CISSP
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
CISSP英文全稱:“ Certified Information Systems Security Professional”,中文全稱:“(ISC)²註冊信息系統安全專家”,由(ISC)²組織和管理,是目前全球範圍內最權威,最專業,最系統的信息安全認證。
CISSP是一種反映信息系統安全專業人員水平的證書,可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力,已經得到了全球範圍的廣泛認可。
CISSP認證考試由 (ISC)² 組織與管理,參加CISSP認證的人員需要遵守CISSP 道德規範(Code of Ethics),同時要有在信息系統安全通用知識框架(CBK)的十個領域之中擁有最少2個範圍的專業經驗5年;或者4年的有關專業經驗及擁有學士資格或ISC2認可的證書。此外,CISSP應考者還需要得到另外一位持有有效ISC2認證的專業人士推薦確認(Endorsement)。有效的推薦人指任何持有CISSP、SSCP及CAP的專業人士。
隨著全球性信息化的深入發展,信息網路技術已廣泛應用到企業商務系統、金融業務系統、政府部門信息系統等,由於Internet具有開放性、國際性和自由性等特點,因此為保護機密信息不受黑客和間諜的入侵及破壞,各系統對網路安全的問題日益重視,在此方面的投資比例亦日趨增大。為此,建立一套統一的標準,培養合格的信息安全專業人員來應付網路安全的需要顯得尤為迫切。CISSP正是為了滿足此方面的需求發展而來,併在信息系統安全領域發揮了極為重要的作用。
(ISC)²“讀作ISC-squared”成立於1989年,是致力於為信息和軟體安全專業人士整個職業生涯提供教育及認證服務的全球性非營利組織,總部位於美國,分別在倫敦、香港、東京及北京設有辦公室。(ISC)² 的認證在全球被譽為信息安全認證的“金牌標準”,(ISC)² 的頂尖教育計劃享譽全球。
(ISC)² 為超過170個國家的信息和軟體安全從業人員提供廠商中立的教育產品、職業服務和金牌認證。
(ISC)²為建立在信任、誠信、專業基礎之上的良好聲譽引以為豪,為(ISC)² 的認證會員感到驕傲 – 一個由超過10萬名業界認證會員組成的全球精英人脈網路。
(ISC)² 中國辦公室(即 (ISC)² 授權中國代理)於2013 年7月在北京成立,全面負責(ISC)² 認證業務在中國的發展和規劃,包括全球知名的CISSP,以及CSSLP®、CCFPSM、SSCP®、CAP®、CISSP-ISSEP®、CISSP-ISSAP®、CISSP-ISSMP®,HCISPPSM等,其它業務還包括發展中國分會計劃、授權講師計劃、官方授權培訓服務提供商(OTP)計劃、及保護青少年上網安全計劃(SSO)等, 冀為中國區 (ISC)²會員以及信息安全專業人士帶來更多便利及增值服務。
(ISC)² 於1994年開始推廣CISSP的認證考試,並且很快得到了國際的高度認可。(ISC)² 在全球各地舉辦CISSP考試,但在中國,僅在北京、上海、廣州三地設有考點,雖然CISSP剛剛登陸中國,但勢必成為的熱門認證。
很多大型國際企業都在近幾年內設立了具有決策和管理許可權的信息總監,並將信息安全部門的規劃提到的議程上,具有CISSP認證的專業人士往往在就職這樣的重要職位有得天獨厚的優勢。
(ISC)² 是信息安全領域的頂級認證機構之一,成立於1989年,已經給超過160個國家的100,000多名安全專家授予了相關認證。
截止2013年11月,(ISC)² 已推出以下9項信息安全認證:
- (ISC)² 註冊信息系統安全師(CISSP®)
- (ISC)² 註冊軟體生命周期安全師(CSSLP®)
- (ISC)² 註冊網路取證師(CCFPSM)
- (ISC)² 註冊信息安全許可師(CAP®)
- (ISC)² 註冊系統安全員(SSCP®)
- (ISC)² 醫療信息與隱私安全員 (HCISPPSM)
