CISA 와 CISSP 취득한지 한참 지나서야 후기를 쓴다.
CISA 는 08년 가을에, CISSP 은 09년 초에 취득을 하게 되었다.
일단 두 자격증을 취득하며 가장 크게 느낀게 자격증은 자격증일 뿐이라는 것 이다.-_-
생활도 나태해지고 업무에도 흥미가 떨어져 가는 것을 느끼고 회사생활에 리프레시가 좀
될까해서 준비했던 것이 평소에 관심 있던 보안 자격증이다.
사실 CISA 취득 후에 CISSP 까지 취득 할 생각은 없었는데 회사에서 시험 응시료를
지원해 준다는 얘기에 . . . 취득을 하게 됬다.
각설하고 CISA 혹은 CISSP 을 준비 하고자 하는 분들에게 조금이라도 도움이 될까 싶어서
몇자 남기도록 하겠다.
일단 CISA 나 CISSP 을 준비 하기에 앞서 자격증 취득 자격이 되는지 먼저 확인 해 보길
바란다.
최근에 취업관련해서 대학 재학중인 전산 관련 학생들이 자격증 취득에
열을 올리면서 CISA 나 CISSP 에도 관심을 많이 가지고 있는 걸로 알고 있는데, 결론 부터 말하자면 두 시험 모두 응시에는 자격 제한이 없다. 다만 합격 후 관련 경력이 없을 경우 자격증이 발급 되지 않는다. 각 시험의 자격 요건은 다음과 같다.
CISA
-최소 5년 이상 정보 시스템 감사/통제 보안 경력
비 정보 시스템 감사 경력 : 최대 1년 인정
2년제 대학 이수: 1년 인정, 4년제 대학 이수 : 2년 인정
2년간 대학 전임 강사 경력 : 1년 인정
CISSP
-CISSP CBK 라 불리우는 하기 10개 도메인 관련 경력 5년 이상
Access Control Systems and Methodology (접근제어시스템 및 방법론)
Applications and Systems Development Security ( 응용 및 시스템 개발 보안 )
Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP) ( 사업연속계획 및 비상복구계획 )
Cryptography ( 암호학 )
Law, Investigation and Ethics ( 법, 수사 및 윤리 )
Operations Security ( 운영보안 )
Physical Security ( 물리적보안 )
Security Architecture and Models ( 보안구조 및 모델 )
Security Management Practices ( 보안관리 )
Telecommunications and Network Security ( 통신 및 네트웍 보안 )
CISA 자격증 기 취득 시 1년 경력 인정.
4년제 대학 졸업 : 1년 경력 인정.
이상이다. 사실 경력을 허위로 기재한다고 하더라도 ISACA 나 ISC2 에서 일일히 한명 씩 경력을 확인 하지는 않는다. 주관사가 국가 기관도 아니고, 그럴만한 인력도 없거니와 물리적으로도 전 세계 모든 지원자의 경력 확인이 어렵기 때문이다. 다만 지원자들을 랜덤으로 추려서 감사 자료를 요구 하기는 한다. 즉 재수없으면 경력을 증명하기 위한 서류를 발급받아서 다시 보내야하는 귀찮음을 감수 해야 한다.
자신이 경력이 안된다면 경력을 갖추고 시험 준비하는 것을 권장 한다. 사실 CISA 나 CISSP 이 실무 보다는 이론 위주의 시험이라 (더더구나 CISA 는 비 전산 관련 내용이 절반 가량 된다!)
실무자가 자신의 분야에 대해서 체계적으로 정리하기에는 좋지만, 비 실무자가 책만 달달 외워서 응시하기에는 크데 도움도 되지 않을 뿐더러 흔히 말하는 PAPER 일뿐 자격증 자체가메리트가 되는 경우도 거의 없다.
신입 사원으로 입사 지원했는데, CISA 혹은 CISSP 을 자격증란에 기재했다. 면접 때 관련 경력에 대해서 물으면 어떻게 대답 할 텐가?
일단 시험을 보기로 마음을 먹었으면, 다음 단계로 넘어가 보자!
두 가지 자격증 중 한가지를 따고자 한다면 그냥 열심히 하면 되고, 만약 두 가지 자격증을모두 취득하고자 한다면 CISA 를 먼저 취득 후 CISSP 을 취득하길 권하고 싶다.
CISA 는 정보 시스템 감사 자격이고, CISSP 은 정보 보안 자격증이다. CISA 의 경우 정보 시스템 관련 지식 + 감사 지식을 검증하는 것이고 CISSP 의경우는 정보 시스템 + 보안 지식을 검증하는 시험이다. 우선 이 글을 보는 사람이 엔지니어 혹은 개발자 라고 가정하고 정보 시스템이나 보안에 대해 어느정도 지식이 있다고 생각 하겠다. 정보 시스템이나 보안에 대해서는 어느정도 알고 있지만 '감사(AUDIT)' 분야는 아무래도 생소하기 마련이다. CISA 의 경우 감사인으로서 정보시스템 및 정책에 대한 의견을 묻는 문제가 주 다 보니, 골수 엔지니어의 생각과는 전혀 다른 답이 정답이 되곤 한다.(처음 CISA 준비했을때 당황스러웠던 경우가 이 부분 이었다.) CISSP 의 경우는 CISA 의 정보 시스템 관련 분야에서 조금 더 심화된 수준이므로 일단 CISA 를 통해 정보 시스템을 두루 공부 하고 감사인의 시각에 대해 감을 잡은 후에 CISSP 을 준비하면 좀 더 준비하기가 수월하지 않을까 싶다.
