מדריך הסמכת CISSP
מדריך מלא שלב אחר שלב לכל מה שצריך לדעת על בחינת ה CISSP וההסמכה עצמה
מה היא הסמכת CISSP?
הסמכת CISSP (Certified Information Systems Security Professional) היא תעודת הסמכה פרטית מובילה בתחום אבטחת המידע, הנחשבת לאחת ההסמכות הקשות ביותר להשגה בתחום הקיימת מאז שנת 1994. ההסמכה ניתנת על ידי ארגון ISC2, קונסורציום בינלאומי המתמקד בהסמכות מקצועיות בתחום אבטחת מערכות מידע.
יוקרת ההסמכה בעולם
במדינות רבות, CISSP נחשבת לאחת ההסמכות היוקרתיות ביותר בתחום אבטחת המידע. היא נתפסת כתקן מקצועי לתפקידים בכירים בארגונים גדולים, ולעיתים אף כתנאי סף בתעשיות מסוימות.
- אירופה: ההסמכה מקבילה לדרגה 7 במסגרת ה-EQF (European Qualifications Framework), מה שמציב אותה ברמת תואר שני.
- ארה”ב: מוכרת כ”סטנדרט זהב” לניהול אבטחת מידע וזוכה להכרה רשמית על ידי משרד ההגנה האמריקאי במסגרת התקן U.S. DoDM 8140.03 וגם ע"י ANAB.
מעמד ההסמכה בישראל
בישראל, למרות שאין הכרה רשמית של המועצה להשכלה גבוהה (מל”ג), ההסמכה נחשבת לנדרשת בשוק העבודה המקומי. היא מהווה יתרון משמעותי בעיקר עבור מועמדים לתפקידים בכירים בתחומי אבטחת המידע, ניהול סיכונים, ותשתיות IT.
למי מתאימה ההסמכה?
בניגוד להסמכות טכניות אחרות, CISSP מתמקדת בעיקר במנהלים ובאנשי מקצוע המובילים תהליכים אסטרטגיים בארגונים. יחד עם זאת, תכנית ההסמכה כוללת גם תכנים טכניים משמעותיים, והיא רלוונטית למנהלים שרוצים לשלב הבנה טכנית עמוקה עם ראייה עסקית ואסטרטגית.
אודות בחינת ה CISSP
מספר שאלות: הבחינה מורכבת מ-100 עד 150 שאלות, רובן בסגנון אמריקאי, אך חלקן עשויות לכלול פורמטים אחרים.
משך הבחינה: זמן הבחינה הכולל הוא 3 שעות.
ציון מעבר: כדי לעבור את הבחינה, יש להגיע לציון של 700 מתוך 1000.
מבנה אדפטיבי: הבחינה מתבצעת במתכונת Computer Adaptive. המשמעות היא שמחשב (אלגוריתם) מנתח את ביצועי הנבחן בזמן אמת ומחליט אילו שאלות להציג בהמשך. בהתאם לכך, האלגוריתם קובע את רמת הקושי של השאלות, את מספר השאלות הכולל והאם הנבחן עבר או לא עבר את הבחינה.
מבנה הבחינה: הבחינה מחולקת ל-8 דומיינים מרכזיים, הידועים גם בשם Common Body of Knowledge (CBK). כל דומיין מייצג תחום ידע ייחודי מעולם אבטחת המידע.
שמונת הדומיינים של CISSP
Security and Risk Management- ניהול אבטחה וסיכונים
תחום זה מתמקד בעקרונות ניהול סיכונים, מסגרות רגולטוריות, עמידה בתקנים (Compliance), אתיקה מקצועית וניהול אבטחת מידע בארגון.
- הערכת סיכונים ומתודולוגיות ניהול סיכונים.
- יצירת מדיניות אבטחת מידע.
- ממשל תאגידי בתחום האבטחה.
- עמידה בדרישות רגולטוריות ומסגרות עבודה.
Asset Security – אבטחת נכסים
עוסק בזיהוי, סיווג וניהול נכסי מידע פיזיים ודיגיטליים בארגון.
- סיווג נכסים (Data Classification).
- ניהול מחזור חיי המידע.
- הגנה על נכסים פיזיים.
