شهادة (CISSP (Certified Information System Security Professional) هي شهادة مستقلة في أمن المعلومات تمنح من قبل International Information Systems Security Certification Consortium أو اختصارا 2(ISC) . الشهادة الممنوحة تعطى للمرشحين بعد أن يحققوا ثلاث متطلبات رئيسة:
1- النجاح في الامتحان الذي سنلقي عليه الضوء لاحقا
2- ان يملك خبرة تساوي على الأقل خمس سنوات في أمن المعلومات وان يثبت عن طريق شخص اخر يحمل اي شهادة من 2(ISC) انه فعلا يملك الخيرة الكافية
3- ان توافق على اخلاقيات 2(ISC) المهنية الخاصة بأمن المعلومات والتي تضمن انك ستعمل على حماية المعلومات من اجل مصلحة المجتمع العامة.
تعتبر هذه الشهادة متقدمة وكما يقول الناس بريستيج كبير لحاملها. وحتى الان يحملها اكثر من 70,000 شخص فقط وهم في تزايد.
الفائدة من الشهادة والدوافع للتقدم إلى الامتحان:
عمليا كما تعرفون لاتثبت الشهادات شيئا عن الشخص الحامل لها إلا انه درس المادة المقررة للإمتحان و نجح فيه. ما عدا شهادة مهندس ريد هات محترف (RHCE) التي تثبت فعليا ان حاملها عليم بأغوار ريدهات لينوكس . ولكن الدافع الفعلي للحصول على CISSP بجب ان يكون من احد الاسباب التالية و يجب ان تكون صريحا مع نفسك.فإذا كنت لا تحتاج ل CISSP فلا داعي لتضييع الوقت و المال والمجهود. الاسباب الفعلية للحصول على CISSP:
1- ان المكان الذي تعمل فيه يتطلب الحصول على هذه الشهادة مثل وزارة الدفاع الامريكية و Mcafee التي تشترط على موظفيها الحصول على الشهادة.
2- انت او انتي من محبي مجال امن المعلومات وتعمل فيه او قريب منه و تعتقد انها ستفيدك وتثري معلوماتك وتدفع مسيرتك المهنية
3-تريد ان تتقدم في مهنة امن المعلومات إلى المجال الإستشاري والاداري
نجاحك في هذه الشهادة يثبت انك تحب هذا المجال وانك خصصت وقتا ليس بالهين للتحضير ودراسة الامتحان.. طبعا لا ادعي ان الامتحان سوف يعطيك الخبرة اللازمة ولكنه يثبت انك عمليا تملك الادوات و اللغة المناسبة كمحترف امن المعلومات.
الخطوة الاولى: التسجيل
الامتحان رغم التقدم التكنولوجي الهائل فإنه ما زال يعقد في غرفة مراقبة على ورقة امتحانية. لذلك سوف تلاحظ انه في الدول العربية لاتعقد الامتحانات إلا 4 مرات سنويا على الأكثر في مراكز محدودة. مثلا في الامارات حيث أعيش لا يعقد إلا في مركز واحد في دبي في أكاديمية اتصالات التي تبعد عني 169 كم. فلذك يجب التخطيط للإمتحان مسبقا والتسجيل له عن طريق الدخول إلى
https://www.isc2.org/ والتسجيل في الامتحان والدفع إلكترونيا او حوالة مالية. اتمنى من القراء الاعزاء ان يخططوا وقتهم مليا قبل الحجز ودفع تكاليف الامتحان وان يتأكدوا فعليا من مقدرتهم على تخصيص وقت ثلاثة إلى ستة اشهر للدراسة الجدية للإمتحان.
تكاليف الامتحان
هي 549$ اذا سجلت مبكرا قبل شهر من موعد الامتحان و 599$ عند التسجيل المتأخر. اما لتأجيل الإمتحان فيكلف 100$ لذلك احب ان اصر على نقطة ان تكون متأكدا من موعد الامتحان المحجوز وانك تستطيع فعليا التواجد فعلا وانك اتحت لنفسك وقتا كافيا للدراسة. و لإعادة الامتحان في حال عدم النجاح فإنك ستدفع المبلغ نفسه. ويمكنك إعادة الامتحان 3 مرات اي وقت ولكن في حال الرسوب في الثالثة فإنك تحرم من الامتحان لمدة سنة للتأكد من أنك ستفكر قبل التقدم لللإمتحان مرة أخرى
الخطوة الثانية: مادة الامتحان والدراسة والتحضير
الامتحان سيكون في ما يسمونه ببنية المعرفة العامة (Common Body of Knowledge) او CBK التي ما هي إلا عبارة عن 10 مجالات يحاولون ان يضموا فيها كل المعارف العامة عن امن المعلومات والمجالات هي:
مادة الامتحان
1- إدارة امن المعلومات و المخاطر
2- حماية الشبكات وانظمة الاتصالات
3- حماية الانظمة وهندستها
4- البرمجة الامنة (يعنى الاساليب التي تتبع وتستخدم لجعل اانظمة امنة ابتداء منذ التصميم الاولي حتى نضمن ان النظام فيه اقل عدد من الثغرات
5- حماية المواقع (Physical security )
6- علم التشفير
7- القوانين الخاصة بالحماية و أخلاقيات الحماية
8- disaster recovery planing and business continuity
9- access control (التحكم بالوصول ..بروتوكولات مثل CHAP VPN IPSEC)
10- عمليات الحماية (مثل طرق ادارة logs و مكافححة الفيروسات و IPS)
طبعا أفضل ان اترك المجال مفتوحا للقراء للذهاب والتعرف على هذه المجالات العشرة باللغة الانجليزية لغة الامتحان سواء المتقدمين للإمتحان او كنوع من الفضول. طبعا لاحظت من دراستي ان ال CBK يتماشى ويتناسق مع معايير ISO 27001 واعنقد ان هذا هو احد اهم اسباب اعتبار الشهادة مهمة. لأنها تهتم بجودة أمن المعلومات فنيا و إداريا.
