對 CISSP 不用多介紹, 全球含金量數一數二的 IT 資安證照. 涵蓋的範圍相當廣範, 除了包含許多網路技術與標準、資產管理、資安風險評估以及測試、安全軟體開發流程等等, 也會提到如何處理以及反應 IT 資安問題. 其特色為 “廣但不深".

CISSP 適用職務：

(ISC)² 官方建議 [1] 下列職務人員可考慮擁有 CISSP 證照

• Chief Information Security Officer
• Chief Information Officer
• Director of Security
• IT Director/Manager
• Security Systems Engineer
• Security Analyst
• Security Manager
• Security Auditor
• Security Architect
• Security Consultant
• Network Architect

成為 CISSP 流程：

1. 確認報考資格
2. 決定筆試準備方式
3. 報名並進行筆試
4. 填寫資格申請表
5. 進行審核
6. 繳交會費
7. 累積持續教育積分 Continuing Professional Education (CPE)

---

1. 確認 CISSP 報考資格：

決定準備 CISSP 考試前, 請先確認具備基本要求. 否則即便考過筆試也無法獲取證照, 但可以選擇成為準會員來保留考試成績.

發證組織 (ISC)² 規定需在下列八個軟體領域中需具備至少兩個領域五年以上工作經驗. 若具備大學學位或者滿足特定條件, 得抵免一年工作經驗 [2].

• Domain 1. Security and Risk Management
• Domain 2. Asset Security
• Domain 3. Security Architecture and Engineering
• Domain 4. Communication and Network Security
• Domain 5. Identity and Access Management (IAM)
• Domain 6. Security Assessment and Testing
• Domain 7. Security Operations
• Domain 8. Software Development Security

這邊建議先找好一位 (ISC)² 會員. 屆時 CISSP 筆試通過後, 會需要他的具名推薦.

---

2. 決定筆試準備方式

由於每個人學習方法, 以及準備時間皆有所差異. 所以可根據自身需求來選擇下列筆試準備方式.

1. 實體課程
   • (ISC)² 官方實體課程
   • (ISC)² Private On-Site 課程
   • 線上教學課程
   • 臺灣許多訓練中心都有開 CISSP 實體課程
2. 線上課程
   • (ISC)² 線上自學課程
3. 自修
   • (ISC)² 官方建議書單

我個人是選擇以自修的方式準備,選用書單如下:

• The Official (ISC)2 Guide to the CISSP CBK Reference, 5th Edition
• CISSP Official (ISC)2 Practice Tests, 2nd Edition

個人主要準備方式為

1. 先閱讀 The Official (ISC)2 Guide to the CISSP CBK Reference, 我的策略是越熟悉的章節越晚讀, 所以進行方式為從 Domain 7 開始讀到 Domain 1,  最後才看 Domain 8. 因為我對於 Secure software development lifecycle 較為熟稔. 
2. 每個章節讀完, 接著做 CISSP Official (ISC)2 Practice Tests 內的習題. 每章大約 100 ~ 120 題. 對我來說, 做習題的目的是為了瞭解哪邊的觀念較為不足, 所以訂正習題時, 不管是否答對, 都會將解答內的說明閱讀一次, 以加強觀念. (要注意, 裡面有些答案具爭議)
3. Domain 1~8 都讀完後, 開始做 CISSP Official (ISC)2 Practice Tests 內的模擬試題, 這主要目的是讓身體習慣專注做完 100+ 題的節奏. 由於準備時間的關係, 總共四個總測驗, 我只做完三個就去應試了.
4. 除了上述兩本, 我也推薦 Official (ISC)² CISSP Study Guide, 這一本裡面的內容較有條理, 但因準備時間關係, 我只翻到 Chapter 5 而已.

認證考試範圍

CISSP 考試範圍涵蓋了下列八個領域

• Security and Risk Management
• Asset Security
• Security Architecture and Engineering
• Communication and Network Security
• Identity and Access Management (IAM)
• Security Assessment and Testing
• Security Operations
• Software Development Security

另外也請注意, 不要購買任何 CISSP 線上考古題. 因為裡面的題目跟 CISSP 差距甚遠. CISSP 是以不會出現考古題所出名.