Security Architecture and Engineering – ארכיטקטורה והנדסת אבטחה
תחום זה מתמקד בתכנון ובנייה של מערכות אבטחת מידע תוך התייחסות לעקרונות ארכיטקטוניים, קריפטוגרפיה ובקרות אבטחה.
- עקרונות תכנון מערכות מאובטחות.
- שיטות קריפטוגרפיות.
- אבטחת חומרה, תוכנה ותשתיות.
Communication and Network Security – תקשורת ואבטחת רשתות
עוסק בהגנה על מערכות תקשורת ורשתות תוך שימוש בבקרות אבטחה וטכנולוגיות מתקדמות.
- עקרונות תכנון רשתות מאובטחות.
- פרוטוקולי תקשורת.
- זיהוי והגנה מפני איומי סייבר ברשת.
Identity and Access Management (IAM) – ניהול זהויות ובקרת גישה
תחום זה מתמקד בהבטחת גישה מאובטחת למערכות ולמידע באמצעות ניהול זהויות ובקרות גישה.
- ניהול משתמשים והרשאות.
- אימות רב-שלבי (MFA).
- בקרות גישה פיזיות ולוגיות.
Security Assessment and Testing – הערכת אבטחה ובדיקות
עוסק בשיטות לבדיקת אבטחת המידע וזיהוי פגיעויות, כולל בדיקות חדירות וביקורות.
- בדיקות חדירות (Penetration Testing).
- ביצוע הערכות פגיעות.
- בדיקות תאימות וביקורות אבטחה.
Security Operations – תפעול אבטחה
מתמקד בפעולות שוטפות של אבטחת המידע, ניטור איומים וטיפול באירועי אבטחה.
- זיהוי וטיפול באירועי סייבר.
- בקרת גישה ופריבילגיות משתמשים.
- תגובה והתאוששות מאסונות.
Software Development Security – אבטחת פיתוח תוכנה
תחום זה מתמקד בהטמעת עקרונות אבטחה במהלך פיתוח תוכנה ובקרת קוד.
- עקרונות אבטחת מידע בפיתוח תוכנה.
- איתור חולשות בקוד.
- בקרת גרסאות וניהול מחזור חיי פיתוח מאובטח (SDLC).
תנאים לקבלת ההסמכה
חשוב להבין שכדי לקבל את תואר CISSP מעבר הבחינה אינו מספיק בפני עצמו שכן הדרישות לגשת לבחינה אינן דומות לדרישות קבלת התואר CISSP. כדי לדרוש תואר CISSP תידרשו לדברים הבאים:
מעבר הבחינה
אמנם אין דרישה מוקדמת לידע או ניסיון כדי לגשת לבחינה, אך מעבר הבחינה דרוש לקבלת תואר ההסמכה.
דרישת ניסיון מקצועי
עליכם להוכיח שיש לכם לפחות 5 שנות ניסיון מקצועי רלוונטי בעולם אבטחת המידע (הניסיון צריך להיות קשור לפחות לשניים מתוך 8 הדומיינים של הבחינה).
קיימת אפשרות להמיר שנה אחת מתוך חמש השנים הנדרשות בתואר אקדמי רלוונטי או הסמכה אחרת המוכרת על ידי ISC2.
אם עברתם את הבחינה אך אין לכם את הניסיון הנדרש, תוכלו לקבל מעמד של Associate of ISC2 ואחר שתצברו את הניסיון הדרוש תוכלו להגיש בקשה לקבלת תואר CISSP.
הרשמה לבחינה
על מנת להירשם לבחינה תצטרכו למלא טופס הרשמה ולשלם עבור הבחינה.
שימו לב שבישראל המבחן נערך אך ורק במכון פירסון (Pearson VUE).
הכנה לבחינה
- הקדישו כ 3 שעות ביום במשך כ 3 חודשים ללמידה לבחינה.
פחות מזה כנראה שלא יהיה מספיק כדי לכסות את כל החומר ויותר מזה עלול לגרום למצב שבו תשכחו את מה שלמדתם בהתחלה
- תרגלו 2,000 שאלות לכל הפחות!
חלק גדול מהשאלות נועד לתרגל את החומר עצמו וחלק נוסף לצורך הפנמת העקרונות המנחים. נסו להגיע לכ 4,000 – 5,000 שאלות.
- בחרו להיבחן באנגלית גם אם אתם דוברים שפה נוספת שבה ניתן להיבחן!