- CISSP 專項加強認證:CISSP-ISSAP (Information Systems Security Architecture Professional) 信息系統安全架構專家;CISSP-ISSEP(Information Systems Security Engineering Professional)信息系統安全工程專家;CISSP-ISSMP(Information System Security Management Professional)信息系統安全管理專家。
要獲得CISSP-ISSAP, CISSP-ISSEP 或 CISSP-ISSMP 認證, CISSP 持證者必須在保持其證書有效性的基礎上,通過相應的專項考試, 每一專業領域認證均有其相應的CBK領域。認可CISSP持證者具有的某些專項才能,適用於大型企業中對職位要求更高的高端人才。
(ISC)²同時也向公眾提供信息安全方面的教育和咨詢服務。
(ISC)²提供的9種認證中,知名度最高和持有者人數最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人數最多的是美國,現有30385名,中國大陸有371名。因為CISSP的升級版本ISSAP和ISSMP要求考試的報名者必須是CISSP,而且有一定的相關領域工作經驗要求,所以在國內除了香港18名臺灣4名持有者之外,大陸還沒有持有者。至於(ISC)² 較為低端的SSCP和CAP認證,由於其定位和考核內容的原因,在國際上的接受程度不高,所以除了美加兩國外,其他國家的持有者都很少。
CISSP認證是國際上最權威、最受認可的信息安全認證,它同時也是信息安全領域第一個通過 ISO/IEC 17024 標準的認證。CISSP主要的認證對象為在企業處於中高層:CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高級安全工程師的信息安全專家。
認證條件
想要通過CISSP認證考試,必須具備以下幾個條件:
1、遵守(ISC)²的規章制度。
2、在信息系統安全CBK(Common Body of Knowledge)規定的8個考試領域中最少2個範圍的專業經驗5年。
3、每3年需要重新認證,需要你在3年內獲得120個Continuing Professional Education (CPE)信用分。
只有具備了以上三個條件,你才能有資格參加CISSP的認證考試,是不是很苛刻呢?但門檻越高,意味著你將獲得的能力也越高,付出和收穫總是成正比的。
另外,從2002年6月1日起,(ISC)²把取得CISSP的過程劃分為兩個步驟:認證和考試。通過考試之後,還必須取得第三方的認可才可以最終獲得CISSP證書,第三方可以是參考者的雇主、或者是其他已獲得認證的專業人士。這一舉措增加了獲得CISSP的難度,但也更明確了CISSP和其他安全認證的區別,保持了CISSP的權威性。
報考要求
報考者必須具備至少五年的工作經驗,擁有大學本科學歷,需要四年工作經驗,研究生學歷仍需四年工作經驗。工作經驗應為CBK規定的8個知識域中的2個或多個範疇
簽署並承諾遵守(ISC)²制定的職業守則(Code of Ethics)
支付699美元的報考費用,確定報考地點,參加長達6小時的CISSP考試(自2017年12月18日起英文考試採用電腦自適應考試(CAT)形式),非英語考試採用線型固定形式。
職業守則
(ISC)²要求每個考生在報考時簽署並承諾遵守(ISC)²以下的職業守則,若違背守則,(ISC)²有權收回
CISSP資質:.保護社會、全體國民和國家基礎設施(Protectsociety,thecommonwealth,andtheinfrastructure)
誠實、正直、公正、合理和合法的行為(Acthonorably,honestly,justly,responsibly,and legally)
對雇主提供勤勉和勝任的服務(Providediligentandcompetentservicetoprincipals)
