CISSP-domeinen: zo verdeel je je studietijd
Het CISSP-examen dekt acht domeinen, maar dat betekent niet dat je er acht gelijke blokken studietijd aan moet besteden. De wegingen in het examen lopen uiteen van 10% tot 16%, en de inhoudelijke diepgang verschilt per domein flink. Als je nu aan het studeren bent, is je tijd beter besteed met een verdeling die die realiteit weerspiegelt.
Hoe zwaar weegt elk domein
(ISC)² publiceert de exacte wegingen. Dit zijn de huidige percentages:
| Domein | Weging |
|---|---|
| 1. Security and Risk Management | 16% |
| 2. Asset Security | 10% |
| 3. Security Architecture and Engineering | 13% |
| 4. Communication and Network Security | 13% |
| 5. Identity and Access Management | 13% |
| 6. Security Assessment and Testing | 12% |
| 7. Security Operations | 13% |
| 8. Software Development Security | 10% |
Domein 1 is het grootst en heeft de meeste abstracte concepten: bedrijfsrisicomanagement, governance, beleidshiërarchie, ethiek, juridische kaders. Veel kandidaten die in technische functies werken onderschatten dit domein, omdat het weinig aanvoelt als security-werk. Dat is precies waarom het gevaarlijk is.
Verdeling die werkt
Een totaal van 300 studietijd is realistisch voor mensen met werkervaring. Gebruik de domeinweging als basisverhouding, maar corrigeer omhoog voor domeinen waar je weinig praktijkervaring mee hebt.
Domein 1 (16%): Plan hier 50 tot 55 uur. Risk frameworks (NIST, ISO 27001, COBIT), BCP/DRP-concepten, en juridische terminologie kosten tijd. Leer de begrippen exact, want het examen maakt fijne onderscheidingen.
Domein 2 (10%): 25 tot 30 uur volstaat voor de meeste kandidaten. Data classification, eigenaarschap, en de levenscyclus van data zijn beperkt in scope maar komen wel consistent terug.
Domein 3 (13%): 35 tot 40 uur. Security-architectuurmodellen (Zachman, SABSA, TOGAF op hoofdlijnen), cryptografie, en secure design principles vallen hier. Cryptografie is een eigen leerblok; reken op 10 tot 12 uur alleen daarvoor.
Domein 4 (13%): 35 tot 40 uur. OSI-model, firewalls, VPN-typen, protocollen, en cloud networking. Netwerkprofessionals doen dit domein snel; voor anderen is het een serieus blok.
Domein 5 (13%): 35 tot 40 uur. IAM, federated identity, OAuth, SAML, privileged access management. Dit domein heeft veel overlap met de praktijk van de meeste security-engineers, maar het examen vraagt om precieze conceptuele kennis, niet alleen hands-on begrip.
Domein 6 (12%): 30 tot 35 uur. Audit- en testmethoden, penetratietesten op conceptniveau, log-review, SOC-metrics. Minder om te memoriseren, meer om te begrijpen.
Domein 7 (13%): 35 tot 40 uur. Incident response, forensics, change management, patching, en fysieke beveiliging. Breed domein met veel losse onderwerpen. Maak een eigen samenvatting per subonderwerp.
Domein 8 (10%): 25 tot 30 uur. SDLC, threat modeling, SAST/DAST, en secure coding op beleidsniveau. Developers die overstappen naar security hebben hier voordeel.
Hoe je zwakke domeinen herkent
Doe elke twee weken een volledige oefenset van 125 vragen en registreer je score per domein. De drempel is simpel: onder de 65% in een domein is een signaal. Onder de 60% is een probleem.
Wat je niet moet doen: het herlezen van je aantekeningen totdat je het gevoel hebt dat je het begrijpt. Dat gevoel klopt niet. Begrip in CISSP-context betekent dat je vragen correct beantwoordt, en de enige manier om dat te meten is door vragen te maken.
Zwak domein aanpakken
Stel domein 3 zit op 58%. Dit is de aanpak:
- Lees het betreffende hoofdstuk in de officiële (ISC)² CISSP CBK opnieuw, maar nu actief: schrijf per sectie in eigen woorden wat het kernpunt is en welke keuze je als manager zou maken.
- Maak 100 gerichte vragen uit dat domein. Gebruik Boson, CCCure, of de officiële (ISC)² practice tests, gefilterd op dat domein.
- Analyseer elke fout. Niet om het antwoord te onthouden, maar om te begrijpen welk principe je miste. Noteer het principe, niet het antwoord.
- Doe na een week een nieuwe domein-test van 50 vragen. Als je boven de 65% zit, ga je terug naar je normale rotatie. Als je er nog onder zit, herhaal je stap 1 tot 3 met specifiekere focus op de subonderwerpen waar de fouten zitten.
Dit duurt per domein vijf tot zeven uur actieve studie bovenop wat je al hebt gedaan. Plan dat expliciet in; dit is geen werk voor de avond voor je examen.
Planning in de praktijk
Als je over twaalf weken examen doet, is een werkbaar ritme: twee weken per hoofddomein (1, 3, 4, 5, 7), een week per licht domein (2, 6, 8), en de laatste twee weken volledig besteed aan oefenexamens en het wegwerken van zwakke domeinen. Houd elke week bij welke domeinen onder de 65% zitten en stuur bij.
Met de studietijd-planner kun je je weekplanning invullen op basis van je examenmaand en het aantal uur dat je per week beschikbaar hebt.
Het examen test of je denkt als een manager die security-beslissingen neemt, niet als de engineer die ze uitvoert. Die mindswitch kost tijd en is niet te versnellen met memoriseren. Plan je domeinen, meet je scores, en stuur bij op data.