כפי שהשפה המקצועית בבישול היא צרפתית כך השפה המקצועית כאן היא אנגלית והמבחן באנגלית יקל על הבנת הנקרא בהקשר הזה חשוב לציין שאנגלית טובה היא קריטית לבחינה! וודאו שאתם מרגישים בנוח עם הבנת הנקרא באנגלית בכלל ואנגלית טכנית בפרט שכן השאלות מנוסחות באנגלית המיועדת לדוברי אנגלית שפת אם.
- הבינו את הקשרים בין הדומיינים
החומר ה”יבש” חשוב מאוד אבל הוא רק הבסיס. בבחינה עצמה תדרשו לקשר בין חומרים שלמדתם בדומיינים שונים ולהוכיח הבנה קונספטואלית של החומר (תוכלו למצוא לכך דוגמאות בשאלות שהכנו לכם).
הבחינה עצמה
חשוב ראשית לציין עבור מי שלא נבחן בעבר במבחנים בינלאומיים דומים שחווית הכניסה למבחן מלחיצה בפני עצמה: תידרשו לרוקן כיסים ולעבור “בידוק” פעמיים לפני שתורשו להיכנס לחדר הבחינה.
חדר הבחינה מצולם ומוקלט כל הזמן והחומר מועבר ל ISC2 על מנת לוודא שלא נפגם טוהר הבחינה ולכן גם אם עברתם את הבחינה לא יינתן אישור סופי מיידי עד שלא יבחנו החומרים עצמם.
חשוב שבזמן הבחינה לא תנסו לחשב את התוצאה או איך הולך לכם – נכון שאפשר לדעת לפי קושי השאלות וההרגשה הכללית אך בפועל קשה מאוד להגיע לאינדיקציה טובה ומדובר בבזבוז זמן ואנרגיה מיותרים לחלוטין.
אל תחשבו יותר מדי על כל שאלה – חשוב לקרוא כל שאלה בעיון ולא לענות בחופזה אך זכרו כי בין תשובות המבחן ישנם מסיחים שיסיחו אתכם מהתשובה הנכונה בין אם לא חשבתם מספיק על התשובה אך גם אם חשבתם יותר מדי.
כאמור, הבחינה מורכבת מלפחות 100 שאלות וכאשר תגיעו לשאלה ה100 המחשב יחליט האם צריך להמשיך את המבחן. המחשב יכול להחליט ש 100 השאלות הספיקו כדי להעביר או להכשיל אתכם או שהוא רוצה לבדוק אתכם יותר ובמצב כזה ייתן לכם עוד שאלות (מקסימום 50) לפני שיחליט סופית.
בכל מקרה, יש להמשיך לענות על השאלות כמיטב יכולתם עד שהמחשב יפסיק להציג שאלות. כאשר תקבלו הודעה שהבחינה הסתיימה הרימו יד וחכו שייגשו אליכם.
מה קורה אחרי שעברתם?
לאחר שעברתם את הבחינה (ובמידה וצברתם את הניסיון הנדרש) תצטרכו:
- למצוא ממליץ שהוא CISSP פעיל, שיאשר את הניסיון שלכם.
- לעמוד בקוד האתיקה המקצועית של ISC2.
- להשלים את תהליך האישור מול הארגון ולהגיש טפסים בהם תתבקשו להצהיר גם על הרקע האישי שלכם.
ואם לא עברתם…
במידה ולא עברתם תוכלו לבקש לגשת שוב לבחינה – זמן ההמתנה בין בחינה לבחינה תלוי במספר הבחינות שעשיתם עד אותו היום.
טיפים להצלחה
אחד הדברים החשובים בבחינה היא הדרך שבה תיגשו לכל שאלה. לא מדובר על הבנת הנקרא (חשובה ככל שתהיה) אלא על מה סדר העדיפויות שלכם, מאיזו זווית אתם מגיעים, הבנת המטרה הסופית וכמובן הימנעות ממסיחים בשאלה שמטרתם להסיט אתכם מהחלק החשוב ביותר בתור CISSP.
- חשיבה “גדולה” – זכרו שהמבחן בנוי עבור ארגונים בינלאומיים כך שאין מקום לעגל פינות, גישה “יהיה בסדר” או “הארגון שלנו קטן מדי בשביל זה”.