發展和維護專家身份和榮譽(Advanceandprotecttheprofession)對於職業守則的理解,請參閱《信息安全專業人員職業守則導讀》
書面證明
自2002年6月起,將(ISC)²將考試和認證過程分開。在考生結束考試後立即知道考試成績,若未能通過考試,郵件將告知考生其實際的分數和CBK每個範疇的得分情況,以便於為下次考試作准備。
若考生收到的郵件以祝賀(Congratulation)開頭,那代表您已經通過分數線,但(ISC)²並不告知您獲得的實際分數,同時郵件將附一份書面認可文件(endorsement)並要求您提供一份簡歷,該文件需要由CISSP、CISA、CPA或雇主簽署,以證明您的簡歷符合實際情況。
只有在將簡歷和書面認可文件寄回(ISC)²後(有5%左右的申請者將接受抽查),您才正式成為一名合格的CISSP。您將收到一份正式的證書和徽章,另外還包括一張方便攜帶的名片卡、(ISC)²網站的登陸ID和密碼文件,同時你可以將自己的信息在(ISC)²網站上公佈以及可以加入CISSP論壇。
認證原因
信息安全是一個相對的概念,在安全威脅很低的情況下,安全專家通常是被人們所遺忘的對象。但隨著信息技術的發展,當年只有精通系統和網路底層,推動技術進步的高手才能被稱為黑客,隨便一個會用網路的再隨便找些入侵工具也自稱為黑客,技術門檻的降低和對技術的追求轉化為對金錢的追逐——越來越多的入侵事件、惡意軟體的傳播、還有時不時出現在媒體上的高智商犯罪等就是這些所謂“後起之秀”的傑作。
面對越來越嚴重的安全威脅,不單在IT技術領域,在各行業的企業組織都越來越意識到信息安全的重要性,但單純依靠技術方案來並不能解決如何保護企業信息資產的問題,所以市場對專業的信息安全人才的需求也在隨之大大增加。而CISSP則可以證明持有者掌握國際公認的信息安全知識和標準、並擁有豐富的安全從業經驗,保持CISSP認證的有效性還可以顯示持有者對信息安全的發展和技術進步有很高的熱情,並願意為信息安全貢獻自己的一份力量。此外,獲得CISSP認證還有其他的好處,比如:
1、 適應市場中越來越熱的對信息安全人才的需求
2、 增加對信息安全的知識和概念的理解
3、 為當前的工作增加信息安全的理念
4、 在日益激烈的職場競爭中增強自身優勢
5、 在薪水增長和職務提升上更有優勢
2004年(國內最早的CISSP之一)說起CISSP是國際上最權威的信息安全認證,CISSP其實是涵蓋了信息安全的各個方面,著重突出了信息安全是由技術和管理構成的整體這一觀點,不單鞏固了和自己工作相關的Access Control、Operation Security 和Telecommunication & Network Security 三個CBK的知識,同時好好的補充了其他七個CBK的知識,也對CISSP認證所強調的整體安全和管理高於技術兩個觀點有了深刻的體會。學習CISSP,本身就是一個對學習者安全知識體系進行完善的過程。
從事職業
國外的情況,以美國為例,剛拿到CISSP認證的人,在企業中大多從事安全管理員、安全產品的開發或安全服務的具體執行工作,頭銜一般就是Security Administrator、Security Analyst或Security Engineer。隨著工作經驗的增加,CISSP會漸漸脫離具體的技術工作,轉而從事更偏重管理、處於企業中層的工作,比如安全產品開發團隊或安全服務團隊的領導、安全咨詢、安全培訓講師和安全部門經理等,頭銜則變為Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最後, CISSP會進入企業管理高層,管理整個企業的信息安全或IT,頭銜則變為Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。
國內的情況稍有不同,除了少部分CISSP做的是安全產品/服務的售前/售後和安全工程師外,有相當一部分CISSP是從事安全咨詢、培訓方面的工作,更多的是處於企業中高層管理的位置,讀者如果有興趣瞭解更詳細的情況的話,可以從(ISC)2官方站點上的Member Directory功能中查詢。