Sådan bestås CISSP-eksamen (informationssikkerhedscertificering)

Hvad er CISSP?

Det er Certified Information Systems Security Professional certificering. Det er generelt den mest anerkendte, brede certificering inden for informationssikkerhed. I det væsentlige er det en tomme dyb og en kilometer bred - en enorm mængde information grupperet i 8 domæner:

  • Domæne 1. Sikkerheds- og risikostyring (15%)
  • Domæne 2. Aktivsikkerhed (10%)
  • Domæne 3. Sikkerhedsarkitektur og teknik (13%)
  • Domæne 4. Kommunikation og netværkssikkerhed (14%)
  • Domæne 5. Identitets- og adgangsstyring (IAM) (13%)
  • Domæne 6. Sikkerhedsvurdering og test (12%)
  • Domæne 7. Sikkerhedsoperationer (13%)
  • Domæne 8. Softwareudviklingssikkerhed (10%)

Hvis du kun får en informationssikkerhedscertificering, er dette den. Det er langt den mest almindeligt accepterede og anerkendte.

Skal du få det?

....måske. Det afhænger af, hvad du vil have. Generelt er certificeringer nyttige for folk på entry level, der ønsker at få en fod i døren eller forstå leksikonet og rammen, som folk taler om sikkerhed med.

De kan også være nyttige til at få dit CV forbi en indledende screening, se imponerende ud for fremtidige arbejdsgivere og potentielt tilføje troværdighed til din oplevelse (endnu bedre, hvis du ikke har meget erfaring!).

Det betyder ikke, at du er en 'cybersikkerhedsekspert', og de fleste vil ikke se det som det. Denne særlige certificering er mere rettet mod ledere end hands-on keyboard folk. Denne test lærer dig ikke, hvordan du fungerer som en praktisk SOC (sikkerhedsoperationscenter) analytiker. Men det vil give dig en vis eksponering for en bred liste over grundlæggende begreber.

Er du interesseret i at læse mere om certificeringer? Tjek disse indlæg.

Lad os tale detaljer.

For at få certificeringen har du brug for mindst 5 års erhvervserfaring på to eller flere af domænerne. Du kan erstatte en fireårig universitetsgrad eller visse certificeringer fra ISC2 med et års erhvervserfaring (detaljer her).

Hvis du ikke har de nødvendige års erhvervserfaring, kan du stadig tage testen og blive tilknyttet ISC2. Du har derefter 6 år til at få de krævede 5 års erhvervserfaring.

Den engelske version af testen er en 'computer adaptiv test' eksamen, hvilket betyder at du kan modtage 100-150 spørgsmål under testen baseret på din præstation. Computer-adaptiv test (CAT) -test betyder, at testen automatisk justerer spørgsmålene baseret på din præstation.

Så hvis du for eksempel får et spørgsmål forkert, giver computeren dig et lidt lettere spørgsmål. Hvis du får et spørgsmål rigtigt, vil det næste spørgsmål sandsynligvis være sværere. Computeren fortsætter med at give dig spørgsmål, indtil den er i stand til trygt at vurdere dit niveau af viden og afslutte testen. Denne type test kræver således færre spørgsmål for med sikkerhed at vurdere dit niveau af viden.

Den ikke-engelske version er fast og har 250 spørgsmål. Du får maksimalt 3 timer til den engelske test (og 6 timer for den ikke-engelske version).

Testen er tilgængelig på engelsk, fransk, tysk, brasiliansk portugisisk, spansk, japansk, forenklet kinesisk, koreansk og synshandicappet. Testen tilbydes af Pearson VUE og administreres af deres proktorer.

Prisen er $ 699, og du har brug for 700/1000 for at bestå eksamen. Du kan tilmelde dig eksamen på Pearson VUE-webstedet her.

Når du har bestået eksamen, har du 9 måneder til at gennemføre 'godkendelsesprocessen', (medmindre du ansøger om en 'tilknyttet ISC2), som involverer at få en person, der er en ISC2-certificeret professionel (en person, der har en ISC2-legitimation i god stående og kan attestere din erhvervserfaring) for at bekræfte, at dine professionelle erfaringer er sande.

Hvis du ikke kender nogen, der passer til denne kategori, kan du bede ISC2 om at fungere som din 'godkender'. Derefter er din certificering god for livet, så længe du betaler et årligt vedligeholdelsesgebyr (i øjeblikket fastsat til $ 125 for certifikatindehavere og $ 50 for associerede virksomheder) og gennemføre dine krævede efteruddannelser (CPE).

Indehavere af CISSP-certificering skal indsende 120 point, mens associerede virksomheder skal indsende 15 hvert år.

