南寧市信息網絡安全協會
電 話:0771-5873886
地 址:南寧市青秀區長湖路24號浩天廣場
一、CISSP介紹
CISSP是(Certification forInformation System Security Pro Fessional信息系統安全認證專家)的縮寫,一種反映信息系統安全從業人員水平的證書,CISSP可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力,目前已經得到了全世界廣泛的認可,CISSP(Certified Information System Security Professional信息系統安全認證專業人員)是一種反映信息系統安全從業人員資質水平的證書,它可為從事信息安全領域工作的人士提高專業資歷提供新的機會和更大便利。CISSP認證考試由(ISC)2組織與管理,參加CISSP認證的人員需要遵守CISSP 道德規范(Code of Ethics),同時要有在信息系統安全通用知識框架(CBK)的十個領域之中的一個或一個以上領域中具有最少3年的直接工作經驗。
參考網址:
http://www.cissps.com/
http://www.gocertify.com
http://nsfiner.suyao.com
二、CISSP認證機構(ISC)2介紹
(ISC)2是信息安全領域的頂級認證機構之一,成立于1989年,到現在已經給超過120個國家的五萬多名安全專家授予了相關認證。(ISC)2目前提供如下6種認證:
SSCP(SystemSecurityCertificatedPractitioner)認證系統安全實踐者
CAP(CertificationandAccreditationProfessional)認證和評估專家
CISSP(CertificatedInformationSystemSecurityProfessional) 認證信息系統安全專家
CISSP的升級版本
CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系統安全架構專家
CISSP-ISSMP(InformationSystemSecurityManagementProfessional)信息系統安全管理專家
CISSP-ISSEP(InformationSystemSecurityEngineeringProfessional)信息系統安全工程專家
(ISC)2同時也向公眾提供信息安全方面的教育和咨詢服務。
(ISC)2提供的6種認證中,知名度最高和持有者人數最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人數最多的是美國,現有30385名,中國大陸有371名。因為CISSP的升級版本ISSAP和ISSMP要求考試的報名者必須是CISSP,而且有一定的相關領域工作經驗要求,所以在國內除了香港18名臺灣4名持有者之外,大陸還沒有持有者。至于(ISC)2較為低端的SSCP和CAP認證,由于其定位和考核內容的原因,在國際上的接受程度不高,所以除了美加兩國外,其他國家的持有者都很少。
CISSP認證是國際上最權威、最受認可的信息安全認證,它同時也是信息安全領域第一個通過ISO17024:2003標準的認證。CISSP主要的認證對象為在企業處于中高層:CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高級安全工程師的信息安全專家。
三、為什么要獲的CISSP認證
信息安全是一個相對的概念,在安全威脅很低的情況下,安全專家通常是被人們所遺忘的對象。但隨著信息技術的發展,當年只有精通系統和網絡底層,推動技術進步的高手才能被稱為黑客,現在隨便一個會用網絡的再隨便找些入侵工具也自稱為黑客,技術門檻的降低和對技術的追求轉化為對金錢的追逐——越來越多的入侵事件、惡意軟件的傳播、還有時不時出現在媒體上的高智商犯罪等就是這些所謂“后起之秀”的杰作。面對越來越嚴重的安全威脅,不單在IT技術領域,在各行業的企業組織都越來越意識到信息安全的重要性,但單純依靠技術方案來并不能解決如何保護企業信息資產的問題,所以市場對專業的信息安全人才的需求也在隨之大大增加。而CISSP則可以證明持有者掌握國際公認的信息安全知識和標準、并擁有豐富的安全從業經驗,保持CISSP認證的有效性還可以顯示持有者對信息安全的發展和技術進步有很高的熱情,并愿意為信息安全貢獻自己的一份力量。此外,獲得CISSP認證還有其他的好處,比如:
1、 適應市場中越來越熱的對信息安全人才的需求
2、 增加對信息安全的知識和概念的理解
3、 為當前的工作增加信息安全的理念
4、 在日益激烈的職場競爭中增強自身優勢
5、 在薪水增長和職務提升上更有優勢
2004年(國內最早的CISSP之一)說起CISSP是國際上最權威的信息安全認證,CISSP其實是涵蓋了信息安全的各個方面,著重突出了信息安全是由技術和管理構成的整體這一觀點,不單鞏固了和自己工作相關的Access Control、Operation Security 和Telecommunication & Network Security 三個CBK的知識,同時好好的補充了其他七個CBK的知識,也對CISSP認證所強調的整體安全和管理高于技術兩個觀點有了深刻的體會。學習CISSP,本身就是一個對學習者安全知識體系進行完善的過程。
CISSP都從事什么工作?
