# Cissp Day 0 老師介紹與課程介紹 初次上課日 20231119 --- ## 王瑞祥 ROLAND WANG 教師簡介 * 資安獨立顧問 講師 > 獨立=沒靠行 freelancer 接案 ## 講師經歷 * 軟體工程師 * 專案經理 * 技術主管 - 經濟部工業局app檢測 * 目前主要是顧問和講師 --- ## 在恆逸上課的事項 1. 記得上課時刷磁卡簽到，下課不用簽退 2. 領了硬碟才能開機 3. 教室電腦可以使用遠距功能，實體教室老師會直接切換到投影螢幕 4. 教室電腦有網路可連到Google等開放網路 --- ## 教材說明 教材版本202307，使用的是ISC2原廠投影片 + roland老師補充 另一位唐任威老師是用原廠書本，每個老師風格不同 同時也有台中、高雄的教室一起遠端上課 --- ## 老師確認學生的上課目標 個人背景 * 資安管理 政策面 (台北5 高雄1 台中2) * 資安技術 滲透測試 紅隊藍隊(台北5 高雄1 台中1) * IT 網管 系統管理MIS (台北6 高雄1 台中0) * PG 開發程式 (台北2 台中0 高雄0) * PM 專案經理 產品經理 (台北3 台中0 高雄0) * 其他 Consultant 顧問(台中1 高雄0) Presales sales 工作經驗 * 資安5年工作經驗(台北1) * 管理制度 ISO 27001、nist、pci dss 建置和執行 (台北10 台中4 高雄1) > 老師：全球19x個國家，台灣拿 27001 LA課程人數排前10名 * 一定要考證照(台北14 台中4 高雄1 全部都是要考照) * 只是想要系統性的了解資安領域 (0，大家都是目標考照) --- ## 原廠 ISC2 唸法是 ISC square 考試費美金749，以考試來說很貴沒錯，2022年曾經有買一送一優惠，2023年底又有出現一次 另外有一個證照是 isc cc ，是一個入門等級entry level 證照很簡單，裸考有機會過，考不過也沒關係 因為考cc不用錢，目的是熟悉考場(跟cissp一樣) 熟悉螢幕作答流程，考過多一張證照，考不過也沒怎樣 --- ## 8個領域 CBK 有管理有技術 CISSP® 認證考試範圍(即為CISSP CBK® 資訊安全通識體系八大領域)： * Domain 1—安全暨風險管理 (政策面 管理面居多) * Domain 2—資產安全 (有管理也有一點技術 盤點就是管理面，但 資訊資產銷毀方式就是偏技術) * Domain 3—安全架構與工程 (講到風險 密碼學) * Domain 4—通訊及網路安全 (網路協定 純技術) * Domain 5—識別暨存取控制 (身分識別 存取管理 帳號權限盤點就是管理 kerberos就是技術面) * Domain 6—安全性評估與測試 (管理技術都有 如管理的內稽流程 技術的滲透測試弱掃) * Domain 7—安全性作業 (管理BCP DRP 營運持續計畫 ；技術備份還原) * Domain 8—軟體開發安全性 (管理SSDLC 技術：原碼檢測) 上課就是照這8個領域順序上，cissp的內容特色就是廣，會超過 iso 27001的範圍 例如 domain 3 提到 security model(1970年代出現，有些同學根本還沒出生)，27001沒有 補償性控制措施 nist有 pci dss也有，但27001沒有 老師做資安20年也不敢說每個領域都懂 廣度廣的特性，深度不可能太深 ## 準備課程順序建議 8個 domain都先看過，去強化自己最弱的那個 考試題目不是跟你講考在哪一個 domain ，可能是 1題同時包含複數個domain 例如風險管理在domain3，但概念也可以用在domain 8軟體開發， 資產盤點跟備份兩者的關聯，你覺得重要資料消失毀損影響嚴重才會去做備份，但是沒有資產盤點，怎麼知道哪個重要? 所以會有複數domain關聯性 顧問或是稽核厲害的地方在理解之間的關聯性與先後順序 ## 深度要看到多深? 1. 首先了解這個知識點是什麼? 主要目的 主要功能 2. 這個東西為什麼存在? 他要解決什麼問題 3. 這個東西如何運作? (最後再理解 相對不重要) 舉例 kerberos 這個東西 1. 做什麼? 身分驗證 2. 解決什麼問題? single sign on，third party 3. 什麼角色 何種技術 --- ## 如何確認自己的 cissp 考試準備完成? 每個 domain 準備完，就去考單domain的模擬考題 要考到 70% 以上才算了解 1~8個 domain，每個都準備完就去做不分 domain 的模擬考題，至少混合題目也考到70%，再去考正式 不分 domain 的考 2~3 次都 70% 以上再去考正式比較有機會過 --- ## cissp 的高度 跟技術背景有關 > 工具規律之馬斯洛槌子：你手上有個錘子 看什麼都是釘子 > if all you have is a hammer, everything looks like a nail > by Maslow and Kaplan 技術人員解決資安問題 什麼都想用技術解決，但是在資安不見得都能用技術，還是需要管理 例如特權帳號管理 可以採購cyberark這種PAM工具，但成本很高 用opensource沒有取得成本但是有技術成本(要專家去研究) 另一個是技術有限制，例如dlp資料外洩偵測，如果被用圖片隱藏技術帶出去 或是原碼檢測不能保證全部弱點檢測到或是一定沒有誤報 技術背景的人高度要拉到管理者思維，要確定題目想問題管理議題還是技術議題 解題方向錯就會答錯 考試問法類似PMP best answer最佳解，不是 correct正確解，可能4個答案都正確，那就是要用管理面來解(風險 預算 組織規模 來評估)，從題目裡面找出線索才方便解，刪去法在這類題目上比較困難 --- ## mind set 心態準備 * 考題出現 人命 的優先選保命 cissp 西方國家思維，對人的生命安全非常重視，一定排第一位，牽涉到人的生命安全，一定是命最重要，其他都其次 * 遵循性也是很重要 資安小白可能比較沒差，在職場打滾很久的老鳥有心態可能被台灣職場固化，正式考試有時候轉不過來，工作經驗不見得是對的，答題要 by the book(依照書上寫的)，優先以國際標準規範正確觀念來回答題目。 --- ## 考試類型 * CAT考試 曾經只有英文 變動題目數量，2023年底開放500個實驗性的簡中名額，預計2024年4月15月後增加簡中版，考試時間 3小時 125~175題 變動題目的意思：他覺得你前面125題答得很好已經夠看得出你實力了、或是答太爛沒救了，就會自動終止，看不出來的話才會超過125，最多做到175題。 考試出來走到櫃檯，看到紙上結果：英文congulation=過了, thank you=沒過 * linear 考試 線性 固定250題 有簡中+英文原文對照 6小時 --- ## 要考試的很推薦看 exam outline 打開要注意日期是不是新的，裡面有英文也有簡中的 https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline  --- ## 正課補充資料 https://tinyurl.com/cisspucom