑 戰CISSP,請注意這並不簡單。考試及格標準,是每一個領域都要在70%以上的及格率,也 就是八個領域全部要顧到。考試方式是電腦上機,英文版考題125題,需要在四個小時內 作答完成。然後作答時只能答一次,無法回頭修改。採電腦互動式的測驗,每一題的作答 狀況會影響後面的出題,這跟托福TOEFL現在iBT的作法很像。中等難度答出來,就出更難 的題目,答對積分高。反之出簡單的題目,但是積分低。官方說法是1000分要拿到700分 ,但是受試者無從得知實際分數計算。125題考試也會穿插50題不計分的題目,可能是基 於官方研究目的或者「問卷調查參考」,參考書沒讀到然後達不出來,這會影響受試者的 心情與節奏。考試的電腦評估,如果認為125題無法辨別實力(例如作答的表現不平均) ,會加試到最多175題。125題就結束,也不代表過關,有可能是電腦認為受試者水準不夠 ,不用繼續考了。由以上可見,這考試其實很心機。 如果英文不好,可以考慮簡體中文或者其他歐洲語系或者日文,但有受限考場所在國家。 但是考試題目變成250題,作答時間是六小時。筆者認為這對台灣考生不見得有優勢,之 後分享讀書計畫跟策略時會說明原因。但是選用簡體中文考試可以當成是策略,因為不採 用電腦互動式的作法,就是答對計分、答錯沒分。如果對互動式考試沒信心可以考慮, 不過請注意六小時的考試真的是體力跟意志力的消耗戰,考到後來會不會意志消沉隨便 作答? ******* 成為會員的條件 考試除了通過是必要條件,CISSP有規定工作經驗。需要五年以上,並且涉及至少兩個前 述領域。如果大學是資訊相關科系,例如資管、資工,可以折抵一年,滿足四年的工作經 驗即可。要是資歷不符,考試通過後作為準會員(Associate),六年內達到符合的工作年 數需求後再換證變成CISSP。 筆者個人的看法是以應屆畢業生馬上去考,過關的可能性應該非常低。業界資歷至少要二 年左右才有考過的機會,而且要非常努力外加真的有天分。考試通過的provisioned CISSP,需要找目前已是CISSP的會員背書(Endorsement),完成後繳交年費125美金才具備 CISSP的資格。有效期三年,三年內需要再進修拿到至少120小時的學分才能換證維持 CISSP會員資格。 ******* 下定決心 沒報名都是假的 筆者個人在資訊產業工作的經驗大概有十年左右,八個領域有涉獵兩個以上。平常對IT有 興趣,除了工作之外,會在家裡搞企業級網路或者虛擬化。只差沒有把家人都給SSO,用 Kerberos做身份認證使用無線網路。這次考試一次過關,實際準備時間在三個月左右。我 認為這是一個很剛好的準備時間。 用專案管理的角度評估,超過三個月的專案很難控制意外情況,造成專案風險。考試也一 樣,如果時間拖太長可能會遇到意外,例如前述提及的125題考試方式是在2022年3月中的 時候公布,2022年6月1日開始執行。這種變化也許會對讀者造成影響,就是一種風險。準 備期太長,搞不好又遇到官方調整考試方式。嫌三個月太短,最多半年,不能再多了。再 多會讓人懈怠,覺得時間很長很充裕。也真的可能發生讀到鬆懈、失去動力,外加夜長夢 多。早日了結這考試,對你平常的工作專注還有家人相處的時間,絕對有正面的影響。至 於說是給自己一、二年?筆者很直接的講,不用浪費這個錢跟精力了。這樣長的時間也許 再去讀個二年碩士班比較實在,你只是給自己找理由。 CISSP的考試費用很貴,目前接近800美金。考不過就是錢丟到海裡,下次繳錢再考。所以 真的拿出信用卡報名,或者讓公司幫你報名後(正常的大公司只會贊助你考一次),你才 會認真準備。考試時間確定後,再更改要另外付錢。所以一定要報名下去,才會有危機意 識認真準備。800美金如果拿來買一支新的iPhone或者升級MacBook的規格不是很好?不認 真準備,一次考不過除了花錢也會增加無形的心理壓力。這個有考過駕照的讀者應該可以 感受,雖然台灣駕照考照費用沒這麼貴。 ******* 尋求資源與支持 CISSP考試,家人跟公司的支持很重要。因為準備沒辦法有任何的投機取巧,筆者也自認 自己的實力夠,但是真的準備起來還是吃力,即使已經用了技巧。在你讀書的時候,家人 是否願意不打擾?幫忙顧小孩或是多分擔一點家務。公司的部分,能否有空檔讓你準備考 試?例如有溫書假的制度。(筆者的公司很幸運的有,三天的有薪溫書假)主管跟同事是 否支持?在最後關鍵時刻,能否理解利用部分上班時間,沒有指派任務的空檔看書?沒有 心無旁騖,才有沒負擔的準備跟最後通過的可能。公司有沒有錢或者教育訓練的預算讓你 去外面上課或者購買與訂閱教材?這都可以問一下,大公司通常都有資源。整個CISSP的 準備成本其實很高,特別是隱形成本。 筆者在下一篇會討論教材評估、讀書計畫、題庫使用還有個人的紀律與心態調整。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 202.83.99.211 (新加坡) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1655478365.A.F1A.html

06/17 23:33, 2年前 , 1F
Push!
06/17 23:33, 1F

06/18 15:50, 2年前 , 2F
06/18 15:50, 2F

06/18 15:51, 2年前 , 3F
cissp很吃邏輯語言,沒有決心把握的可以考別張
06/18 15:51, 3F

06/22 20:02, , 4F
謝謝分享,期待下篇!
06/22 20:02, 4F

06/24 23:14, , 5F
06/24 23:14, 5F
文章代碼(AID): #1Yh9XTyQ (NetSecurity)
文章代碼(AID): #1Yh9XTyQ (NetSecurity)