初識CISSP

2016年經由同事準備CISSP的考試時，才得知有這一張資安黃金證照，也由於同事的鎩羽而歸，才意識到CISSP好像不簡單。但當下對於資訊安全並沒有太多想法，也以為很單純。(備註. 當時同事程度為資訊本科系，博士肄業，約5年以上資安工作經驗，國內知名電腦補習班課程。)

機會

隨著近幾年資安重大事件頻傳，政府與民間越來越重視資訊安全，我也接觸了許多的資訊，我想這是個轉變的機會，但感於自身的競爭力日趨不足(隨著年紀越來越大，而且僅IT Infra.相關經驗)，經過自我分析與判斷後，決心走向資安領域發展。以下就將我當初的想法套入BCP (營運持續計畫)中，做成一份個人職涯持續發展計畫(Personal Career Continuity Development Planning)進行小小的分享。

個人職涯持續發展計畫

1. 內外部環境分析
   • IT就業市場走向為何? (資訊安全職缺激增)
   • 法規要求，需求增加，機會多! (個資法、資通法、政府標案需求…) 
     (備註. 2021年底，金管會正式發布新版「公開發行公司建立內部控制制度處理準則」，其中包含上市櫃公司資安專責人員要求部分。)
   • 現況工作前景，個人有無發展機會，老闆想法重視與否!
   • 個人學習動機強烈，有興趣有想法，未來危機感!
2. 識別出利害關係人並了解利害關係人的需求
   • 自己，希望擴展資安領域工作機會，提升資訊安全專業，增加就業競爭力。  
   • 家人，尊重想法，全力支持，要求持續有固定收入。  
   • 考量不久將來有小孩，有時間壓力(希望小孩出生前，估約3~6個月摘金)。
3. 根據利害關係人的需求訂定範圍  
   • 目標為考取資安黃金證照(CISSP)，業界評價高，能力肯定，不是軟柿子。  
   • 範圍為資訊安全相關領域(包括CISSP 8個Domain)。  
   • 適用於CISO/資安顧問/電腦稽核顧問的能力要求，CIO加分選項，符合未來發展需求。
4. 對範圍內的知識領域做個人能力衝擊分析  
   • 熟悉的Domain : Domain 4通訊及網路安全。  
   • 一般了解的Domain : Domain 2資產安全、Domain 5識別暨存取控制、Domain 6 安全評鑑與測試、Domain 7安全維運。  
   • 不熟悉的Domain : Domain 1安全暨風險管理、Domain 3安全架構與工程、Domain 8 軟體開發安全。
     分析考取的關鍵知識領域為Domain 1、3、8。需加強的為Domain 2、5、6、7。
5. 風險評鑑
   • 識別風險
     8個Domain均存在風險，如觀念不通、架構不穩、Domain無法串連、知識點不廣等。
   • 分析風險
     每個Domain風險權重均很高，以配分百分比看來，幾乎沒有高低之分。
6. 風險處置
   • Avoid (避免，為了考取，風險是避免不了的)
   • Transfer (轉移，避免自己念，念不懂得風險也高，浪費時間，必須站在巨人肩膀上，吸取成功與失敗的經驗，少走冤枉路及快速達標。)
   • Mitigate (緩解，透過老師與教練們的Daily Scrum、Sprint Review、總複習等提高摘金機率，並參考上場指標。)
   • Accept (不能接受現況，接受的話也不用考了，畢竟風險太高，能力不到)
7. 尋找外部資源與實際學習
   • 開始尋找外部資源
     考量講師各Domain經驗是否足夠，證照取得多寡是否有說服力，參考資源是否豐富並持續更新，後援人力是否足夠，教學理念與動機等。很幸運的在浩瀚網海中找到了吳文智老師。並從第一頁開始花了一些時間慢慢瀏覽網站慢慢認識老師。看完後，這實在是令我非常敬佩的一位有理想、有毅力、有能力的知識領航者。(https://wentzwu.com/2012/12/03/hello-world/)。
   • 確定外部資源的分析如下
     a. 老師8個Domain經驗豐富，有問必答，能給予符合個人考試需求的建議。
     b. 強大的志工教練團，實際經歷從無到有的證照經驗，以及來自各行各業實務經驗分享，豪不藏私。
     c. 定期的專業知識分享會，以及Daily Scrum等課後追蹤輔導機制，帶領學員們持續前進、學習，不要落隊，希望一個都不能少。
     d. 實踐共好理念、持續精進並樂於分享。
     所以緊接著在老師的2021/10月班開啟了我的資安領域知識成長之旅。

