图文版
https://tinyurl.com/23k4vfys
*******
既然考过了,现在就有资格分享一下心得,让有心投入资安产业的读者,或是想要证明
个人专业的读者做为参考。笔者先从认识CISSP开始,接着简单说明考试领域与相关必要
条件。
笔者沉寂了三个月,除了原本的工作之外,就是利用剩下的时间专心准备想要的资讯安全
专业证照CISSP,这个号称是最难考的IT证照前几名,资安类别算是最难的专业证照。既
然考过了,现在就有资格分享一下心得,让有心投入资安产业的读者,或是想要证明个人
专业的读者做为参考。
笔者先从认识CISSP开始,接着简单说明考试领域与相关必要条件。
*******
为什么要考CISSP证照?
准备考试通常需要动机,尤其是离开学校之后,工作之余再花心思读书其实是非常具有
挑战性的“课后活动”。资讯工作者本身就有不少的证照可以考,但是笔者相信一件事
:“考证照就要找难的,可以跟别人有差异化的”。否则考一堆“含金量不高”,完全
无法证明专业的证照,就是浪费时间浪费钱而已。身为一个技术人员,对于管理类证照
还是有疑虑,因为我一直相信管理不是用证照可以证明的事情。否则所有的专案只要有
PMP证照的专案经理把关,理应没有失败的专案。基于这个理由,笔者大概研究一下高阶
IT经理人通常有什么证照,然后跟自己的专业相关,值得花时间准备的“国际证照”。
就这样没有想太多,就是CISSP了!
虽然说是专业技术证照,但是笔者还是必须强调,证照只是一个门槛跟专业领域涉猎评
估的参考,与个人的能力没有直接关系。在职场上看过太多自恃有证照,但是没有相对
专业表现的经理人。最后的下场就是沦为笑话,失去同仁的尊敬。绝大多数的场合,同
事跟上司只注意你工作上的专业表现与产出,没有人关心你有什么证照。我想对证照的
功能解读也就是马斯洛需求层级理论的个人自我实现,心理上的满足跟基本自信而已。
*******
对CISSP有需求的产业
如果从标题来看,其实每个有资讯化的企业,都需要CISSP,有IT就会有资讯安全的疑虑
。只是因为行业的差异,对资安有不同等级的需要。尤其是特许行业与公部门,例如金
融、军事单位、政府机关、医疗院所等,对资安就有最高的要求,自然需要最专业的证照
把关,深入评估营运过程中任何可能有威胁的安全弱点。
其实CISSP已经快要问世三十年了,只是台湾这几年开始比较重视而已。因为很多大企业
要国际化,就有资讯安全的需求。尤其最近几年不时在新闻中看到资安事件发生在知名
企业,严重影响营运,客户观感还有品牌的信任度等等不可量化的项目,让大公司不得
不重视资安。从公司治理方面,加入资安长或是资讯安全相关部门,进一步推动资安相关
证照的需求。于是,这张号称最难考的资讯安全专业证照CISSP就慢慢引起注意了。
国外的部分,亚洲金融发达国家日本、新加坡、香港等等,早就有超过一千张CISSP证照
。因为这是资安专业人士想要在银行、保险、投行、券商甚至主权基金服务的敲门砖。
未来纯网银如果成气候,相信对这张证照的需求会更高,有心转行的读者可以认真考虑
一下。
笔者曾经也是证照无用论的支持者,相信只要毕业证书就能证明一切。但是产业跟社会都
非常现实,等到了一定的年纪,要迈向专业经理人的道路,很难逃过专业认证这件事。从
初阶技术人员升级到中阶管理者,时间可能可以让你达到目的。但是要挑战高阶经理人的
职位,尤其是C开头的各种职称,证照可以部分帮你的专业背书。
*******
八大领域全部都要及格
请注意,是八大领域,不是八大行业。虽然笔者不知道高阶经理人是不是都要通过八大行
业的挑战。CISSP囊括的领域有:安全与风险管理、资产安全、安全架构与工程、通讯与
网络安全、身份验证与存取管理、安全评估与测试、营运安全、软件开发安全。
所以从这八个领域可以看出CISSP的考试兼具管理与技术实务,这些内容适用各种产业。
笔者虽然是资讯业,但是CISSP还要探讨消防安全、实体安全、灾后复原计画等等几乎工
作内容碰不到的东西。外加听起来很简单,真的读起来很难的风险管理。所以读者有心挑
战CISSP,请注意这并不简单。考试及格标准,是每一个领域都要在70%以上的及格率,也
就是八个领域全部要顾到。考试方式是电脑上机,英文版考题125题,需要在四个小时内
作答完成。然后作答时只能答一次,无法回头修改。采电脑交互式的测验,每一题的作答
状况会影响后面的出题,这跟托福TOEFL现在iBT的作法很像。中等难度答出来,就出更难
的题目,答对积分高。反之出简单的题目,但是积分低。官方说法是1000分要拿到700分
,但是受试者无从得知实际分数计算。125题考试也会穿插50题不计分的题目,可能是基
于官方研究目的或者“问卷调查参考”,参考书没读到然后达不出来,这会影响受试者的
心情与节奏。考试的电脑评估,如果认为125题无法辨别实力(例如作答的表现不平均)
,会加试到最多175题。125题就结束,也不代表过关,有可能是电脑认为受试者水准不够
,不用继续考了。由以上可见,这考试其实很心机。
如果英文不好,可以考虑简体中文或者其他欧洲语系或者日文,但有受限考场所在国家。
但是考试题目变成250题,作答时间是六小时。笔者认为这对台湾考生不见得有优势,之
后分享读书计画跟策略时会说明原因。但是选用简体中文考试可以当成是策略,因为不采
用电脑交互式的作法,就是答对计分、答错没分。如果对交互式考试没信心可以考虑,
不过请注意六小时的考试真的是体力跟意志力的消耗战,考到后来会不会意志消沉随便
作答?