الدراسة و التحضير
من خلال تحضيري للإمتحان فإن بعض المراجع التي سأضع روابطها بعد قليل تنصح بأن يخصص الشخص 180 ساعة دراسة جدية على مدى ثلاثة إلى ستة اشهر لأن الشخص الذي سيدرس في مادة واحدة لمدة اطول سيفقد التركيز ويفقد الاهتمام وربما الدافع وراء الدراسة. , وبعض المراجع تحدد فقط 60 يوما للدراسة (يعني ساعتين فى الايام العادية و 6-8 ساعات في عطل نهايات الاسبوع). طبعا هذه ارقام تقريبية. انا من خلال حسبة لما درسته فأتوقع اني خصصت 180-200 ساعة مقسمة على ثلاثة اشهر. طبعا كل واحد حسب قدراته ودرياته بأمن المعلومات يمكن ان يحدد المدة اللازمة لدراسته.طبعا هذا الامتحان لايمكن التحضير له من خلال حفظ الاسئلة لأنه وبسبب اتفاقية السرية بين الشركة الممتحنة والممتحن فلا يجوز لأحد ان يفصح اي من الاسئلة. طبعا انا خلال دراستي لم أجد اي مصدر قدم لي اسئلة تشبه الامتحان حتى بنسبة 30%. اسئلة الامتحان صعبة وتتحدى العقل وتدفع للتفكير ولم امر بتجربة مثلها.
الدورات
هناك دورات تدريبية مكثفة تكون مكملة للدراسة الذاتية الشخصية. للأسف ولظروف العمل لم استطع ان احضر إحداها ولذلك لا يمكن ان اشرح الكثير عنها. ولكني اتصور انها ستكون مفيدة جدا.
اهم الكتب والمواقع
طبعا كل الكتب تحوي اقراص وامتحانات تجريبية لتقييم وضعك قبل الدراسة وبعد الدراسة
1- CISSP for dummies
هذا الكتاب استخدمته قبل ان اتعمق في المواضيع العشرة لأنه يلخص كل ما تحتاجه كما راجعته قبل فترة اسبوعين من الامتحان لمراجعة سريعة
2- CISSP All-in-One Exam Guide, Fifth Edition
مؤلفة الكتاب هي السيدة شون هاريس (Shon Harris ) وتعتبر اهم المعلمين في شهادة CISSP وتملك اسلوبا لطيفا وشيقا في تقديم المعلومة. وانا حصلت على فيديو تعليمي من 30 ساعة لها عن CISSP واستفدت منه جدا ويمكنك الحصول عليه من امازون.
يعتبر هذا الكتاب المرجع الرئيسي لكثير من الناس ولكني وهذا رايي الشخصي وجدته يروي تفاصيل لاداعي لها وللعلم فهناك ناس يعتمدون على هذا المرجع بشكل اساسي ويقرأونه أكثر من مرتين !
انا شخصيا أعتمدت على الكتاب كمرجع للتفاصيل التي لا أفهمها
3-CISSP: Certified Information Systems Security Professional Study Guide
اول كتاب اشتريته ل CISSP واعتمدت عليه كمرجع اساسي بعد مشاهدة فيديو شون هاريس. وهو لايتميز كثيرا على المراجع السابقة ولكنني ارتحت للغة المؤلف السلسة.
4- Official (ISC)2 Guide to the CISSP CBK, Second Edition ((ISC)2 Press)
هذا الكتاب الرسمي من 2(ISC) وهو مكتوب من قبل 10 من العلماء والمحترفين في مجال امن المعلومات وهو جاف ولغته عليمة جدا وفي صميم الامتحان وهو المرجع الثاني لي انا
5-CISSP Practice Exams (All-in-One)
وجدت هذا الكتاب بالصدفة لشون هاريس مرة اخرى وهو عبارة عن اسئلة تدريبية في الامتحان واستخدمته في اخر اسبوع قبل الامتحان لمعرفة مواطن الضعف عندي ومحاولة تقويتها.