國外的情況,以美國為例,剛拿到CISSP認證的人,在企業中大多從事安全管理員、安全產品的開發或安全服務的具體執行工作,頭銜一般就是Security Administrator、Security Analyst或Security Engineer。隨著工作經驗的增加,CISSP會漸漸脫離具體的技術工作,轉而從事更偏重管理、處于企業中層的工作,比如安全產品開發團隊或安全服務團隊的領導、安全咨詢、安全培訓講師和安全部門經理等,頭銜則變為Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后, CISSP會進入企業管理高層,管理整個企業的信息安全或IT,頭銜則變為Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。
國內的情況稍有不同,除了少部分CISSP做的是安全產品/服務的售前/售后和安全工程師外,有相當一部分CISSP是從事安全咨詢、培訓方面的工作,更多的是處于企業中高層管理的位置,讀者如果有興趣了解更詳細的情況的話,可以從(ISC)2官方站點上的Member Directory功能中查詢。
最后說說大家最感興趣的CISSP薪水問題,在此就借用(ISC)2 2006年度的官方報告來說一下,CISSP薪水水平的分布成金字塔型,職務越高薪水越高,人數也越少。還是以美國為例,2006年CISSP的平均年收入為:
IT Administrator: $45000-$55000
Information Security Administrator:$75000
Security Analyst/Engineer:$80000
Manager, Information Security : $100000
CISO, CSO :$150000 及以上
另外,國內和國外相同的一點是,拿到CISSP認證之后通常待遇都會有所提升。
四、參考條件
參加CISSP認證考試,必須具備以下幾個條件:
CISSP的道德守則就是要求CISSP有誠實的品質,大家按自己的真實情況進行填寫即可。
a、遵守(ISC)2的規章制度(詳細內容可以參考www.isc2.org)。
b、在信息系統安全CBK(Common Body of Knowledge)規定的10個考試領域中的一個或多個中工作3年以上。你可以是信息安全相關領域的從業者、審計員、咨詢者、客戶、投資商或教師,要求你在工作中直接應用信息系統安全知識。3年的實際工作可以是累加的。
c、每3年需要重新認證,需要你在3年內獲得120個Continuing Professional Education (CPE)信用分。
d、關于英語:對于非英語國家的考試,CISSP的考試是允許考生攜帶不含夾帶或標注的字典。根據筆者的觀察,國內考生未能通過考試的很大一部分原因在于英語基礎薄弱,一方面未能準確理解題目,另一方面造成做題速度慢而影響水平的發揮。雖然在某些考試時允許使用無存儲功能的電子翻譯器(如文曲星),但扎實的英語基礎和豐富的專業英語詞匯是順利通過考試的一個重要條件。如果讀者對CISSP認證很有興趣,但工作經驗又達不到(ISC)2的要求,怎么辦? 不要氣餒,(ISC)2專門為這種情況的考試者設立了一個稱為“Associate of (ISC)2”的頭銜,考試者在通過CISSP考試,在實際工作中積累足夠年限的工作經驗,便可向(ISC)2申請升級為正式的CISSP。
e、不過要注意(ISC)2在五月份修改了CISSP認證考試對報名者的工作經驗要求,從2007年的10月1日開始,原來的4年全職工作經驗要求增加到5年,工作中要涉及到的CBK數目的要求則從至少一個增加為至少兩個。報名者依然可以通過學歷和認證證書來減少1年的工作經驗要求,認證證書列表和年限放寬的限制和原來一樣。
CISSP認證考試的報名者在填寫報名表之前,還需要同意(ISC)2的認證考試的付款、退款、重付款的規則和考試保密協議及試卷的版權協議,還有最重要的,(ISC)2的CISSP道德準則(Code of Ethic)。另外,報名者在填寫報名表時,還需要回答4個關于是否有犯罪記錄背景的問題。
f、從2002年6月1日起,(ISC)2把取得CISSP的過程劃分為兩個步驟:認證和考試。通過考試之后,還必須取得第三方的認可才可以最終獲得CISSP證書,第三方可以是參考者的雇主、或者是其他已獲得認證的專業人士。這一舉措增加了獲得CISSP的難度,但也更明確了CISSP和其他安全認證的區別,保持了CISSP的權威性。