*******
成为会员的条件
考试除了通过是必要条件,CISSP有规定工作经验。需要五年以上,并且涉及至少两个前
述领域。如果大学是资讯相关科系,例如资管、资工,可以折抵一年,满足四年的工作经
验即可。要是资历不符,考试通过后作为准会员(Associate),六年内达到符合的工作年
数需求后再换证变成CISSP。
笔者个人的看法是以应届毕业生马上去考,过关的可能性应该非常低。业界资历至少要二
年左右才有考过的机会,而且要非常努力外加真的有天分。考试通过的provisioned
CISSP,需要找目前已是CISSP的会员背书(Endorsement),完成后缴交年费125美金才具备
CISSP的资格。有效期三年,三年内需要再进修拿到至少120小时的学分才能换证维持
CISSP会员资格。
*******
下定决心 没报名都是假的
笔者个人在资讯产业工作的经验大概有十年左右,八个领域有涉猎两个以上。平常对IT有
兴趣,除了工作之外,会在家里搞企业级网络或者虚拟化。只差没有把家人都给SSO,用
Kerberos做身份认证使用无线网络。这次考试一次过关,实际准备时间在三个月左右。我
认为这是一个很刚好的准备时间。
用专案管理的角度评估,超过三个月的专案很难控制意外情况,造成专案风险。考试也一
样,如果时间拖太长可能会遇到意外,例如前述提及的125题考试方式是在2022年3月中的
时候公布,2022年6月1日开始执行。这种变化也许会对读者造成影响,就是一种风险。准
备期太长,搞不好又遇到官方调整考试方式。嫌三个月太短,最多半年,不能再多了。再
多会让人懈怠,觉得时间很长很充裕。也真的可能发生读到松懈、失去动力,外加夜长梦
多。早日了结这考试,对你平常的工作专注还有家人相处的时间,绝对有正面的影响。至
于说是给自己一、二年?笔者很直接的讲,不用浪费这个钱跟精力了。这样长的时间也许
再去读个二年硕士班比较实在,你只是给自己找理由。
CISSP的考试费用很贵,目前接近800美金。考不过就是钱丢到海里,下次缴钱再考。所以
真的拿出信用卡报名,或者让公司帮你报名后(正常的大公司只会赞助你考一次),你才
会认真准备。考试时间确定后,再更改要另外付钱。所以一定要报名下去,才会有危机意
识认真准备。800美金如果拿来买一支新的iPhone或者升级MacBook的规格不是很好?不认
真准备,一次考不过除了花钱也会增加无形的心理压力。这个有考过驾照的读者应该可以
感受,虽然台湾驾照考照费用没这么贵。
*******
寻求资源与支持
CISSP考试,家人跟公司的支持很重要。因为准备没办法有任何的投机取巧,笔者也自认
自己的实力够,但是真的准备起来还是吃力,即使已经用了技巧。在你读书的时候,家人
是否愿意不打扰?帮忙顾小孩或是多分担一点家务。公司的部分,能否有空档让你准备考
试?例如有温书假的制度。(笔者的公司很幸运的有,三天的有薪温书假)主管跟同事是
否支持?在最后关键时刻,能否理解利用部分上班时间,没有指派任务的空档看书?没有
心无旁骛,才有没负担的准备跟最后通过的可能。公司有没有钱或者教育训练的预算让你
去外面上课或者购买与订阅教材?这都可以问一下,大公司通常都有资源。整个CISSP的
准备成本其实很高,特别是隐形成本。
笔者在下一篇会讨论教材评估、读书计画、题库使用还有个人的纪律与心态调整。