*2021 CISSP_陳同學
在台灣的工作場域,尤其是泛公部門,常常囿於人力或長官的想法,職稱和工作內容常常大相逕庭,很難有個”純粹”的職務和工作內容。在一段長時間的主機維運、資料分析和契約合規檢視這樣混搭的工作似乎遇到瓶頸時,剛好公司的教育訓練還有額度,也讓我有機會親炙CISSP這「一哩寬、兩吋深」的資安至高境界的課程。上課當時我的本業是專案開發和資訊系統維運,偶而幫忙看看資訊契約;平常跟IT營運相關的業務,也就只有主機設定管理、資料庫排程、加上偶而下點指令、看看控制台。跟CISSP的宏大的概念相比,真的是單點跟全面、天上與地下的差別。尤其對於非資安相關的人員來說,「CIA、風險評估、存取控制、Common Critetria、SOC、密碼學、BCP、CMMI、等…」這些咒語,乍聽如墜五里霧,茫茫不知在何方。但是萬幸、萬幸首次接觸到全面的資安概念,就是Joseph老師的CISSP課程,我也因此開啟了工作、甚至職涯上新的一扇窗。
Joseph老師的課程,除了紮實的帶你走過通篇教材外,因為他在資安界的元老級資歷,總是可以提出豐富又生活化的實例,讓學生將教材上的概念,真正的內化到自己的知識體系,尤其老師的口頭禪如「Security is a process, not a product 」、「資安是40%的技術和60%的管理」、「Context matter」、「家密是你最後的好朋友」,乍聽之下沒有感覺,從事資安後回頭看,句句是長期深入的實務工作才能淬煉出的名言。
我個人通過考試的經驗比較奇怪,不是標準版歷程,不過想走另類路線的考生可以或多或少參考看看。我從聽完CISSP課程到考上為止,總共花了兩年半的時間;但我並沒有依據考試日期排讀書進度、平常工作和陪伴家人,也沒有每天特意空出念書時間。而是自從上完課後,就開始積極參與、爭取資安相關的工作,於是資訊技術人員不想碰、不願碰的資安政策、制度、管理工作,或是任何人都不想碰的資安稽核作業,就逐漸的落到我肩頭上。不過幾年就累積了滿滿的資安管理與稽核的實務經驗;從過去只摸到過邊,到現在能充分掌握核心架構,只能說別人不要的工作不見得不好,重點是我們的目標和經驗累積是不是相符吻合。
老師們推薦、論壇上建議或是前輩的經驗,不管是OSG、AIO或是study guide我都有準備,不過慚愧的是通通沒念完,我真正念完的,就是Joseph老師上課的講義,除了上課前預習、不缺一堂課外,我會儘量讓筆記完整充分,每次下課都會把無法掌握的內容跟老師問個徹底,也很感謝老師願意不厭其煩的回答我。而除了上課認真外,兩本講義我徹底的讀過6次,工作中如果遇到相關的內容,都會回去翻閱查找,相通內容也會謄在筆記上。補充資料方面,網路文章、研討會儘量去看去聽,不懂的概念善用Google,逐步完善自己的資安體系概念。這些都是我在沒有完整閱讀標準參考書、教科書的情況下可以考上的原因,歸納起來,老師的兩本講義就是我的學習核心,我所做的就是在工作中學習,將他的概念鞏固、串聯成自己的體系。
從上課到考試的兩年半中,除了用工作和零碎時間準備考試外,我陸續取得Comptia Security+和ISO 27001 LA的證照,也嘗試過Comptia Pentest+的考試,雖然以707分飲恨,卻也幫助我釐清很多觀念,在遇到滲透測試相關的考題時可以從容作答。這些證照或課程,都能幫助我們建構CISSP的完整體系。建議大家有時間有機會的話,儘量多參加類似的培訓或課程,讓學習更深入也更全面。
全智網相對來說是比較新的訓練中心,但花了非常多的心力在關心和照顧學員,從上課到考試的兩年半中,我參加過1次的密碼學補充講座和兩次的總複習課程;總複習中,Royce老師總是非常熱心的提供輔導,尤其他非常正面的態度,給了我很多鼓勵,他關於Security+的建議,也都十分中肯實用;Sky老師的總複習,充分的將分散的主題串接,對考試有很大的幫助,尤其他的日期訂下去、信用卡刷下去的建議,是我今天能通過考試的契機,否則真的不會覺得自己有完全準備好的一天,過關自然遙遙無期。KK老師總複習時的線上測驗和資源分享,對準備考試也多所助益。也要感謝Cinna的課程安排、通知與關懷,還記得有次總複習遲到,接到他的關懷電話讓我趕緊加快腳步。而Grace對於課程資訊、線上題庫相關問題都可以不厭其煩的回答,也真的能讓考生省去很多煩惱。總之,如果想要上課品質好、課後有人問、輔導時時有、行政流程沒煩惱,推薦您來試試。感謝全智網、感謝Joseph老師、也希望各位資安有志者都能盡快通過考試,展開新的職涯。