目录 |
CISSP英文全称:“ Certified Information Systems Security Professional”,中文全称:“(ISC)²注册信息系统安全专家”,由(ISC)²组织和管理,是目前全球范围内最权威,最专业,最系统的信息安全认证。
CISSP是一种反映信息系统安全专业人员水平的证书,可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力,已经得到了全球范围的广泛认可。
CISSP认证考试由 (ISC)² 组织与管理,参加CISSP认证的人员需要遵守CISSP 道德规范(Code of Ethics),同时要有在信息系统安全通用知识框架(CBK)的十个领域之中拥有最少2个范围的专业经验5年;或者4年的有关专业经验及拥有学士资格或ISC2认可的证书。此外,CISSP应考者还需要得到另外一位持有有效ISC2认证的专业人士推荐确认(Endorsement)。有效的推荐人指任何持有CISSP、SSCP及CAP的专业人士。
随着全球性信息化的深入发展,信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等,由于Internet具有开放性、国际性和自由性等特点,因此为保护机密信息不受黑客和间谍的入侵及破坏,各系统对网络安全的问题日益重视,在此方面的投资比例亦日趋增大。为此,建立一套统一的标准,培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。CISSP正是为了满足此方面的需求发展而来,并在信息系统安全领域发挥了极为重要的作用。
(ISC)²“读作ISC-squared”成立于1989年,是致力于为信息和软件安全专业人士整个职业生涯提供教育及认证服务的全球性非营利组织,总部位于美国,分别在伦敦、香港、东京及北京设有办公室。(ISC)² 的认证在全球被誉为信息安全认证的“金牌标准”,(ISC)² 的顶尖教育计划享誉全球。
(ISC)² 为超过170个国家的信息和软件安全从业人员提供厂商中立的教育产品、职业服务和金牌认证。
(ISC)²为建立在信任、诚信、专业基础之上的良好声誉引以为豪,为(ISC)² 的认证会员感到骄傲 – 一个由超过10万名业界认证会员组成的全球精英人脉网络。
(ISC)² 中国办公室(即 (ISC)² 授权中国代理)于2013 年7月在北京成立,全面负责(ISC)² 认证业务在中国的发展和规划,包括全球知名的CISSP,以及CSSLP®、CCFPSM、SSCP®、CAP®、CISSP-ISSEP®、CISSP-ISSAP®、CISSP-ISSMP®,HCISPPSM等,其它业务还包括发展中国分会计划、授权讲师计划、官方授权培训服务提供商(OTP)计划、及保护青少年上网安全计划(SSO)等, 冀为中国区 (ISC)²会员以及信息安全专业人士带来更多便利及增值服务。
(ISC)² 于1994年开始推广CISSP的认证考试,并且很快得到了国际的高度认可。(ISC)² 在全球各地举办CISSP考试,但在中国,仅在北京、上海、广州三地设有考点,虽然CISSP刚刚登陆中国,但势必成为的热门认证。
很多大型国际企业都在近几年内设立了具有决策和管理权限的信息总监,并将信息安全部门的规划提到的议程上,具有CISSP认证的专业人士往往在就职这样的重要职位有得天独厚的优势。
(ISC)² 是信息安全领域的顶级认证机构之一,成立于1989年,已经给超过160个国家的100,000多名安全专家授予了相关认证。
截止2013年11月,(ISC)² 已推出以下9项信息安全认证:
要获得CISSP-ISSAP, CISSP-ISSEP 或 CISSP-ISSMP 认证, CISSP 持证者必须在保持其证书有效性的基础上,通过相应的专项考试, 每一专业领域认证均有其相应的CBK领域。认可CISSP持证者具有的某些专项才能,适用于大型企业中对职位要求更高的高端人才。
(ISC)²同时也向公众提供信息安全方面的教育和咨询服务。
(ISC)²提供的9种认证中,知名度最高和持有者人数最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人数最多的是美国,现有30385名,中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP,而且有一定的相关领域工作经验要求,所以在国内除了香港18名台湾4名持有者之外,大陆还没有持有者。至于(ISC)² 较为低端的SSCP和CAP认证,由于其定位和考核内容的原因,在国际上的接受程度不高,所以除了美加两国外,其他国家的持有者都很少。
CISSP认证是国际上最权威、最受认可的信息安全认证,它同时也是信息安全领域第一个通过 ISO/IEC 17024 标准的认证。CISSP主要的认证对象为在企业处于中高层:CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。
认证条件
想要通过CISSP认证考试,必须具备以下几个条件:
1、遵守(ISC)²的规章制度。
2、在信息系统安全CBK(Common Body of Knowledge)规定的8个考试领域中最少2个范围的专业经验5年。
3、每3年需要重新认证,需要你在3年内获得120个Continuing Professional Education (CPE)信用分。
只有具备了以上三个条件,你才能有资格参加CISSP的认证考试,是不是很苛刻呢?但门槛越高,意味着你将获得的能力也越高,付出和收获总是成正比的。
