Sau khi pass OSCP, tôi đã có dự định chứng chỉ mục tiêu tiếp theo là CISSP. Tôi cũng dự định sẽ đạt được nó trong năm 2021. Tuy nhiên, dịch bệnh cũng như quyết định chuyển đổi môi trường đã làm cho mục tiêu của tôi trễ mất vài tháng. Và rồi chậm thì có thể chậm nhưng không thể dừng lại, điều gì đến cũng phải đến.....

Lần thi OSCP trước đây Hành trình pass OSCP trong lần thi đầu tiên (2020) tôi đã may mắn gặp được anh sếp siêu có tâm và lần này cũng vậy.

Sau khi chuyển sang nơi làm việc mới, sếp đã cho giao cho tôi một dự án mà tôi nghĩ nó đụng chạm hết mọi ngóc ngách của CISSP và điều tuyệt vời nhất là nó đụng chạm đến mọi khía cạnh nghiệp vụ của một tổ chức tài chính với các chính sách bảo mật nghiêm ngặt.

Nó giống như bạn vừa học lý thuyết lại vừa đem luôn lý thuyết đó vào thực hành. Tôi xin gửi lời cảm ơn chân thành đến SẾP đã cho tôi tự do vùng vẫy, tự do tìm hiểu, tự do trải nghiệm mọi thứ trong dự án đó, nó thực sự tuyệt vời.

Tiện đây tôi cũng xin quảng cáo một chút, công ty tôi vẫn đang tìm kiếm những nhân tài về Security bao gồm các mảng:

• Governance: PCI-DSS...
• DevSecOps
• Pentest
• Infrastructure Security: Network, System, Container Orchestration

AI ĐÓ THỰC SỰ HÀO HỨNG VỚI CÁC MẢNG NÀY HOẶC NẾU MONG MUỐN THAY THẾ CHÍNH TÔI TRONG DỰ ÁN TRÊN KIA THÌ CÓ THỂ LIÊN HỆ VỚI TÔI QUA LINKEDIN NHÉ!

OK kết thúc màn dạo đầu vui vẻ, bắt đầu nội dung chính nhé!

Trước khi thi tôi có tìm kiếm rất nhiều nguồn review về kỳ thi CISSP nhưng có khá ít và thông tin timd được cũng khá mù mờ. Vậy giờ tôi sẽ review một cách chân thực nhất những gì trước/trong kỳ thi.

CISSP là gì?

CISSP (Certified Information Systems Security Professional) là một chứng chỉ thuộc hệ thống chứng chỉ của (ISC)2 - một tổ chức phi lợi nhuận tập trung vào chứng nhận và đào tạo cho các chuyên gia an ninh mạng.

CISSP tập trung vào các khía cạnh trong việc thiết kế, triển khai và quản lý một chương trình an ninh mạng ở cấp doanh nghiệp.

CISSP Materials

Tôi sẽ không đi sâu vào nội dung của CISSP vì nó nằm trong tài liệu hết rồi.

Tôi cũng sẽ không đi sâu vào nội dung kỳ thi vì nó vi phạm (ISC)2 Code of Ethics, có thể bị thu hồi chứng chỉ ngay lập tức.

Tài liệu học tập thì trên trang chủ của (ISC) cũng đã có danh sách cụ thể Self-Study Resources. Tuy nhiên, tôi chỉ sử dụng những tài liệu này:

• Official (ISC)² CISSP Practice Tests
• Google
• CISSP All-in-One Exam Guide
• Official CISSP Study and Practice Tests Apps (Mobile Apps)

Quá trình tự học và ôn thi

Tôi mất khoảng 3 tháng để ôn thi, mỗi ngày trung bình mất khoảng 2 tiếng để tự học.

Cách học cụ thể như sau:

• Tháng thứ nhất: bay thẳng vào trả lời câu hỏi trong cuốn Official (ISC)² CISSP Practice Tests, sau khi trả lời thì xem đáp án và đọc kỹ phần giải thích. Keyword nào chưa hiểu thì tìm trong cuốn CISSP All-in-One Exam Guide, nếu trong sách viết vẫn khó hiểu thì xài Google và tìm hẳn ví dụ trực quan cho dễ hiểu. Sau khi đã hiểu thì note lại theo cách hiểu của mình thành một bản wiki thu nhỏ và lưu trữ trên các repo online, lúc cần có thể mở ra tìm đọc lại.

