# 前言

換位置換腦袋是很多人的噩夢，但。。。
在CISSP 這個管理類的考試中，這個觀念卻是重中之重

OS: 沒想到居然有一天會寫這個有趣的主題

[10萬個WHY] 前面的文章中得知，CISO 這個角色就是在做安全功能，但他的編制在哪呢? 因為好像不管是在哪個階層都有他的身影??

CISO 的角色就是階層1/2/3 的都需要全包，筆者覺得很像是體制內編制外的角色；但有趣的是，其職位責任卻是要創造價值，這感覺比較像是Tier 2[二階]的功能。

引用自建立安全的組織

參考:

• 戰略是什麼
  
• 資安大小事

由於CISSP 是一個管理類型的考試，簡單的說就是要把自己當成是一間組織內的CISO，來思考所有關於資訊安全方面的事情，但。。。

把技術腦轉換成管理腦的難度卻是非常不容易的。

[情境1] 某天老闆發現自家的入口網站常被黑客攻擊到癱瘓，這時資訊部門的同事就跳出來跟老闆建議要在入口網站主機前面安裝一個WAF 防護設備，他開始闡述那設備有多好又多好，但需要花費很多錢。 這時老闆覺得既然要花很多錢 那就不買了吧。

如果你是CISO，該如何修改提案進而讓老闆能夠買單呢?

[換腦袋後] 跟老闆描述，多安裝一個WAF 設備後可以讓去年的一千萬損失降低到剩下五千或更低的損失金額，雖然租貸金額是一百萬，但降低損失後卻可以讓營業額變成原來的3倍。

[情境2] 要準備CISSP，OSG的課本有好多頁，該如何看書呢?

• [技術腦] 當然是從第一頁啃到最後一頁，然後重點直接死背就好啦。
  • 上考場後。。。。 好景不常，直接以失敗收場
• [換腦袋]
  書本的前後都有序跋存在，參考序跋內的說明以正確及有效率的方式閱讀才對考試有所幫助。
  • 序跋是一種文體名。這類文章是用於說明書籍著述或出版宗旨、編輯體例和作者情況的，也包括對作家作品的評論及有關問題的研究闡發。

  引用自漢語辭典-序跋解釋

1. 第一次閱讀一本書，請在一小時閱讀完畢，每一頁翻過去的時候將粗體字或感興趣的文字或圖片做記號

   一小時讀完一本書

2. 再次精讀這本書一次，這時你已經知道了重點在哪

[相似卻不相同] 不確定性的名詞解釋

• 定量分析中指的不確定性是以機率表達
• 定性分析中指的不確性是以Likelihood(可能性)表達
  PS: 這門考試中類似的案例非常的多，所以除了名詞解釋外還必須了解相關的應用才不容易被誤導或問倒。

[10萬個WHY] 屬於內部的資訊人員，都在買設備，沒有像業務那樣為企業組織帶來業績，請問要如何才能創造價值呢?

創造價值的方法有很多種:

• 提高營業額 (帶來業績)
• 避免組織因違反法律合規風險而導致罰錢
  • 部分企業會設置吹哨者制度，鼓勵內部員工舉發違反法律合規的情節或事項
• 如何透過設備保護資訊資產不被黑客幹掉而導致業務營運中斷
  • 業務持續計畫的一環

最有效的準備考試的方式如下

1. 找老司機帶及進行有效地念書方式
2. 說給別人聽，將核心觀念融入到生活瑣事中
3. 熟悉官方的考試大綱、課本及題庫本
4. 找考過的朋友幫忙複查自己的觀念是否有還需要補足或不熟悉的部分
5. 網路上論壇及題庫

筆者覺得準備CISSP 考試，不如說是在學習另一種的思維、做事技巧及方法。猶如商業分析資料中所提及的一樣。必須設定未來要達成的目標，了解現在及未來的差異，訂定各種計劃，逐一擊破才能達到理想。而CISSP的考試也是如此。

引用自商業分析

引用自戰略發展 - wentzwu

技術很熟稔的朋友很容易在思考時陷入一個迷思，一直想用技術思維來解決一切問題，例如一個專案有很多問題的專案中，技術思維的同事總認為該把bug 全部修完才能出貨。

但，往往時間、資源都不是那麼充裕的情況下。正確的做法應該是bug 修好八成左右以達到營運許可就可以上線了。 未來若有多餘的預算及時間再返還回來後修復剩下的bug或未完成的功能。

「讀萬卷書，不如行萬里路」，這句古諺想必是大家都耳熟能詳的。大意就是不要讀死書，而CISSP的考試準備中也是一樣的，不能只把核心觀念死背起來而知其然不知其所以然。 要不斷的尋找願意一起共好的朋友或同儕來幫助自己更理解這些名詞或觀念所帶來的意思。

[10萬個WHY] 什麼是共好呢?

共好，顧名思義就是你好我也好，也就是一種良好的狀況，另一個解釋就是雙贏(Win-win)，兩方皆受惠。

共好 Gung Ho ，這本書中提及達成共好所需要的三種元素

1. 松鼠的精神
   • 做該做的事，有價值的事
   • [應用] 訂定共同的目標
2. 海狸的方式
   • 掌控達成目標的過程
   • [應用] 如上面商業分析PBA 所提及的從現在走到未來的過程那張圖一樣
3. 野雁的天賦
   • 互相鼓舞，又稱之為雁群理論

參考資料: 共好-讀書心得

• ISC2 提供的官方資源

  • CISSP Exam outline
  • CISSP Flash card
  • Official (ISC)² CISSP Study Guide，簡稱OSG
  • Official (ISC)² CISSP Practice Tests，簡稱OPT

• 網路上有用的論壇資源及書籍

  • 書籍:
    • How to think link a manager
    • The Effective CISSP: Security and Risk Management
  • 論壇:
    • CISSP, CISM and PMP study group by ThorTeaches.com
    • CISSP, CISM, and Effective Security
  • The Quote of the Day (QOTD)/ 模擬試題
    • WentzWu QOTD
      • 綜合作者擁有的相關資訊證照的豐富經驗所推出的模擬試題及免費的QOTD題目
    • Thor QOTD
      • Thor 的QOTD比較常直接發布在FB群組
    • Pocket Prep
      • 參考OSG 第九版及AIO 課本內容所出的題庫

小結

現在人工作多數都在追求Smart Work (聰明工作)及簡單生活，那為什麼準備CISSP 卻要變成死讀書的型態才行呢? 這是筆者目前在準備這門課題時最大的感觸，我也要更有效率的準備這門考試。

用對方法，目標就在不遠處。
用錯方法，目前在遙不可及的遠方。