그럼 본격적으로 시험 준비를 위해 교재를 선택 하자!
CISA 의 경우 매년 ISACA 에서 나오는 공식 교재가 있다. CISA 리뷰 메뉴얼 이라는 공식 교재와 문제집 1200 제 를 판매하고 있으니, 공식 사이트에서 구매를 하거나( http://isaca.or.kr/ ) 수단껏 주변에서 구해보도록 하자. 위 두권은 필수로 공부해야 할 교재이다. 일단 1200제의 문제만 모두 이해 해서 풀 수 있으면 CISA 시험은 충분히 합격권에 들어 갈 수 있다. (문제를 외우라는 이야기가 아니라 이해를 하라는 이야기다. 실제 시험은 문제가 조금씩 변형되어 나온다. 물론 글자 하나 안 틀리고 똑같이 나오는 문제도 몇몇 있다.)
본 교재 외에 부 교재로 추천 서적이라면, 정보보호 핵심지식(김종필,박동섭,이성중) 과 정보시스템 감사, 통제 및 보안(왕정모) 정도를 참고하는 정도로 공부하면 되겠다. 이 책들은 엄밀히 말해서 CISA 수험서는 아니지만 CISA 관련된 내용들이 잘 정리 되어 있었다.
CISSP 은 따로 공식 수험서가 없다. 하지만 주로 ALL IN ONE 이라는 책을 교재로 사용하는 경우가 많다. CISSP 의 CBK 각 도메인별로 자세하게 내용이 기술되어 있으며, CISSP 준비외에도 보안쪽으로 관심이 있다면 꼭 한번 쯤 볼만한 책 이다. 현재 4판 까지 출간되었으며 한글 번역본 로는 3판 까지 출간되어 있다. 영어에 자신이 있으면 원서를 추천하고 번역본인 3판으로도 시험 비에는 크게 문제가 없다.
위에 교재와는 별도로 사설 학원 교재가 있다. 자격증 전문 교육기관으로 유명한 '라이지움' 교재도 이들 구해서 보는데, 위에 기술한 책들만 완전히 숙지하면 굳이 학원 교재를 볼 필요가 있을까 다. 대부분 내용이 상기 서적들의 요약 정리 본 + 추가 자료 정도 인데 아무래도 교재 자체보다 이지움에서 제공하는 연습 문제들이 시험 경향을 잘 반영하고 있어서 인기가 있는 것 같다.
다만 시험 경향에 맞춰서 교재를 만들다 보니 시험에만 치중한 내용이 많고 문제 경향이 바뀔경우 원 교재로만 공부한 사람은 폭넓게 공부한 사람보다 적응도가 떨어질수 밖에 없다. 실례로 올해 CCISP 시험 응시 후 학원 다녔던 분 들이 시험 경향 적중률이 현격히 낮아 졌다는 이야기를 들은은 바 있다. 물론 이는 지극히 보인 개인적인 느낌이다. 학원 수강 이든 독학이든 자신의 상황에 맞는 학습 방법을 택하는 것이 가장 좋다.
그렇다면 준비 기간은??
시험 준비에 개인차가 있겠지만, 본인의 경우 CISA 는 두달, CISSP 은 한달 좀 넘게 준비 했다.
일단 SI 혹은 SM 업무를 하고 계신 분들은 기본적인 개발 방법론이나 프로젝트 관리, 업무 프로세스에 대한 이해가 있기 때문에 좀 더 적은 시간을 투자 해도 되고, 비 전산 전공 분들은 준비기간이 좀 더 플러스 된다고 생각 하면 되겠다. 둘 중 하나를 취득 하고 나머지 하나를 준비 할때는 중복되는 내용이 많이 준비하기 가 훨씬 수월 하다. 본인을 비롯해 주변에 시험 준비 하는 분들을 보니 대략 시험 당 두 달정도면 무난 할 듯 싶다. (전산 업계 종사자 기준)
이상으로 CISA / CISSP 준비하는 과정에 대해 간략하게 이야기를 했다. 자격증은 자격증일뿐 실무에 도움이 안된다는 의견도 있고, 자신의 가치를 높일 수 있다는 의견도 있다. 모두 맞는 이야기 이다.
자격증을 취득하려는 목적이 무엇인지 분명하다면 자신의 목적을 이루는 훌륭한 수단이 될 수도 있고 본인 처럼 별 생각 없이 준비를 했다면 취득 후 에도 별 쓸 일 없는 페이퍼가 될 수도 있다. (물론 공부를 했다는 과정이 결과보다 더 중요 하지만 말이다..-_-)
선택은 본인의 몫 이다. 아무쪼록 자격증 준비하시는 분들에게 조금이라도 도움이 되길 바란다.
원본 : http://xxxxxx.tistory.com/1?srchid=BR1http%3A%2F%2Fxxxxxx.tistory.com%2F1