6- موقع cccure.org الذي أفادني جدا. هذا الموقع يديره احد الاشخاص الذين نجحوا في الامتحان ويريد ان يشارك تجربته وسوف تجد الاف المشاركات التي توضح تجارب شخصية مع الامتحان بالاضافة لما يقارب 1000 سؤال مجاني للتدرب. وهناك منتدى من خلاله يمكن ان تسأل اي سؤال تتخيله عن الموضوع.
البعد الاجتماعي
طبعا الدراسة كانت ممتعة بالنسبة لي لأني احب هذا المجال ولكن ابتعدت عن عائلتي وابني الرضيع وأعز اصدقائي بسبب العمل والدراسة خلال مدة ال3 اشهر. كانت صعبة علي وعليهم ولكنني اعلمتهم سبب تقصيري واشكر لهم مسانداتي.
التحضير النفسي
لأنني انهيت الماجستير الخاص بي في سنة 2007 خفت انني سأكون خاملا وكسولا لذلك قمت بالدراسة والحصول على شهادة Security+ من CompTIA كنوع من التحمية وبالنسبة لي كانت فكرة جيدة وقد وجدت ان كثيرا من الناس ينصحون بهذا الإجراء.
التخطيط للسفر
كما ذكرت قد يكون الامتحان بعيدا عن مكان اقامتك لذلك يجب ان تكون قد خططت للسفر مسبقا وتدبرت مكانا للإقامة اذا لزم الامر.
الاسبوع الأخير
قبل الامتحان باسبوع أخذت اجازة من العمل وحبست نفسي على طريقة الثانوية العامة وصارت حياتي CISSP فعليا. حللت الكثير من الاسئلة وركزت على مواطن الضعف وحاولت تقويتها.
اليوم الأخير
في اليوم الاخير قبل الامتحان بناء على النصائح التي وجدت انها مفيدة فأني لم ألمس كتابا وذهبت لأتمشى و حضرت مباراة كرة قدم كاملة! لأنه فعليا أي شيء ستحاول فهمه او دراسته سيشوش عليك وقد تفقد الثقة في نفسك قبل الامتحان. طبعا ينطبق هذا الموضوع على صباح الامتحان لإنه اذا كان هناك شيء لم تفهمه خلال الشهور الماضية فلن تفهمه خلال ساعات قليلة.
المرحلة الأخيرة: يوم الامتحان و ما بعده
الامتحان من 250 سؤال متعدد الخيارات. وعادة يكون هناك 4 خيارات فقط 2 منها خطأ او اثنان متشابهان إلى حد محير. 25 سؤال من ال 250 سؤال توجد كنوع من البحث العلمي ولاتحسب من علامات الامتحان ولا يتم تحديدها .. لاتحمل كل الاسئلة نفس العلامة فالاسئلة الاصعب لها وزن اكبر في العلامة.
طبعا ينصح ان تجيب على الاسئلة بعقلية المدير لا المهندس أو الفني. للأسف لم اجد اي مصدر على الانترنت يشبه الاسئلة الحقيقية كما انني ممنوع من نشر اي سؤال قابلته في الامتحان.
الامتحان يبدأ على التاسعة صباحا تماما لذلك يجب ان تكون على الساعة الثامنة متواجدا في قاعة الامتحان وربما كان مفيدا ان تحضر بعض الشطائر و المياه المعلبة لتأكلها خلال الامتحان. الامتحان 6 ساعات متواصلة و اي فرصة او فترة راحة ستأخذها ستحسب من الست ساعات ! لذلك يجب ان تأخذ الحذر حين التوقف للإستئذان للذهاب إلى دورة المياه او لشرب الما او تناول شئ خفيف. انا اخذت ثلاث فترات راحة خلال الست ساعات. واخر مرة نظرت إلى الساعة كانت 2:30 بعد الظهر وكان باق لي 20 سؤال تقريبا.
متلازمة ما بعد الامتحان
طبعا بعد الامتحان ستكون متأكدا انك رسبت و ستكون قلقا. وما يزيد الطين بلة ان النتائج لن ترسل لك إلا بعد 4-6 اسابيع. فلا تقلق وتأكد انك تحضرت بدون تقصير وحضر نفسك نفسيا ان لا تستسلم وان تخطط لجولة اخرى لتنجح في المحاولة التالية بإذن الله. خلال فترة الانتظار اخرج مع الاصدقاء خصص وقتك للعائلة وربما كنوع من الاحتياط ابقى على اتصال مع مادة الامتحان.
نصيحتين اخيرتين لوجه الله عز و جل
1-اذا كنت تحتاج هذه الشهادة وتملك الخبرة و الوقت والمال او قامت الشركة التي تعمل بها بابتعاثك انصحك ان تقدم للإمتحان دون تردد فقط تحلى بالصبر والإعداد الجيد
2- تابع هذا الفيديو يجب عليك التسجيل في موقع(
www.cccure.org)
http://www.cccure.org/modules.php?name=Web_Links&l_op=viewlink&cid=167
السيد كليميت صاحب الموقع يقدم اهم النصائح التي اتبعتها لتحضير للإمتحان.