昨天提到要先了解本身持有資安證照如何更新,熟悉證照核發單位的相關規則,才能規劃省錢省力的方式來維持證照。今天將介紹(ISC)2的CPE持續專業教育學分為範例,熟悉規範後,接下來幾天分享進修資源就可以建立適合自己的策略。
開始之前,先宣告這是筆者自身對於(ISC)2 CPE手冊的認知與解讀,本人不代表(ISC)2,一切CPE學分規則和證照以(ISC)2官方資料為主,請隨時查閱最新版的CPE 手冊和官方資料。
大家初次聽到(ISC)2,多半是因為鼎鼎大名的CISSP(Certified Information System Security Professional)證照,畢竟這張證照可說是業界金牌標準,但其實(ISC)2還有提供很多不同的資安證照,例如雲端安全的CCSP (Certified Cloud Security Professional)、軟體開發安全的CSSLP (Certified Secure Software Lifecycle Professional)、SSCP (Systems Security Certified Practitioner) 等等,即便是CISSP,也有更專精的三個專項加強認證:CISSP-ISSAP(Information Systems Security Architecture Professional 信息系統安全架構專家)、CISSP-ISSEP(Information Systems Security Engineering Professional 信息系統安全工程專家)和CISSP-ISSMP(Information Systems Security Management Professional 信息系統安全管理專家)。維持不同證照,所需的CPE學分也不同。
*Screenshot taken from (ISC)2 CPE Handbook
這裡特別提醒:並不是通過(ISC)2的考試就可以得到證照,必須證明有相關的工作經驗,提出申請,由另一位(ISC)2會員背書證明工作經驗屬實,完成背書流程經過(ISC)2審核後,才會被授予證照。這段時間長短不一,而且(ISC)2在授予證書前,也可能再次對候選人資格進行審查。
以CISSP為例,即使通過CISSP考試,必須在CISSP CBK八大知識領域中兩個領域內,擁有至少五年以上的工作經驗才能提出申請,否則只能申請成為(ISC)2準會員,等到累積足夠相關工作經驗,才能再次提出申請審核CISSP授證。
為何特別強調呢?因為沒有什麼CISSP準會員(Associate of CISSP) 這種東西,只有(ISC)2準會員 (Associate of ISC2),很常在履歷表上看到Associate of CISSP但其實是錯的。如果你持有CISSP證照,需要在三年內提報120 CPE學分,才能維持證照有效性;如果你通過CISSP考試但是相關工作經驗不足,只能申請成為準會員,那需要每年提報15 Group A 的CPE學分。搞清楚(ISC)2的規則,才知道要累積申報多少CPE學分。
(ISC)2的CPE學分,分為Group A和Group B兩個類別。A類是直接與該資安證照知識領域相關,例如提報CISSP 的Group A學分要和CISSP八大知識領域相關、提報CCSP 的Group A要與CCSP六大知識領域相關;B類是一般的專業發展,和該資安證照知識領域無關的學習活動。例如CISSP需要三年內120學分,其中90學分必須是A類,另外30學分可以是A類也可以是B類。
所以,想要累積CISSP的CPE學分,並不一定要看120個小時的網路研討會,你可以參加非資安的專業會議湊足30個小時CISSP的CPE學分喔
參考以下連結:(ISC)2 Continuing Professional Education (CPE) Handbook
https://www.isc2.org/cpe-handbook