CISSP CBK Training Seminar

上週我完成了 (ISC)² 官方的 CISSP CBK Training Seminar 的密集課程

雖然這不是正式取得國際 (ISC)² 的 CISSP 證照

但對我來說，已經是一段很有啟發的學習旅程

在CISSP課程中，幫助我掃描了更廣的資安知識和文化

同時還有一個很強烈的體認

其實開發團隊也很需要這些安全觀念，甚至應該都抓去上 CSSLP

這讓我意識到，原來我們過去的資安團隊是孤獨的

開發團隊在開發系統時，安全設計是基本功

引用外部開源框架或軟體時，也要有風險評估的思維

日常面對弱點掃描/滲透測試/外部攻擊時，有沒有認真對待結果並做好應對？

沒有0風險的資安，只有能不能接受的風險

有趣的是，學完後我還發現：

CISSP 跟我當初準備 PMP 有點像, 都不是考技術，而是考思維/考框架

都要求你站在更高的視角去看問題

也讓我思考要怎麼讓團隊推動更有資安意識的開發文化，而不是打馬虎眼

考題也都是那種

「媽媽老婆小孩掉水裡要先救誰」的選擇困難題...

準備考試真的很辛苦啊…想到就累繼續努力驅動自己成長