CISSP ဆိုတာဘာလဲ၊ ဘာကြောင့် CISSP တွေလိုအပ်နေလဲ၊ CISSP ဖြစ်ဖို့ဘာတွေလိုအပ်သလဲ။ ဒီမေးခွန်းတွေရဲ့အဖြေကို အပေါ်ယံလောက် လေ့လာကြည့်ရအောင်။
ယနေ့အိုင်တီခေတ်ကြီးမှာ အဖွဲ့အစည်းတွေ၊ ကုပ္မဏီတွေ အတွက် သတင်းအချက်အလက်ဆိုင်ရာလုံခြုံရေးစနစ်ဟာ ဘယ်လောက်အထိအရေးပါလာပြီလဲဆိုတာ အဖွဲ့အစည်းတွေရဲ့ အကြီးအကဲတွေ၊ ဦးစီးဆောင်ရွက်နေတဲ့သူတွေ တဖြည်းဖြည်းနဲ့သဘောပေါက်လာကြပြီဖြစ်ပါတယ်။ အပြည်ပြည်ဆိုင်ရာ သတင်းတွေမှာလည်း လုံခြုံရေးပေါ့ဆမှု၊ အလေးမထားမှုတွေကြောင့် ဆုံးရှုံးမှုတွေဖြစ်ပေါ်နေတာကိုလဲ ကြားနေမြင်နေကြမှပါ။ မထင်မှတ်တဲ့ ပေါ့ဆမှုအသေးလေးကနေတောင် ကြီးမားတဲ့ဆုံးရှုံးမှုတွေဖြစ်ပေါ်လာနိုင်သလို အဖွဲ့အစည်းတခုလုံးတောင်ပျက်သွားတဲ့အထိ ဆိုးရွားမှုတွေဖြစ်စေနိုင်ပါတယ်။ ဒီတော့ မိမိအဖွဲ့အစည်းရဲ့သတင်းအချက်အလက်လုံခြုံရေးနဲ့ ကာကွယ်ရေးစနစ်တွေဟာ အဖွဲ့အစည်းအတွင်းမှာ ရှိတဲ့သူတိုင်း၊ ဝန်ထမ်းတိုင်းအတွက် သိထားလိုက်နာသင့်တဲ့ အရေးကြီးကိစ္စဖြစ်လာပါတယ်။ ဒီကိစ္စကို ဘယ်သူတွေက ဦးဆောင်မှာလဲ၊ ဘာတွေကိုဘယ်လိုဆောင်ရွက်ရမလဲ ဆိုတာ လိုအပ်လာပါတယ်။ ဒါတွေကို နားလည်တဲ့သူ၊ အကြီးအကဲတွေ၊ ဌာနမျိုးစုံက ဝန်ထမ်းတွေနဲ့ အတူတကွ ပူပေါင်းလုပ်ဆောင် သွားရမဲ့သူတွေကတော့ CISSP လက်မှတ်ကိုင်ဆောင်ထားသူတွေ ဖြစ်ပါတယ်။ CISSP ဟာ Non-Profit Organization ဖြစ်တဲ့ (ISC)2 အဖွဲ့အစည်းရဲ့ ပရော်ဖက်ရှင်နယ် လက်မှတ်တစ်ခုဖြစ်ပီး တကမ္ဘာလုံး အသိမှတ်ပြုထားတဲ့ Vendor-neutral certificate လည်း တခုဖြစ်ပါတယ်။
CISSP တွေဟာ ကိုယ့်အဖွဲ့အစည်းကို ကာကွယ်ဖို့အတွက် အဖွဲ့အစည်းတွေ၊ အကြီးအကဲတွေရဲ့ ပံပိုးမှုကိုယူပီး ဌာနပေါင်းစုံက ဝန်ထမ်းများနဲ့ပူပေါင်းဆောင်ရွက်ကာ ကျရောက်လာနိုင်တဲ့ အန္တရယ်နဲနိုင်သမျှနဲအောင် လျော့ကျလာအောင်လုပ်ဆောင်ပေးရပါတယ်။ အသုံးပြုနေတဲ့ hardware/ software/ applications/ server/ network/ process စတဲ့အရာတွေမှာ လုံခြုံမှုရှိအောင်၊ ဘေးအန္တရယ်ကျရောက်ချိန်မှာ လုပ်ငန်းဆက်လက်လည်ပတ်နိုင်အောင် ပြင်ဆင်မှုတွေ (Disaster recovery planning/ Business continuity process) စီစဉ်ဖို့၊ ရုံးတွေ၊ စက်ရုံတွေ၊ Data Center တွေရဲ့ လုံခြုံရေးစနစ်များ၊ အဖွဲ့အစည်းရဲ့ ဝန်ထမ်းများ ဘေးအန္တရယ် ကင်းဝေးရေး စတဲ့ကိစ္စများအတွက်လည်း တာဝန်ရှိပါတယ်။ ဒီတော့ အိုင်တီတခုသာ မက တခြားနည်းပညာများ၊ ကိစ္စများကိုလည်း သိထားရပါတယ်။ ဒါတွေအားလုံးကို