CISSP: zo bewijs je vijf jaar relevante werkervaring
CISSP staat bekend als de zwaarste security-certificering die er is. Het examen is al moeilijk genoeg, maar het echte struikelblok voor veel mensen is de ervaringseis. (ISC)² is er niet vaag over: je hebt vijf jaar betaalde, fulltime werkervaring nodig voordat je gecertificeerd kunt worden.
De vraag die iedereen stelt: wat telt precies als security-werkervaring?
De eis in detail
De formele eis is vijf jaar betaalde fulltime werkervaring in twee of meer van de acht CBK-domeinen (Common Body of Knowledge). Die domeinen zijn:
- Security and Risk Management
- Asset Security
- Security Architecture and Engineering
- Communication and Network Security
- Identity and Access Management
- Security Assessment and Testing
- Security Operations
- Software Development Security
Je hoeft dus geen vijf jaar sec in pentesting of compliance te hebben gezeten. De eis is breed. Wat (ISC)² wil zien is dat je professioneel en betaald werk hebt gedaan waarbij security een substantieel onderdeel was in minimaal twee domeinen.
Als je een goedgekeurd vierjaarsdiploma hebt op bachelor- of masterniveau in een relevant technisch vakgebied, mag je one jaar van de ervaringseis aftrekken. Dan kom je uit op vier jaar in twee domeinen.
Wat telt als security-werkervaring
(ISC)² hanteert een ruime definitie, maar “security moest een relevant onderdeel van de functie zijn” is het criterium.
Functies die doorgaans tellen: security architect, security engineer, SOC-analist, cloud-security engineer, DevSecOps engineer, compliance officer met technische verantwoordelijkheid, IT-auditor met security-scope, risicomanager in een IT-context, en penetratietester.
Ook hybride functies tellen, zolang security aantoonbaar een wezenlijk deel was van het werk. Een systeembeheerder die twee jaar actief bezig was met hardeningtrajecten, patchmanagement en toegangsbeheer kan dat onderbouwen. Een developer die twee jaar in een DevSecOps-team heeft gewerkt en aantoonbaar verantwoordelijk was voor SAST/DAST en dependency-audits eveneens.
Wat niet telt
Wat (ISC)² expliciet buiten beschouwing laat: hobbyprojecten en eigen labs, vrijwilligerswerk (tenzij je een specifieke uitzondering aanvraagt), functies waarbij security slechts sporadisch voorkwam, en stage-uren.
Parttime werk telt ook niet als fulltime ervaring. Als je twintig uur per week in een security-rol hebt gewerkt, telt dat voor de helft.
IT-functies zonder security-component, zoals applicatiebeheer puur gericht op availability of eerste-lijns helpdesk, tellen niet mee, ook al heb je daarna een CISSP-examen gehaald. De domein-overlap moet aantoonbaar zijn.
Endorsement: hoe dat werkt
Na het behalen van je examen heb je 9 maanden om je endorsement te regelen. Je hebt een bestaand CISSP-lid nodig dat jouw werkervaring bevestigt. Deze persoon ondertekent je endorsement-formulier en verklaart dat je ervaring klopt.
De endorser hoeft je niet persoonlijk te kennen in de zin van directe collega. Ze moeten wel je werkervaring kunnen beoordelen en bereid zijn hun CISSP-certificering op het spel te zetten voor een onjuiste verklaring, want (ISC)² kan steekproefsgewijs auditen.
Als je geen CISSP-lid in je netwerk hebt, kun je (ISC)² zelf als endorser aanwijzen. Dan neemt (ISC)² de beoordeling over, wat langer duurt maar mogelijk is.
Associate of (ISC)²: de route als je de vijf jaar nog niet hebt
Als je het examen haalt maar nog niet de vereiste werkervaring hebt, word je automatisch “Associate of (ISC)²”. Je krijgt die titel niet als troostprijs; je bent officieel in afwachting van certificering.
Je hebt dan zes jaar de tijd om de benodigde werkervaring op te bouwen. Zodra je die hebt, dien je je endorsement in en word je volledig gecertificeerd CISSP.
Het voordeel van deze route: het examen is het moeilijkste deel, en exameninhoud verandert geregeld. Als je weet dat je over twee of drie jaar aan de ervaringseis voldoet, is het slim om het examen nu te doen.
Wil je je goed voorbereiden op het CISSP-examen of de domeinen verdiepen? Bekijk dan CISSP-trainingen bij erkende trainingsaanbieders.