Du kan få CPE-kreditter til en række aktiviteter, såsom at tage et akademisk kursus (1 times undervisning i et domæne = 1 CPE, op til 40), læse en bog (5 CPE'er pr. Bog med en 250 ord beskrivelse), magasin (5 CPE'er pr. magasinudgave med en beskrivelse af 250 ord) eller hvidbog (1 CPE med en beskrivelse af 250 ord) eller deltagelse i ISC ^ 2-begivenheder og webinarer.

Du kan finde flere detaljer om CPE-processen her.

Hvad var min oplevelse?

Testen tog mig cirka 80 minutter, og jeg gennemgik 100 spørgsmål, inden jeg bestod.  

For at forberede mig gjorde jeg det følgende over en periode på ca. 2+ år. Jeg ville studere i en uge eller deromkring, så glemme det i et par måneder og derefter komme tilbage til det, som jeg havde tid.

Jeg studerede sandsynligvis kun intenst i cirka en måned (hvilket betyder, at jeg brugte et par timer på hverdage på at studere og tættere på 6 timer i weekenden). Jeg vidste næsten intet (og havde ingen grad eller erfaring), da jeg begyndte at studere. Jeg startede oprindeligt med at studere i håb om, at det ville hjælpe mig med at få en ramme til at forstå virksomhedens sikkerhed - hvilket det gjorde (selvom jeg ikke er sikker på, at det var den bedste mulighed for det).

Hvis du har flere års erfaring med at arbejde med informationssikkerhed, kan du sandsynligvis bare læse 11. timers bogen et par uger før eksamen, pusse op på ukendte emner, prøve nogle øvelsesspørgsmål og tage testen. Jeg har bedømt de ressourcer, jeg brugte, ud af 10 baseret på deres anvendelighed i forberedelsen.

  1. Læs ISC2 officielle studievejledning (ja, det hele. Gør sandsynligvis ikke det. Det er bestemt mere information, end du faktisk skal vide.) 6/10
  2. Kelly Handerhan-videoer (jeg så de gamle, så da hun udgav opdateret indhold, så jeg de nye. Disse er solide, selvom de ikke er så dybtgående som eksamen kan være.) 7/10
  3. 11. timers CISSP-guide (som tre gange). 8/10
  4. IT Dojo Daily CISSP-spørgsmålvideoer (jeg så dem alle. Nogle af dem mere end én gang. Fyren, der kører serien, har en rigtig god måde at forklare komplicerede begreber på, men jeg tror ikke, at spørgsmålene afspejler eksamensspørgsmål .) 6/10
  5. Lavede en million (sandsynligvis omkring 1000) flashkort, når jeg fik et spørgsmål forkert eller løb ind i vanskelige koncepter. Studerede dem. Lavet mere (hver gang jeg løb ind i noget, jeg ikke vidste). Studerede dem igen. 10/10
  6. Brugte Shon Harris-bogen til at undersøge specifikke emner, som jeg ikke forstod. Og spurgte andre mennesker, googlede emnerne, læste blogs, så youtube-videoer osv. 9/10
  7. Set denne video, denne video og denne video om test af tankegang. Flere gange. 10/10
  8. Tog alle øvelsesspørgsmålene i ISC2 Practice Test-bogen (to gange - samme link som studievejledningen). Spørgsmålene var gode, men reflekterede ikke nødvendigvis, hvordan eksamensspørgsmålene ser ud. 7/10
  9. Tog alle Boson praksis Qs. Tog dem igen og læs alle forklaringerne. Disse var den mest nyttige ressource. Forklaringerne var gode, selvom spørgsmålene var mere tekniske end eksamen. 10/10

Ingen af ​​træningsspørgsmålene var perfekte repræsentationer af testen, men Boson syntes den nærmeste.

Det bedste råd, jeg fik, før jeg tog det, var at se på svarene, og hvis nogle af svarene bad mig om at gøre noget (tag et system fra et netværk, skift en adgangskode, udfør en konto-lockout osv.), Til spring det over til fordel for et svar, der involverede dokumentation, instruktion af en anden osv.

At komme i tanken med 'CISSP' er nøglen til at bestå testen. Forestil dig for hvert spørgsmål, at du kører sikkerhedsteamet, mens det håndterer den situation, der er beskrevet i spørgsmålet.

Hvad ville du gøre (eller hvad ville du bede dit team om at gøre)? Det viser sig, at jeg var måde, måde, langt forberedt på de tekniske begreber (selvom jeg stadig (for det meste) var glad for, at jeg lærte informationen!).

Til sidst skal du bare booke testen - jeg tror ikke, nogen føler sig klar, når de forbereder sig (og bestemt ikke, når de tager testen!), Men på et tidspunkt skal du acceptere, at du har gjort så meget som du kan. Glad at studere!