- חיי אדם קודמים לכל – כלל זהב הוא שחיי אדם קודמים לכל אך העיקרון הזה יוחבא היטב בשאלות. חפשו את התשובה שנראית נכונה אך מסכנת חיי אדם ופסלו אותה.
- העסק עצמו קודם לאבטחה – לא לשכוח שבסוף יש עסק שצריך לעבוד ולא ניתן להגיע למצב שבו העסק מאובטח אבל לא יכול לקיים עסקים. קחו זאת בחשבון.
- היזהרו מפתרונות מבוססי יצרן – אחד החסרונות של מי שמגיע עם ניסיון מהשטח הוא שהידע שלנו מגיע בחלקו ממה שלמדנו מהיצרני אבטחת המידע השונים. במבחן תידרשו לדבר על פונקציות ולא על מונח שיווקי כזה או אחר.
- חפשו את התוצאה הסופית הנדרשת – ייתכן שתקבלו מספר תשובות נכונות אבל זכרו לחפש את הערך הנדרש ולא חלקים בדרך להגיע אליו.
- חשבו כמו מנהלים או יועצים – זכרו שאתם צריכים להסתכל על הבעיה או השאלה המוצגת לפניכם במבט על.
- אל תשאבו לפרטים הטכניים – מנהל לא פותר בעיות טכניות! אולי בארץ זה נהוג ואפילו נדרש לפעמים אך לא בבחינה.
- אל תטפלו בבעיה הסופית אלא בשורש שלה – כמנהלים חשוב שהטיפול שאתם מציעים לא מטפל בסימפטום אלא במהות הבעיה והסיבה שלה (root cause).
- אבטחת מידע היא לא רק טכנית – אל תרוצו לפתרונות הטכניים! אבטחה פיזית חשובה לא פחות וכך גם נהלים אדמיניסטרטיביים.
חומרי לימוד
ספרים
Official ISC2 CISSP Study Guide (Sybex) – הספר הרשמי של ISC2 שמכסה את כל הדומיינים עם הסברים מפורטים, שאלות תרגול וסיכומי נושאים.
CISSP All-in-One Exam Guide (Shon Harris) – מדריך מקיף שנחשב לאחד הטובים ביותר, עם הסברים מעמיקים ודוגמאות מעשיות לכל נושא בבחינה.
CISSP Exam Cram (Micheal Gregg) – ספר תמציתי וממוקד שמיועד לחזרות אחרונות לפני הבחינה, עם דגשים על מושגים מרכזיים ושאלות תרגול.
שאלות תרגול
Boson Practice Exams – מאגר שאלות תרגול מתקדם שאפשר תרגול עם ממשק נוח, כולל הסברים מפורטים לכל תשובה נכונה ושגויה.
קורסים
Cybrary (Kelly Handerhan) – קורס וידאו פופולרי עם הסברים ברורים, דוגמאות מעשיות ותובנות על אופן החשיבה שנדרש לבחינה.
Study Notes and Theory (Luke Ahmed) – פלטפורמת לימוד מקיפה עם סיכומים מפורטים, שאלות תרגול ודיונים על ניתוח שאלות הבחינה.
Udemy (Thor Pedersen) – אחד הקורסים הנצפים ביותר ב Udemy הכולל הסברים מפורטים, מבחנים מדומים וסרטוני וידאו בגישה נוחה ללמידה.
Destination Certification (Rob Witcher) – קורס מקיף עם חמורי לימוד נלווים (כמו אפליקציה) דוגמאות רלוונטיות ושאלות.
שאלות לדוגמא
Q: How much security is “too much security”?
- When the cost of security exceeds the value of the protected assets
- There is no such thing as “too much security”
- When security controls are so strict that IT staff is starting to complain about required maintenance time
- When security controls are stricter than required by your regulator
Correct answer and Explanation
Correct Answer: 1
Explanation: Trick Question for the Experienced Student. There is such a thing as "too much security," and it's important to know when this happens.
Q: Which of the following best describes the difference between due care and due diligence?
