CISSP หรือ Certified Information Systems Security Professional เป็นcert ของค่าย International Information Systems Security Certification Consortium หรือ (ISC)² ซึ่งเป็น cert ที่ไม่ขึ้นกับกับvendor (vendor-neutral certification) โดยตัวนี้เป็นที่ยอมรับกันอย่างกว้างขวาง ในวงการ Information Security ทั่วโลก ในแง่ของความรู้ และความยากในการสอบ เพราะด้วยเนื้อหาที่ต้องเข้าใจมีเป็นจำนวนมาก และผู้เข้าสอบต้องมีประสบการณ์ทางด้าน IT Security อย่างน้อย 5 ปี ถึงจะได้รับใบรับรองตัวนี้ ซึ่งเนื้อหาจะเป็นภาพรวมๆทั้งหมดของ IT Sec ที่จำเป็นต้องรู้ แต่อาจจะไม่ได้ลงลึกในรายละเอียด (A mile wide and two inches deep)
ทั่วโลกมีคนถือ certใบนี้ทั้งหมดประมาณ 94000 คน และประเทศไทยเรามี 174 คน (ข้อมูล 1 June 2015) ในขณะที่มาเลเซียมี 261 คน สิงคโปร์มี 1,311 คน (https://www.isc2.org/member-counts.aspx)
สาเหตุที่มันได้รับการยอมรับอย่างกว้างขวางคือขั้นตอนก่อนที่จะสอบ คุณต้องมีประสบการณ์ 5ปี ระหว่างสอบ ข้อสอบ 250ข้อ กับเวลา 6 ชม. ซึ่งโจทย์จะออกแนววิเคราะห์ ผมเคยได้ยินมาว่าข้อสอบเค้าจะอัพเดทบ่อยมาก มีข้อสอบอยู่ในคลังสี่ห้าพันข้อ และหลักคิดในการออกข้อสอบคือเมื่อกรรมการท่านใดออกข้อสอบมาแต่ละข้อ จะมีคณะกรรมการคอยตัดสินว่าคำถามนั้น คนที่ทำงานมาน้อยกว่า 5 ปีจะตอบได้หรือไม่ ถ้าตอบได้คือคุณต้องคิดข้อสอบใหม่ – -‘ และมีการใช้นักจิตวิทยามาช่วยในการออกข้อสอบด้วย ดังนั้นการท่อง Dump จึงเป็นไปไม่ได้โดยสิ้นเชิง (และไม่มี dump ให้ท่องด้วยเพราะเป็นข้อสอบเชิงวิเคราะห์) และหลังจากสอบได้แล้ว คุณต้องทำการ maintain cert โดยการอับเดทความรู้ของคุณเรื่อยๆ โดยการ submit CPE ซึ่งในแต่ละขั้นตอนล้วนซับซ้อนและใช้เวลาทั้งสิ้น
เนื้อหาที่ทำการสอบ รุ่มผมเป็นรุ่นที่ (ISC)² ได้ทำการอัพเดทใหญ่พอดี โดยทำการปรับจาก 10 Domain มาเป็น 8 Domain (เรียกว่า CBK หรือ common body of knowledge) แต่มันก้อคือ 10 domain เดิมนั่นแหละ เพียงแต่มีการ re-arranged ใหม่ บทโน้นยุบไปรวมกับบทนี้ บทนี้ปรับให้กระจายไปอยู่ในบทอื่นๆ และเพิ่มเนื้อหามาอีกประมาณ 30% เพื่อให้ทันกับ threat ที่เพิ่มขึ้นในปัจจุบัน และมีผลทันทีหลังจาก 15 April 2015 ที่ผ่านมา
8 Domain มีดังนี้
Asset Security
Security Engineering
Communications and Network Security
Identity and Access Management
Security Assessment and Testing
Security Operations
Software Development Security
ไม่มีความคิดเห็น:
แสดงความคิดเห็น