CISSP 엔지니어링 심화과정(CISSP-ISSEP) 준비하기

CISSP 자격증은 보안에 관한 전반적인 영역을 다루고 있는 자격증입니다. CISSP 만으로도 충분히 심화된 자격증이지만, 여기서 조금 더 전문적인 영역을 다루는 심화 과정이 있습니다. 아키텍쳐, 매니지먼트, 엔지니어링 3개의 영역으로 좀 더 심화과정의 자격을 부여 받을 수 있습니다. 

 

지금 현재 시점(2022년11월)에는 한국에 있는 피어슨뷰센터에서는 CISSP의 심화과정들 시험을 응시는 할 수 없는 것으로 나옵니다. ISC2에 문의해보니 아직 한국어시험이 없다보니 한국에서는 응시가 안되고, 한국어 버젼이 나오게 될 경우 응시를 할 수 있다는 답변을 받았습니다. 비슷한 상황인 일본이나 대만에서는 응시가 가능한 데, 한국에서만 유독 안되니 좀 아이러니한 상황입니다.

 

어째든 한국에서 못치게 될 경우에는 가까운 해외라도 나가서 쳐야하는 시험입니다. 

 

자격증 필요성?

한국에서는 관련정보가 없고, reddit에서 찾아보니 이 자격증에 대해서는 이런 의견들이 주로 있습니다.

• 취업,이직에 도움이 되려면 심화과정은 도움이 되지 않으니 CISSP가 있으면 다른 자격증을 따는게 도움이 된다.
• CISSP 심화과정을 포함하여 자격증들의 필요성은 현재의 업무와의 연관성이 가장 중요하다.
• 보안업계에서 고객을 대면하는 직업이라면, CISSP 심화과정을 통해서 자신(또는 직원들)의 전문성을 보여줄수 있기 때문에 업무에 도움이 되는 경우가 있다.

 

CISSP-ISSEP 심화과정 시험 정보

https://www.isc2.org//-/media/ISC2/Certifications/Exam-Outlines/2020/CISSP-ISSEP_ExamOutline_2020.ashx

 

저는 엔지니어링 쪽으로 심화과정을 준비해볼 계획인데, 3개의 심화과정 중에서 official guide가 가장 오래된 버젼입니다..ㅠㅠ

 

CISSP-ISSEP 공부 자료

ISSEP 과정은 다음의 영역을 다루게 됩니다.

1. System Security Engineering Foundations
2. Risk Management
3. Security Planning and Design
4. Systems Implementation, Verification and Validation
5. Secure Operations, Change Management and Disposal

기존의 CISSP 책에서도 동일한 영역은 복습을 하고, 우선은 오래된 official guide도 공부는 하여야 할 것 같습니다. 그리고 추가로 아래의 자료들도 봐야한다고 합니다.

https://www.isc2.org/Certifications/references

CBK Suggested References | (ISC)²

• A Guide to the Project Management Body of Knowledge (PMBOK Guide), 7th Ed. by Project Management Institute. Publisher: Project Management Institute. (Aug, 2021).
• Information Assurance Technical Framework 3.1 by National Security Agency Information Assurance Solutions Technical Directors. (Sep, 2002).
• NIST SP 800-115, Technical Guide to Information Security Testing and Assessment by Karen Scarfone, Murugiah Souppaya, Amanda Cody, Angela Orebaugh. (Sep, 2008).
• NIST SP 800-128, Guide for Security-Focused Configuration Management of Information Systems by Arnold Johnson, Kelley Dempsey, Ron Ross, Sarbari Gupta, Dennis Bailey. (Aug, 2011).
• NIST SP 800-160, Vol. 1, Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems by Ron Ross, Michael McEvilley, Janet Carrier Oren. (Mar, 2018).
• NIST SP 800-161, Supply Chain Risk Management Practices for Federal Information System and Organizations by Jon Boyens, Celia Paulsen, Rama Moorthy, Nadya Bartol. (Apr, 2015).
• NIST SP 800-30, Rev. 1, Guide for Conducting Risk Assessments by Joint Task Force Transformation Initiative. (Sep, 2012).
• NIST SP 800-37, Rev. 2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy by Joint Task Force Transformation Initiative. (Dec, 2018).
• NIST SP 800-39, Managing Information Security Risk: Organization, Mission, and Information System View by Joint Task Force Transformation Initiative (Mar, 2011).
• NIST SP 800-40, Rev. 3, Guide to Enterprise Patch Management Technologies Murugiah Souppaya, Karen Scarfone. (Jul, 2013).
• NIST SP 800-53, Rev. 5, Security and Privacy Controls for Information Systems and Organizations by Joint Task Force Transformation Initiative. (Sep, 2020).
• NIST SP 800-61, Rev. 2, Computer Security Incident Handling Guide by Paul Cichonski, Tom Millar, Tim Grance, Karen Scarfone. (Aug, 2012).
• NIST SP 800-88, Guidelines for Media Sanitization by Richard Kissel, Andrew Regenscheid, Matthew Scholl, Kevin Stine. (Dec, 2014).
• Official (ISC)² Guide to the CISSP-ISSEP CBK by Susan Hansche. Publisher: Auerbach Publications. (Sep, 2005).

 

공부할 것 참 많네요..

CISSP의 내용들 중에서도 아래 내용들은 공통된 영역에 속하니 노트들을 참고 해야겠습니다. 

 

- 위험관리: https://itknowledge.co.kr/71

- 보안 계획,설계: https://itknowledge.co.kr/76

- 보안운영: https://itknowledge.co.kr/78