- Due care involves orchestrating and reconstructing methodologies, procedures, conventions, and controls while due diligence involves conducting periodic scrutiny, evaluations, corroboration, and updates to ensure that the due care measures are adequate
- Due diligence involves implementing and maintaining appropriate policies, procedures, standards, and controls while due care involves conducting regular audits, assessments, tests, and updates to ensure that the due care measures are adequate
- Due diligence involves orchestrating and reconstructing methodologies, procedures, conventions, and controls while due care involves conducting periodic scrutiny, evaluations, corroboration, and updates to ensure that the due care measures are adequate
- Due care involves implementing and maintaining appropriate policies, procedures, standards, and controls while due diligence involves conducting regular audits, assessments, tests, and updates to ensure that the due care measures are adequate
Correct answer and Explanation
Correct Answer: 4
Explanation: English Reading Comprehension and Vocabulary Question. Due Care focuses more on daily details at the individual level, while Due Diligence focuses on a broader view like procedures, etc.
Q: In the RSA algorithm, what is the maximum block size for a 2048-bits key size?
- 2059-bits
- 2048-bits
- 2037-bits
- 1024-bits
Correct answer and Explanation
Correct Answer: 3
Explanation: Knowledge Only Question. There is no way to infer the correct answer from the possible options except by remembering the small details that sometimes seem unimportant exam prep might still show up on the exam
איך שומרים על ההסמכה בתוקף?
על מנת להמשיך ולהחזיק בהסמכה בתוקף תידרשו לשלם אחת לשנה דמי חבר (Annual Maintenance Fees AMF) ולהגיש אחת לשלוש שנים דו”ח שמתאר פעילות שעשיתם למען הרחבת הידע האישי שלכם ותרומתכם לקהילה (Continuing Professional Education – CPE).
שאלות נפוצות
מהי הסמכת CISSP?
הסמכת CISSP (Certified Information Systems Security Professional) היא אחת ההסמכות היוקרתיות ביותר בעולם אבטחת המידע. היא מוכרת ברחבי העולם כתקן איכות עבור אנשי אבטחת מידע בכירים.
מי מעניק את הסמכת CISSP?
למה הסמכת CISSP נחשבת ליוקרתית כל כך?
CISSP נחשבת ל"תקן הזהב" באבטחת מידע, וזוכה להכרה רשמית מצד גורמים כגון משרד ההגנה של ארה"ב, ארגון ANSI ובאירופה, שם היא נחשבת שוות ערך לתואר שני (EQF Level 7).
במקרים רבים, היא מהווה דרישה מקדימה לתפקידי סייבר בכירים בארגונים גדולים ומוערכת מאוד בתעשיות רבות.
למי מיועדת הסמכת CISSP?
CISSP מיועדת בעיקר למנהלים ולאנשי מקצוע המובילים תהליכים אסטרטגיים בארגונים. למרות שהתוכן כולל ידע טכני משמעותי, ההסמכה מתאימה במיוחד למי שמעוניין לשלב בין מומחיות טכנית בתחום אבטחת המידע להבנה אסטרטגית עסקית.
מה החומר הנדרש למבחן CISSP?
המבחן מבוסס על שמונה תחומים מרכזיים המכונים Common Body of Knowledge (CBK), אשר מקיפים את עולמות אבטחת המידע המרכזיים.
כיצד בנוי מבחן CISSP?
- מספר שאלות: בין 100 ל-150 שאלות (רובן רב-ברירתיות, אך חלקן בפורמטים שונים).
- משך הבחינה: 3 שעות.
- בחינה אדפטיבית: נעשה שימוש במתודולוגיית Computer Adaptive Testing (CAT), שבה מספר השאלות ורמת הקושי משתנים בזמן אמת בהתאם לביצועים שלך.
שימו לב! מדיניות הבחינות, האגרות והתנאים עשויים להשתנות. מומלץ לבדוק באתר הרשמי של ISC2 למידע עדכני.
מה הציון העובר במבחן CISSP?
כדי לעבור את המבחן, יש להשיג ציון מינימלי של 700 מתוך 1000.
מהם התנאים לקבלת ההסמכה?
מה קורה אם אין לי את הניסיון הנדרש?
אם עברת את הבחינה אך אין לך את הניסיון הדרוש, תקבל מעמד של "Associate of ISC2" עד שתצבור את הניסיון הנדרש.
איך נרשמים למבחן CISSP?
הרישום כולל מילוי טופס בקשה ותשלום אגרת הבחינה. הבחינה מתקיימת במרכזי מבחנים (כגון Pearson VUE) ואינה זמינה באופן מקוון.
