進入資訊行業,一定接觸、聽過「證照」,甚至看過主管辦公室牆上貼的一整排證照(無比帥氣!)雖然時不時會有「證照無用論」的觀點,主張能辦事比會考試重要,覺得自身的經驗與能力勝過一紙證書,然而證照常常被用於證明、評估能力的標準,尤其對於資訊安全領域來說,缺乏那張重要證照,除了可能被客戶質疑專業程度,某些情況下甚至是無法工作的!例如美國國防部的DoD 8570/8140準則(DoD Directive 8570/8140)規定,所有全職、兼職的軍方、約聘僱、聯邦政府公務人員,都必須依工作內容通過相關資安認證考試,還將美國國家標準學會(American National Standards institute, ANSI)認可的資安證照分三個級別明確列出。
當你辛苦花費時間精力準備,順利考過資安證照,其實只是第一步;維持證照有效性,才是漫長的征途。除了定期繳交一筆更新費用,依照各個證照核發單位的規定,通常還需要在限定時間內,申報一定數量的學分,才能更新維持證照效期。對於剛離開資安新手村的小資工程師,光是定期繳交證照更新費已經荷包失血,如何用最少的經費累計資安證照所需的學分呢?離開資安新手村後經驗與能力慢慢累積,若是持有多張來自不同核發單位的資安證照,又該用什麼方法滿足不同核發單位的要求呢?難道要跑到異世界做苦力拼命賺學分嗎?
這次鐵人賽便來分享筆者自己的經驗和記錄下來的資源,也希望藉此拋磚引玉,大家討論、分享都是用什麼方式策略、用什麼資源維持資安證照效期。
參考 *DoD Approved 8570 Baseline Certifications
https://public.cyber.mil/cw/cwmp/dod-approved-8570-baseline-certifications/