安全是品质的一部分

在过去的二十多年中，透过提供IT解决方案帮客户解决问题一直是我的使命。一路走来，经营及参与过的业务范围相当广泛，从提供数据机拨接和网站及电子邮件等托管服务、到布线和建立电脑机房、建置企业网路基础架构、建立企业电话服务和客服中心、开发业务软件解决方案，到提供培训课程等，重要的IT领域大致都包含在内了。

当时，虽然知道资安的重要性，但并没有太多实质的投入。换句话说，我只是尽最大努力来强化安全性，而不是有一套系统化的方法。2018年，我决定为客户提供更高的软件保证以建立可持续的竞争优势，因此决定考取相关认证来证明有能力可以交付符合内部品质要求的高品质软件，也就是U PASS ME！这再次启动了我的认证考试之旅。

准备考试需要专案管理

准备考试本身就是一个专案，必须妥善管理它们才能成功。目标管理、有效的学习方法和决心是我在这些考试中取得成功的关键。当时，我的待办事项清单只有考取ACP，CISSP和CEH三张证照。但後来决定由软件转向资安，并以成为国际知名资安讲师为目标，因此全面考取相关资安证照便成为基本要求。到最後，我真不敢相信我轻松地就取得了全方位的专业认证。

CISSP并不难

当时所有人都告诉说CISSP很有难考，而且要准备很久，所以我也参加了ISC2官方授权培训课程。但通过CISSP考试後，令我惊讶的是台湾人对这个考试水土不服的程度。坦白说，CISSP很重要，但它并不难考！由於CISSP是美国国防部认可的基准认证(baseline certification)之一，因此在美国、新加坡或其他国家，CISSP是获得资安工作机会的最有力的证照之一。

为什麽选CISSP?

一开始选择CISSP及CEH，只是因为它们是资安业界知名度最高的认证。为了给客户安全软件的信心，选择最知名的证照显然是最有利的投资。然而，认真对资安证照作了研究之後，才了解到CISSP在资安专业的策略地位。

资安可分为治理、管理及技术三个领域。大家最熟悉的领域大多是资安技术，例如：如何找出系统的漏洞或攻击手法。治理面与公司或组织的经营管理相关，谈的议题不但广泛（法律、隐私、策略及风险等）而且抽象（价值、使命或愿景等），因此也是多数人最感到陌生的领域。管理面则强调目标与PDCA循环在各专业领域(人事管理、供应链管理及专案管理等)的实践；这除了基本的管理概念，也需要相当的工作经验才能游刃有余。

CISSP正是巧妙的定位在管理层次，并涵盖了治理及技术的主要概念。它的考试范围相当广，但内容不会很艰深，正是外国人所谓的一哩广但一寸深(a mile wide and an inch deep)。

资安即国安

我们的国家面临其它国家(尤其是中国)的全面威胁与渗透，网路战与资讯战早已开打。当2018年总统府发布"资安即国安"的国家资通安全战略报告後，我觉得相当的开心，因为我们国家的最高领导人及机关不但意识到资讯安全是国家安全重要的一环，而且也已拟定了"资安即国安"的国家资讯安全战略。此外，行政院及立法院亦根据"资安即国安"战略制定了执行计画并展开行动。

• 行政院国家资通安全会报第五期「国家资通安全发展方案」
• 资通安全管理法

资安治理的第一课的就是定位资安功能(security function)，并且将资安与组织的业务及策略目标对齐(alignment)。"资安即国安"除了是资安治理理论的实践，它也强化了我参与资安教育训练的使命与热情。

愿景：到2025年实现1500个CISSP

在2018年的时候，台湾只有287位CISSP（截至2020年7月1日为337个）。我相信这个数字远远低於台湾市场的需求。如果当时香港已有1697位CISSP，那实在很难让人相信台湾只有287位CISSP，是一个可以满足本地资安市场的合理数字。我个人认为，台湾至少需要1500位CISSP才能满足市场的需求。

CISSP是一个需要至少五年工作经验的专业基准证照，它象徵你投入资安这个行业的决心、热情与专业(所谓的专业就是一个赖以为生的专门职业)。有意投入资安专业的朋友，考取CISSP除了可以提升个人职场/国际竞争力、满足台湾资安市场需求，更可以为国家的资讯安全贡献心力，让我们一起努力吧！

愿景：到2025年实现1500个CISSP