我自09年以来一直从事信息安全相关工作, 先后历经安全开发, 咨询顾问, 合规, IT审计, 渗透测试等岗位, 持有CISSP, CISP, CBCP, ITIL, ISO27001等认证, 现任职某银行网络安全经理.
原已计划今年6月份有一项重要培训考试(跨学科)作为本年个人学习目标与愿足矣, 受疫情影响, 考试机构将考试改期至12月, 学习计划被打乱, 时间的拖长很多时候并不能增加学习效果, 同时也可能造成浪费. 考虑至此, 何不为自己信息安全老本行再增加一点砝码, 自信以自己的专业背景, 信息安全类的证书应能速战速决, 遂将目光瞄准了CISM国际信息安全经理认证.
首先CISM它不是一个入门级别的认证, 它是一个面向管理人员的认证, 但通用的管理方法论和技巧是不可能应付CISM要求的知识储备, 它要求对象对信息安全在企业当中实践有深入理解, 需要处理业务和信息安全的关系, 对信息安全的成本和效益作出合理判断..., 这些不正是我当下的工作内容, CISM对我只不过是囊中取物. 购买了官方指定教材和复习题后, 我才发现自己把CISM想简单了, 理论框架都熟悉, 但我几乎无法对它考查的安全问题作出正确判断, 自信心受到了打击, 然而又不想打退堂鼓, 我想到了向谷安求助.
4月份参加了谷安方乐老师主讲的远程培训, 方乐老师课程的特点是细致, 无需担心知识点有任何的遗漏, 详略得当, 居然把5天讲课4天答疑内容安排得井井有条, 足见经验丰富. 顺着老师的思路, 自己就要开始着手重建CISM知识体系与安全问题的映射关系, 沿着CISM的知识点再回顾自己过往现实处理过的问题, 原来有些时候不是最佳的选择, 或者表面上作出正确的选择, 也只是殊途同归, do the thing right而不是do the right thing.
复习题具有非常重要的意义, 应反复的练习, 然而尽管考同一个知识点, 真题和复习题往往在表述上可以有很大的出入, 理解上容易造成