另外,从2002年6月1日起,(ISC)²把取得CISSP的过程划分为两个步骤:认证和考试。通过考试之后,还必须取得第三方的认可才可以最终获得CISSP证书,第三方可以是参考者的雇主、或者是其他已获得认证的专业人士。这一举措增加了获得CISSP的难度,但也更明确了CISSP和其他安全认证的区别,保持了CISSP的权威性。
报考要求
报考者必须具备至少五年的工作经验,拥有大学本科学历,需要四年工作经验,研究生学历仍需四年工作经验。工作经验应为CBK规定的8个知识域中的2个或多个范畴
签署并承诺遵守(ISC)²制定的职业守则(Code of Ethics)
支付699美元的报考费用,确定报考地点,参加长达6小时的CISSP考试(自2017年12月18日起英文考试采用计算机自适应考试(CAT)形式),非英语考试采用线型固定形式。
职业守则
(ISC)²要求每个考生在报考时签署并承诺遵守(ISC)²以下的职业守则,若违背守则,(ISC)²有权收回
CISSP资质:.保护社会、全体国民和国家基础设施(Protectsociety,thecommonwealth,andtheinfrastructure)
诚实、正直、公正、合理和合法的行为(Acthonorably,honestly,justly,responsibly,and legally)
对雇主提供勤勉和胜任的服务(Providediligentandcompetentservicetoprincipals)
发展和维护专家身份和荣誉(Advanceandprotecttheprofession)对于职业守则的理解,请参阅《信息安全专业人员职业守则导读》
书面证明
自2002年6月起,将(ISC)²将考试和认证过程分开。在考生结束考试后立即知道考试成绩,若未能通过考试,邮件将告知考生其实际的分数和CBK每个范畴的得分情况,以便于为下次考试作准备。
若考生收到的邮件以祝贺(Congratulation)开头,那代表您已经通过分数线,但(ISC)²并不告知您获得的实际分数,同时邮件将附一份书面认可文件(endorsement)并要求您提供一份简历,该文件需要由CISSP、CISA、CPA或雇主签署,以证明您的简历符合实际情况。
只有在将简历和书面认可文件寄回(ISC)²后(有5%左右的申请者将接受抽查),您才正式成为一名合格的CISSP。您将收到一份正式的证书和徽章,另外还包括一张方便携带的名片卡、(ISC)²网站的登陆ID和密码文件,同时你可以将自己的信息在(ISC)²网站上公布以及可以加入CISSP论坛。
认证原因
信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象。但随着信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称为黑客,随便一个会用网络的再随便找些入侵工具也自称为黑客,技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。
面对越来越严重的安全威胁,不单在IT技术领域,在各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验,保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情,并愿意为信息安全贡献自己的一份力量。此外,获得CISSP认证还有其他的好处,比如:
1、 适应市场中越来越热的对信息安全人才的需求
2、 增加对信息安全的知识和概念的理解
3、 为当前的工作增加信息安全的理念
4、 在日益激烈的职场竞争中增强自身优势
5、 在薪水增长和职务提升上更有优势
2004年(国内最早的CISSP之一)说起CISSP是国际上最权威的信息安全认证,CISSP其实是涵盖了信息安全的各个方面,着重突出了信息安全是由技术和管理构成的整体这一观点,不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识,同时好好的补充了其他七个CBK的知识,也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP,本身就是一个对学习者安全知识体系进行完善的过程。
从事职业
国外的情况,以美国为例,刚拿到CISSP认证的人,在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作,头衔一般就是Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加,CISSP会渐渐脱离具体的技术工作,转而从事更偏重管理、处于企业中层的工作,比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等,头衔则变为Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后, CISSP会进入企业管理高层,管理整个企业的信息安全或IT,头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。
国内的情况稍有不同,除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外,有相当一部分CISSP是从事安全咨询、培训方面的工作,更多的是处于企业中高层管理的位置,读者如果有兴趣了解更详细的情况的话,可以从(ISC)2官方站点上的Member Directory功能中查询。