အသေးစိ်တ်၊ အတွင်းကျကျသိဖို့ဆိုတာမဖြစ်နိင်ပါဘူး၊ ဒါပေမဲ့ CISPP တစ်ယောက် အနေနဲ့တော့ အပေါ်ယံ အားလုံးကို သိထားဖို့လိုအပ်ပြီး သက်ဆိုင်ရာ ကျွမ်းကျင်သူတွေဖြစ်တဲ့ SME (Subject-Matter Expert) တွေနဲ့ ပူးပေါင်းလုပ်ဆောင်ရပါတယ်။ ဒါကြောင့်လည်း CISSP Exam ကို အလွန်ကျယ်ပြန့်တဲ့ Domain ၈ခုနဲ့အခြေခံထားပါတယ်။ ဒါပေမဲ့ အကုန်လုံးကို အသေးစိတ် ကျွမ်းကျင်နေဖို့တော့ မလိုပါဘူး။ Official Study Guide မှာလည်း ဒီလိုရေးထားပါတယ်။
“It is very broad but not very deep. To successfully complete this exam, you’ll need to be familiar with every domain but not necessarily be a mater of each domain”
ဘယ်လိုလူမျိုးတွေအတွက် သင့်တော်သလဲဆိုရင်တော့ လုပ်ငန်းခွင်အတွေ့အကြုံ ၄၊၅ နှစ်အနဲဆုံးရှိတဲ့ သူများအတွက်သာ အသင့်တော်ဆုံးလို့ဆိုရမှာပါ။ (ISC)2 မှာလည်း CISSP ရဖို့အတွက်ဆိုရင် Domain ၈ခုအထဲကနေ ၂ခုနဲ့ကိုက်ညီတဲ့ အချိန်ပြည့်အလုပ်မှာ ၄၊၅ နှစ်ရှိမှာသာ CISSP ဖြစ်မယ်လို့ရေးထားပါတယ်။ အတွေ့အကြုံမလုံလောက်ရင်တော့ စာမေးပွဲအောင်တာတောင် Associate ပဲဖြစ်မှာပါ။
“Candidates must have a minimum of 5 years of paid full-time work experience in 2 of the 8 domains of the CISSP CBK, which covers critical topics in security today including risk management, cloud computing, mobile security, application development security, and more. “
ဒါဆို အတွေ့အကြုံမရှိတဲ့ အငယ်တွေ လုပ်လို့မရဘူးလားဆိုတော့လည်း မဟုတ်ပါဘူး။ စာမေးပွဲအရင်ဖြေ၊ ပီးမှအတွေ့အကြုံရအောင် ၅နှစ်လောက်လုပ်၊ ပီးရင် အတွေ့အကြုံတင်ပြပြီး CISSP အဖြစ်တောင်းဆိုနိုင်ပါတယ်။ ဒါပေမဲ့ လေ့လာတဲ့အချိန်မှာ အခက်အခဲရှိနိုင်ပါတယ်။ အတွေ့အကြုံရှိသူတွေ အတွက်ဆိုရင် ၅၀% / ၇၀% လောက်က ကိုယ်သိပြီးသားတွေဖြစ်နေတော့ ဖတ်ရတာပိုနားလည်ပါတယ်။ ပြီးရင် ကိုယ်ဘယ်လုပ်ငန်းခွင်ကလာသလဲဆိုတာက Domain တခုခြင်းကို အထောက်အကူပြုပါတယ်။ Network အားသားတဲ့သူအတွက် Network အကြောင်းဖတ်ဖို့သက်သာသလို၊ Software ဖက်ကလာတဲ့သူတွေ၊ Database Admin တွေ၊ FW Security သမားတွေ၊ ITIL/ PMP ရရှိပီးသား Process ကျွမ်းကျင်သူတွေအတွက်လည်း သက်ဆိုင်ရာ Domain အတွက် အဆင်ပြေစေပါတယ်။
ဒီလောက်ဆို CISSP အကြောင်းကိုတီးမိခေါက်မိရှိလောက်ပီလို့ယူဆပါတယ်။
ကိုဖြိုး
No comments:
Post a Comment