איך כדאי להתכונן למבחן?
- תוכנית לימוד: הקדש כ-3 שעות ביום למשך 3 חודשים.
- שאלות תרגול: מומלץ לתרגל לפחות 2,000 שאלות (4,000–5,000 לתוצאה מיטבית).
- הבנת חיבורים בין נושאים: התמקד בהבנת הקשרים בין התחומים השונים.
מה קורה אחרי שעוברים את מבחן CISSP?
אם יש לך את הניסיון הנדרש, תצטרך לקבל “המלצה" (endorsement) מאיש מקצוע מוסמך CISSP שיאמת את הרקע המקצועי שלך, ולהגיש טופס הצהרה עם פרטים מקצועיים ואישיים.
אם אין לך את הניסיון הנדרש, תוכל להגיש בקשה לסטטוס "Associate of ISC2".
מה קורה אם אני לא עובר את המבחן?
ניתן לגשת מחדש למבחן (אין הגבלה על מספר הפעמים שניתן לגשת שוב) בהתאם למדיניות המבחן החוזר של ISC2:
- לאחר כישלון ראשון – ניתן להיבחן שוב אחרי 30 ימים.
- לאחר כישלון שני – יש להמתין 90 ימים לפני ניסיון נוסף.
- לאחר כישלון שלישי – יש להמתין 180 ימים לפני ניסיון נוסף.
שימו לב! מדיניות הבחינות, האגרות והתנאים עשויים להשתנות. מומלץ לבדוק באתר הרשמי של ISC2 למידע עדכני.
איך שומרים על תוקף ההסמכה?
- יש לשלם את אגרת התחזוקה השנתית (AMF).
- יש להגיש דוח אחת לשלוש שנים על פעילות לפיתוח מקצועי או התנדבות (CPE).
שימו לב! מדיניות הבחינות, האגרות והתנאים עשויים להשתנות. מומלץ לבדוק באתר הרשמי של ISC2 למידע עדכני.
כמה עולה אגרת התחזוקה השנתית (AMF)?
מה קורה אם לא משלמים את האגרה בזמן?
מה קורה אם לא מגישים נקודות CPE בזמן?
אי-הגשת נקודות CPE כנדרש עלולה להוביל להשעיה או שלילת ההסמכה.
שימו לב! מדיניות הבחינות, האגרות והתנאים עשויים להשתנות. מומלץ לבדוק באתר הרשמי של ISC2 למידע עדכני.
באיזו תדירות יש להגיש דו"ח CPE?
במהלך מחזור ההסמכה (3 שנים) יש לצבור ולהגיש 120 נקודות CPE, בממוצע 40 נקודות לשנה. מומלץ להגיש את הנקודות ברגע שהשלמת אותן.
שימו לב! מדיניות הבחינות, האגרות והתנאים עשויים להשתנות. מומלץ לבדוק באתר הרשמי של ISC2 למידע עדכני.
כיצד ניתן לצבור נקודות CPE?
ניתן לצבור נקודות CPE דרך פעילויות שונות כגון:
- השתתפות בוובינרים וכנסים.
- השלמת קורסים והדרכות מקוונות.
- השתתפות ב Bootcamps.
שימו לב! מדיניות הבחינות, האגרות והתנאים עשויים להשתנות. מומלץ לבדוק באתר הרשמי של ISC2 למידע עדכני.
כמה עולה לגשת מבחן CISSP?
החל משנת 2021, עלות הבחינה בארה"ב היא $749. מחירים עשויים להשתנות לפי אזור, ולכן מומלץ לבדוק באתר ISC2 את המחיר העדכני ביותר.
היכן ניתן למצוא חומרי לימוד לCISSP?
חומרי לימוד ניתן למצוא במקורות שונים, כולל:
- מדריכים רשמיים של ISC2.
- קורסים והדרכות מקוונות.
- מאגרי שאלות ותרגולים.
- קבוצות לימוד ופורומים.
למה מכנים את מבחן CISSP "רחב אך לא עמוק"?
המבחן מכסה מגוון רחב של תחומים באבטחת מידע אך לא מעמיק בכל אחד מהם. השאלות בוחנות הבנה כללית של התחומים ולא רק ידע טכני מעמיק.