在過去的二十多年中,透過提供IT解決方案幫客戶解決問題一直是我的使命。一路走來,經營及參與過的業務範圍相當廣泛,從提供數據機撥接和網站及電子郵件等託管服務、到佈線和建立電腦機房、建置企業網路基礎架構、建立企業電話服務和客服中心、開發業務軟體解決方案,到提供培訓課程等,重要的IT領域大致都包含在內了。
當時,雖然知道資安的重要性,但並沒有太多實質的投入。換句話說,我只是盡最大努力來強化安全性,而不是有一套系統化的方法。2018年,我決定為客戶提供更高的軟體保證以建立可持續的競爭優勢,因此決定考取相關認證來證明有能力可以交付符合內部品質要求的高品質軟體,也就是U PASS ME!這再次啟動了我的認證考試之旅。
準備考試本身就是一個專案,必須妥善管理它們才能成功。目標管理、有效的學習方法和決心是我在這些考試中取得成功的關鍵。當時,我的待辦事項清單只有考取ACP,CISSP和CEH三張證照。但後來決定由軟體轉向資安,並以成為國際知名資安講師為目標,因此全面考取相關資安證照便成為基本要求。到最後,我真不敢相信我輕鬆地就取得了全方位的專業認證。
當時所有人都告訴說CISSP很有難考,而且要準備很久,所以我也參加了ISC2官方授權培訓課程。但通過CISSP考試後,令我驚訝的是台灣人對這個考試水土不服的程度。坦白說,CISSP很重要,但它並不難考!由於CISSP是美國國防部認可的基準認證(baseline certification)之一,因此在美國、新加坡或其他國家,CISSP是獲得資安工作機會的最有力的證照之一。
一開始選擇CISSP及CEH,只是因為它們是資安業界知名度最高的認證。為了給客戶安全軟體的信心,選擇最知名的證照顯然是最有利的投資。然而,認真對資安證照作了研究之後,才了解到CISSP在資安專業的策略地位。
資安可分為治理、管理及技術三個領域。大家最熟悉的領域大多是資安技術,例如:如何找出系統的漏洞或攻擊手法。治理面與公司或組織的經營管理相關,談的議題不但廣泛(法律、隱私、策略及風險等)而且抽象(價值、使命或願景等),因此也是多數人最感到陌生的領域。管理面則強調目標與PDCA循環在各專業領域(人事管理、供應鍊管理及專案管理等)的實踐;這除了基本的管理概念,也需要相當的工作經驗才能游刃有餘。
CISSP正是巧妙的定位在管理層次,並涵蓋了治理及技術的主要概念。它的考試範圍相當廣,但內容不會很艱深,正是外國人所謂的一哩廣但一吋深(a mile wide and an inch deep)。
我們的國家面臨其它國家(尤其是中國)的全面威脅與滲透,網路戰與資訊戰早已開打。當2018年總統府發布"資安即國安"的國家資通安全戰略報告後,我覺得相當的開心,因為我們國家的最高領導人及機關不但意識到資訊安全是國家安全重要的一環,而且也已擬定了"資安即國安"的國家資訊安全戰略。此外,行政院及立法院亦根據"資安即國安"戰略制定了執行計畫並展開行動。
資安治理的第一課的就是定位資安功能(security function),並且將資安與組織的業務及策略目標對齊(alignment)。"資安即國安"除了是資安治理理論的實踐,它也強化了我參與資安教育訓練的使命與熱情。
在2018年的時候,台灣只有287位CISSP(截至2020年7月1日為337個)。我相信這個數字遠遠低於台灣市場的需求。如果當時香港已有1697位CISSP,那實在很難讓人相信台灣只有287位CISSP,是一個可以滿足本地資安市場的合理數字。我個人認為,台灣至少需要1500位CISSP才能滿足市場的需求。
CISSP是一個需要至少五年工作經驗的專業基準證照,它象徵你投入資安這個行業的決心、熱情與專業(所謂的專業就是一個賴以為生的專門職業)。有意投入資安專業的朋友,考取CISSP除了可以提升個人職場/國際競爭力、滿足台灣資安市場需求,更可以為國家的資訊安全貢獻心力,讓我們一起努力吧!
願景:到2025年實現1500個CISSP
吳文智 (Wentz Wu)
看影片追技術