2015 的新目標與2014 回首

-

12/29 號,我終於通過了CISSP 考試。
有空時來寫一下考試心得吧!但不是現在

2014 算是大豐收吧,公司需要的ISO 27001:2013 過了,自已想要的CISA、CISM和CISSP 也都過了。
資安管理方面的主要證照,我都到手了。
2015 過年前會去考PMP,這樣子管理職能方面就更完整了。只剩下技術面的證照了。

2014 的目標達成了,一個好的開始。
過去在準備這三個考試時,讓自已變的不一樣了。不只是學習怎麼念書準備考試,對自已的要求和管理也有所提升了--但仍然沒辦法跟那些優秀的人比。
但仍然是進步!

2015 的目標:
  1. 強化自已的在滲透方面的功力,並且考ECSA。
    1. 當然還有其他的資安技術!
  2. 讀COBIT,有空時看看SP800-30 系列。
  3. 把英文給學好。
  4. 好好練身體!
加油,希望自已能越來越好。

2015/1/7 ...

這幾天在PMP 上課前上自已看了一下書、也看了一下104,自已的目標也越來越明確了。

過年前:準備PMP.

過年後:準備ECSA,再學八極。.

剩下的就是:

  1. 練身體和射箭。
  2. 英文。
  3. COBIT, SP800 系統。

2015/4/14 ...

人生就是變化,目標改了二個月、一直忘了上來更新:

  1. ECSA。
  2. CGEIT
  3. CRISC。
  4. 英文。
  5. 平衡計分卡。
  6. 練身體。
  7. 不特定資安技術涉獵。
  8. PMP -> 已拿到。

留言

張貼留言

這個網誌中的熱門文章

ISO 27001 上課和考試心得

-
最近看到書架上那厚厚一本27001 的講義,心血來潮決定把一些準備考試的訣竅給分享出來。 其實我在開始上課前,都還搞不太懂:27001, 27002, 17799, 7799, 7799-1, 7799-2 有什麼差別?一直到了開始上課後,蒲樹盛先生講解了才明瞭。所以也不用急著在上課前就要把那些東西的歷史、來龍去脈給搞的一清二楚,老師會很熱心的先講解,好讓我們可以進入狀況的:) 那些東西因為已經有很多前輩分享過了,我再寫一次也不會比較好。所以在此就只針對上課和準備考試這二塊來分享一下。 其實考試要通過並不難,重點只在於每一個條文的著眼點是什麼,要能夠很清楚。我覺得難的是在這麼短的期間內就要完全的吸收。 一個著眼點是今天學的東西不只是要通過考試,更是為了日後稽核時的一種訓練 -- 所以,有問題就問吧! 我上課的時候,我是裡面年紀最小的,有不懂或是覺得不清楚、模零兩可的地方都很主動地去問老師以及討論。透過這樣反覆不斷的正反驗證,一方面可以讓觀念更清楚,另一方面也可以讓印象更清析。會提這點是因為有些同學可能年紀什麼都比較大了也有些地位,反而不好意思跟老師討論而關門造車。 在這裡希望大家都能熱心學習,畢竟我們以前當學生不也是這樣嗎?如果還在學的階段就對條文和一些精神有過多主觀投射的話,我覺得日後在實際運用和稽核時必定會有負面的影響。 更何況如果我們都真的會了的話又何必去上課呢?:)反正不懂問了就好啦! 像我印象比較深的是:稽核時,能不能對控制方法質疑?因為一直聽到說要檢查什麼和檢查的精神是什麼?卻從來沒聽到過、與不過的標準為何?上完課下來,會產生:似乎有做就算過關的印象。後來和老師討論的結果是稽核員不能對控製的手法提出疑義,所以也不能去定義手法和計量的標準。 其實我理解稽核員的立場必須是超然且中立的,所以我也不應該會有類似的疑惑。但是我真的好奇的是:如果受稽核方採取的是無效的措施時該怎麼辦? 真的因為有措施且有實施,就能表示措施是有效的嗎? 我覺得這個問題,不只是將要或是有志成為稽核員的我們可以思考。 所有的IT人員,都應該思考和擴展這個議題。 然後每天回家都一定要會看書,這個我覺得很重要而且很有效。千萬不要因為可以open book 就不看書了 -.-" 其實並不用把每個控制目標給背起來,只要能知道適用情境就可以了。因為我覺得那才是重點 ^_^ 我大概一天看個一...
閱讀完整內容

