我自09年以来一直从事信息安全相关工作, 先后历经安全开发、咨询顾问, 合规, IT审计, 渗透测试等岗位, 持有CISSP, CISP, CBCP, ITIL, ISO27001等认证, 现任职某银行网络安全经理.
原已计划今年6月份有一项重要培训考试(跨学科)作为本年个人学习目标与愿足矣, 受疫情影响, 考试机构将考试改期至12月, 学习计划被打乱, 时间的拖长很多时候并不能增加学习效果, 同时也可能造成浪费.考虑至此, 何不为自己信息安全老本行再增加一点砝码,自信以自己的专业背景, 信息安全类的证书应能速战速决, 遂将目光瞄准了CISM国际信息安全经理认证.
首先CISM它不是一个入门级别的认证, 它是一个面向管理人员的认证,但通用的管理方法论和技巧是不可能应付CISM要求的知识储备, 它要求对象对信息安全在企业当中实践有深入理解, 需要处理业务和信息安全的关系, 对信息安全的成本和效益作出合理判断……,这些不正是我当下的工作内容, CISM对我只不过是囊中取物.购买了官方指定教材和复习题后, 我才发现自己把CISM想简单了, 理论框架都熟悉, 但我几乎无法对它考查的安全问题作出正确判断,自信心受到了打击, 然而又不想打退堂鼓, 我想到了向谷安求助.
4月份参加了谷安方乐老师主讲的远程培训, 方乐老师课程的特点是细致, 无需担心知识点有任何的遗漏, 详略得当, 居然把5天讲课4天答疑内容安排得井井有条, 足见经验丰富. 顺着老师的思路, 自己就要开始着手重建CISM知识体系与安全问题的映射关系, 沿着CISM的知识点再回顾自己过往现实处理过的问题, 原来有些时候不是最佳的选择, 或者表面上做出正确的选择, 也只是殊途同归, do the thing right而不是do the right thing.
复习题具有非常重要的意义, 应反复的练习, 然而尽管考同一个知识点, 真题和复习题往往在表述上可以有很大的出入, 理解上容易造成偏差, 忌机械背题, 应从复习题的反复锤炼上, 结合CISM理论, 确立对关键理论的正确关系, 例如战略与计划上下层关系、需求与目标的先后关系、 从重要性/敏感性,价值, 影响到分类的风险评估过程、审计/测试分别适用的环境等, 正确理解立住了, 才能以不变应万变.
最后想提示大家一点, 考试当天需要保持平和的心态, 因为在未知的环境当中持续四个小时的考试, 本身就具有很多的不确定性, 设施问题, 网络问题, 临近午休时间也可能出现更多的干扰. 理想的环境客观上是不存在的, 我们可以把控的只有我们自己, 保持平和的心态, 自信经过精心的准备, 不管何种环境都能体现出自己的真正水平.或许可以考虑在模拟练习当中适当加入一些干扰因素, 锻炼适应能力.
CISM并不是信息安全经理们的终点, 而是起点, 解决信息安全问题也不是在做选择题,但持有CISM相信令你可以在职场上更从容自信, 将CISM的知识灵活学以致用, 可以使你在职业道路上走得更远更踏实.
来源:freebuf.com 2020-07-07 19:25:50 by: secguo
请登录后发表评论
注册