---

3. 報名並進行筆試

考試地點目前全台有兩間, 分別為

• Pearsonvue – 台北市基隆路一段163 號12 樓之3
• Systex-SKH – 高雄市前鎮區中山二路2號25樓

現在都是採由網路預約, 由於 Pearsonvue 的位置較難預訂, 加上時間往往只剩早上 8:00.  這邊建議心裡先預設好考試日期並進行準備, 考試日期前一至兩週再開始預訂. 因為考試前一兩週常常會有人因故取消或延期, 進而釋出空位.

考試方式:

CISSP 很特別的提供八種語言以供應試選擇, 其中包含法語、德語、葡萄牙語、西班牙語、日語、簡體中文、韓語. 

若報考英文考試

• 考試時間: 3 小時
• 題數: 100 – 150 題
• 形式: 單選題或者創新型考題

若報考簡體中文或其他語系考試：

• 考試時間: 6 小時
• 題數: 250 題的電腦互動式測驗
• 形式: 單選題或者創新型考題

應試當天:

• 記得帶護照, 身份證且一定要提早到考場.
• 由於考試時間較長建議考前買些食物或者水, 考試途中可補充體力.
• 好好閱讀題目敘述, 避免誤解題意
• 考試為取得 700 分以上者即通過考試.
• 遞交答案後, 工作人員會提供考試結果.

我個人選用英文考試, 整體作答時間約 100 分鐘.

比較特別的是, 不像 CSSLP 測驗可以標示不確定的題目, 最後再回來審視. CISSP 測驗無法修改已遞交之答案. 所以每一題都需要再三確定才送出答案. 另外也不建議死背內容前去應試, 因基本上題目都可以靠觀念以及邏輯推演來回答.

---

4. 填寫資格申請表

通過筆試後, 等待 2 ~ 5 個工作天, 即可透過 (ISC)2 官方網站填寫 CISSP 資格申請表. 除了自己的資料外, 也須提供一位 (ISC)² 會員推薦人. 推薦人需填寫相關表單進行推薦.

---

5. 進行審核

一切填寫完畢後, 發證組織 (ISC)² 就會進行審核. 一般須等 4~8 週左右.

---

6. 繳交會費

審核完畢, 繳交會費後會員年費 USD 125 即可生效.

此外, (ISC)² 與 Acclaim 進行合作, 能在網站上查到證照訊息

---

7. 累積持續教育積分 Continuing Professional Education (CPE)

學而不已，闔棺乃止。 – 韓嬰《韓詩外傳》

拿到 CISSP 後, 需在三年內取得 120 分的累積持續教育積分, 且每年至少需取得 40 分CPE. 才能繼續保有 CISSP 資格.

CPE 可以透過參加資安論壇、擔任資安會議講者、參加資安 webinar、寫書或者開課等等方式獲得.

關於 CPE 的詳細資訊, 可參考官方資料以及 Q&A

---

心得:

隨著工業物聯網 (IIoT) 以及工業 4.0 成為重點發展趨勢, OT 與 IT 的界限也逐漸不像以往壁壘分明. 透過準備 CISSP 測驗, 除了能對 IT 資安有更廣泛的瞭解, 進而發掘之後想要深耕的資安領域, 也能對 OT 資安設計有所助益.

CISSP 過往都被視為 IT 資安從業人員才需要的證照. 但隨著 OT 與 IT 整合, OT 從業人員也需要去瞭解 IT 資安, 以利進行整體性的資安規劃設計. 

準備時間:

約十天, 主要為六日全天以及週間下班時間.

所花費用:

• 書本費: 大約 NTD 1500.
• 考試: USD 699

---

Reference:

[1] https://www.isc2.org/Certifications/CISSP

[2] https://www.isc2.org/Certifications/CISSP/experience-requirements