MIS 的工作心得

-
自我退伍已經三年多了,除去剛退伍的四個月外 都從事資訊方面的工作。 雖然時間不長,但是頗有感慨。 在第一個工作時,我最大的收獲是在什麼樣的職位,就要有什麼樣的裝扮--這對長久以來,一直視自我打扮為梢枝未節的我 有很大的影響。 第二個工作讓我見識到了何謂「人的影響」,只要搏得主管信任,就可以為所欲為。 第三個工作讓我從旁學習到 主管 這類角色該有的作為。 第四個工作,讓我有了考驗自已在小企業中進行整體IT規劃能力的機會,可惜的是企業流程這塊還沒有碰到就離開了。(第一次遇到拿薪資來騙人的公司) 自已也很清楚,我在資訊方面的專業技能還差的遠,一直認為自已還算小小咖的IT人員。 但是很不幸的,這個領域中有一種人叫做「嘴炮工程師」。 我也很清楚,有些時候說某些話是不得已的。 但是不少人往往是從頭到尾的胡謅一番毫不負責。 一直到我第二份工作要走人了,我才知道如此應對這種人。 而在第四份工作中實戰演練... 我的感想是:有些時候,就是要擺明自已很行!我很強!XXX不算什麼!--大部份時間都不用證明,也只要出一張嘴。這時候,「人」才會相信你的能力,非得要裝腔作勢一番。讓人家看到你多行,而非從實際做為去觀察。 但是我一直都很清楚,自已算不上那根蔥卻還要這樣擺出自已很行的樣子。 這跟我的本性大相逕庭,但工作上卻不得不如此 其實心裡天人交戰 -- 我並不喜歡那樣子跟人談話的。 我從我大學學長身上學到,做事要有科學精神。所以我一直相信,凡事都有其可能性。於是,當人說了什麼訊息時,我都抱著「可能是我不知道」而思索、虛心學習和觀察。由於工作的前二年、學業上沒有壓力,平日也不斷學習所以這使得我當時不斷進步和成長。 但是後來我發現了這種態度在面對所謂的嘴炮工程師時,是不行的。最主要的原因是在職場上,老闆、同仁看到時只會覺得XXX蠻行的 你就還有得學。於是我在確定某某人在只是出一張嘴時,只得擺出上述的姿態來確保某些工作能正常進行。當然我知道要尊敬每個人的專業領域,在非我能力所及之處 當然不會過問,但很不幸的是,打嘴炮的人大都不懂這種道理,尤其當他不用負責處理時更是猖狂。 其實這感慨在心裡頭已經很久了,只是目前公司正導入SAP系統,驚覺顧問又是這種人 一時有感而發。 很可惜的是整個SAP B1的導入,是在我進公司前二個月老闆在聽了那位顧問一席話之後就開...
閱讀完整內容

神奇的伺服器重開

-
今天在公司討論ADSL不穩的狀況,提了一個樓下搞無線的公司有沒有可能是禍首的疑惑。 其實在國外是有案例的哦! 為了怕我以後年老就忘了,也想說分享一下 所以就PO在這裡囉~ 當事人是一個系統管理員(以下簡稱SA),公司規模我不知道;但是根據:有獨立機房、冷氣系統,以及有一些週邊的管理"設備"(我忘了是些什麼) 可以得知這個機房是相當專業且完善的(記得還有防emp的屏障)。 當事人在分析報表後發現:機房裡的機器在每天午夜二點時都會重開a! 這就他很感到疑惑;該時間點並沒有進行系統排程也沒有更新--為什麼會重開? 如果有排程或更新上的issue導致重開,是可以理解的,但並沒有啊? 於是這位SA很盡職的查了所有的硬體與電力設備,發現一切正常。 又去查大樓的電力記錄,也是正常。 查了是否有入侵跡象--一切還是正常!! 那真是見鬼了!到底為什麼會重開機?? 身為我們IT人員的典範,這位仁兄於是午夜加班一直待在公司,想知道到底發生了什麼事? 於是他真的發現了A!! 在該時間,對面樓下有一個警車會停留在那邊。 然後就這樣走了~ 同一個時間,伺服器又重開了… (我記得是待了幾天後才發現的…) 在詢問之後發現,警局在排班巡邏路線時排定午夜二點,當員警巡經該處時,有跟中心進行狀況回報。 而警用的高頻無線電訊號的正好會讓伺服器接受到某個訊號,而使得機器重新啟動... 在協調過後,已經解決了這個現象。 於是留下了這個經典的故事。 是什麼元件接受到什麼樣的訊號使得機器重啟,我已經不太記得了 (畢竟這篇文章是我約十年前讀的,我也不是相關專業) 但是,我相信這篇小故事絕對會給還沒有看過的IT一個很大的震撼! 是的…就是有這麼鳥的事。 而且我相信沒有多少人會像這位仁兄一樣,只會放任它繼續當下去…(如果是我的話,八成也是如此吧…) 這是從一本講資安的書中看來的,原出處我不記得了。 希望這麼經典的事件,能繼續傳流下去~
閱讀完整內容