考試PDCA

立定目標，確立範圍，選定外部資源後。就快手趕快報名，學習上除了按照老師規劃的上課進度進行外，自己的讀書計畫也要確立。確立後並開始執行，雖說人都會有惰性，但務必要求自己每天要有進度，熟悉準備考試及念書的感覺。我的考試日期訂為2021/12/28英文版考試。

2021/10 上課期間

空餘時間進行老師講義的預習與複習，課後評鑑、資安觀念與架構建立並練習心智圖。

2021/11 準備考試期間

每週一~五，6:00-7:00，22:00~23:00 講義複習、番茄鐘、Exam  Outline。
21:30的Daily Scrum與Sprint Review。(Dennis教練與Steven總教練帶領)
每週六~日，準備連續較長時段進行番茄鐘、QOTD模擬試題。

2021/12，準備考試期間

每週一~五，有空就看教練筆記、OSG細讀、OSG題目及OPT題目練習，QOTD錯的題目重看，老師總複習。(時間較零碎，但早中晚都會有時間利用)，21:30的Daily Scrum與Sprint Review持續。
每週六~日，QOTD模擬試題，OSG、OPT題目練習，教練Review。

失敗

第一次失敗，總結原因，英文題目越看越慢，部分題意與選項不甚理解，越後面越急，導致150題寫完後無法過關，題目配速不理想(130題後就開始混亂，時間也快到了)。拿到測驗結果後果然Fail，各Domain表現也不理想，故當下結論為此次選英文版考試對自己仍有難度，但專業知識應符合要求，思考之下，短期提升英文能力較為困難，且有時間壓力，故決定下次轉考簡中版較有把握。後續並於2022/1/22報名booking 2/22考試。

關於考試版本選擇英文或簡中版，個人認為較無關專業知識，反而對於英文閱讀的理解能力較為關鍵，若是英文閱讀理解能力較慢，就會花費較多時間，若是對自己英文閱讀理解能力有信心，則不妨挑戰英文版本，畢竟英文仍是通用語言，較貼近外國人想法。

成功摘金

雖說前次的失敗，失望是必然的，但立定的目標仍在前方，仍須重整心情，檢討得失準備第二次的挑戰，檢討得失就很重要，需調整自己考試的策略，如前述，第二次以準備簡中版為主，另外老師講義再熟讀一次，接著開始針對先前QOTD、OSG、OPT做錯的題目再Review，並再針對Exam Outline精讀。(不求快，以讀通為主，但時間分配要掌握好。)

另外提到自己整理筆記的方式，算是重點式整理自己有興趣的主題，以我為例，在密碼學上很好奇有興趣，就會加深自己在這方面的知識點，透過密碼學再進行延伸學習，我自己認為會比較不會忘記，就算忘記也比較容易回想起來。當然還有另一項特殊做法就是在準備考試期間，我會利用每天上班時間約15分鐘至半小時不等，試著將所學習到的資安領域的知識講述給底下同仁了解，一方面提升同仁們的資安知識，對公司與工作都有幫助，一方面也讓自己更加深印象(從去年10月中到去年底，後因腳傷請假暫停，今年3月又恢復此做法)，隨著時間拉長，其實這些知識已幾近內化成屬於自己的觀念一部分了。

第二次上場看見簡中題目回答起來順利很多，比較少有停頓的地方，前面100題花費約100分鐘，評估自己比較耐坐，腳傷還沒完全好，也懶得起來，後面150題就放慢速度，做完送出後只剩約30分鐘。雖說簡中版較看得懂，較快理解，但建議不是對簡中敍述完全看懂的情況下，最好還是點選英文敍述看一下，有好幾題就是中英的名詞會理解錯誤。考試當下最後一題選好答案後，我足足看了電腦畫面約兩分鐘思考著，如果又失敗，我該當如何呢? 雖然比起上次較有把握，但畢竟沒有百分百，想著老師說能力到就會過，不必想太多，就想著光榮出場。出場後接過考試結果通知單，隨即翻開看到恭喜你三個字，眼淚差點奪眶而出，辛苦努力後的果實，真的甜美，好像很久沒有這種感覺了。

後記

最後感謝吳文智老師、Dennis教練、馬修教練、Jimmy教練、Alex教練、Scott教練、Erwin教練、Joy助理總教練及Steven總教練的教導與共好理念，感謝家人包容支持，也感謝自己努力，讓現在的你對的起未來的自己。請記住明天的保證比不上今天的行動，相信自己，自信應試，光榮出場。就從報名考試開始吧!