Sau tháng thứ nhất, phải hoàn thành khoảng 1300 câu hỏi trong Official (ISC)² CISSP Practice Tests bằng phương pháp đã mô tả ở trên.

• Tháng thứ hai: trả lời lại toàn bộ 1300 câu hỏi trong Official (ISC)² CISSP Practice Tests một cách ngẫu nhiên trong tất cả các domain. Ngoài ra, phải tìm thêm các nguồn câu hỏi online, cố gắng trả lời nhiều nhất có thể (tôi sẽ nói lý do vì sao phải trả lời nhiều nhất có thể ở đoạn sau) và đừng phân biệt câu hỏi dễ hay khó. CHÚ Ý ĐỌC KỸ ĐÁP ÁN TỪNG CÂU HỎI VÌ NÓ CÓ THỂ XUẤT HIỆN CÁC KEYWORD MỚI.

• Tháng thứ ba: Sử dụng tất cả thời gian để trả lời câu hỏi trên ứng dụng Official CISSP Study and Practice Tests Apps (Mobile Apps), chú ý đọc hiểu câu hỏi và các đáp án nhanh nhất có thể vì nó sẽ thực sự có ích khi vào phòng thi. Apps này cho phép trả phí để mở khóa nhiều câu hỏi hơn trong 1 lần trả lời nhưng tôi không mua =)) PHÍ TIỀN

Trong kỳ thi CISSP

CISSP phiên bản tiếng Anh thi theo hình thức CAT (Computerized Adaptive Testing).

Cụ thể nó như nào thì bạn có thể tự đọc ở đây, nếu bạn chọn ngôn ngữ khác (không phải tiếng Anh) thì sẽ thi theo hình thức truyền thống.

Và kỳ thi CISSP tôi chỉ có thể note với bạn 2 điều:

• "Tất cả những gì bạn ôn được chỉ là để bạn quen với khái niệm, quen với kiến thức cơ bản, còn đến lúc vào kỳ thi thì nó khác một trời một vực. Nội dung kỳ thi nó đi theo hướng mà bạn không ngờ tới nhất nên bạn sẽ ngợp khi mới bắt đầu vào kỳ thi."
• Không có dumps đâu, đừng tìm kiếm cũng đừng bỏ tiền mua cho phí.

Sau kỳ thi CISSP

Nếu bạn đã đậu, chúc mừng bạn đã qua bước 1. Bạn cần thực hiện các bước tiếp theo để được công nhận và cấp phát chứng chỉ:

• Bước 2: Sau khi đỗ, (ISC)2 sẽ gửi mail cho bạn và yêu cầu cập nhật các thông tin về kinh nghiệm làm việc:

  • Bạn phải có kinh nghiệm 5 năm trong công việc Security
  • Nếu bạn tốt nghiệp đại học các chuyên ngành IT sẽ được giảm trừ 1 năm kinh nghiệm
  • Nếu bạn có một CISSP làm chứng cho bạn thì thật tuyệt vời nhưng nếu không có thì cũng không sao (ISC)2 sẽ tự verify thông tin bạn cung cấp.
  • Khi nhập kinh nghiệm làm việc, hãy đính kèm thông tin hợp đồng lao động --> nó sẽ rất có ích khi xác nhận thông tin.

• Bước 3: Sau khi thông tin của bạn đã được verify, (ISC)2 sẽ gửi mail chúc mừng và yêu cầu bạn thanh toán 125$ CPE (Continuing Professional Education) chi phí duy trì chứng chỉ cho năm đầu tiên. bạn phải duy trì trong 3 năm.

Và cuối cùng thì chứng chỉ cũng đã về tay, thơm tho và sạch sẽ =)))

Bài viết của tôi kết thúc ở đây, hành trình thì vẫn tiếp tục. Thời gian vẫn trôi và không chờ đợi ai...........GO AHEAD!!! =))