基本簡介
CISSP是一種反映
信息系統安全專業人員水平的證書,可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力,已經得到了全球範圍的廣泛認可。
CISSP認證考試由 (ISC)2 組織與管理,參加CISSP認證的人員需要遵守CISSP 道德規範(Code of Ethics),同時要有在信息系統安全通用知識框架(CBK)的十個領域之中擁有最少2個範圍的專業經驗5年;或者4年的有關專業經驗及擁有學士資格或ISC2認可的證書。此外,CISSP應考者還需要得到另外一位持有有效ISC2認證的專業人士推薦確認(Endorsement)。有效的推薦人指任何持有CISSP、SSCP及CAP的專業人士。
隨著全球性信息化的深入發展,信息網路技術已廣泛套用到企業商務系統、金融業務系統、政府部門信息系統等,由於Internet具有開放性、國際性和自由性等特點,因此為保護機密信息不受黑客和間諜的入侵及破壞,各系統對網路安全的問題日益重視,在此方面的投資比例亦日趨增大。為此,建立一套統一的標準,培養合格的
信息安全專業人員來應付網路安全的需要顯得尤為迫切。CISSP正是為了滿足此方面的需求發展而來,並在信息系統安全領域發揮了極為重要的作用。
歷史起源
(ISC)2 “讀作ISC-squared”成立於1989年,是致力於為信息和軟體安全專業人士整個職業生涯提供教育及認證服務的全球性非營利組織,總部位於美國,分別在倫敦、香港、東京及北京設有辦公室。(ISC)2 的認證在全球被譽為信息安全認證的“金牌標準”,(ISC)2 的頂尖教育計畫享譽全球。
(ISC)2 為超過160個國家的信息和軟體安全從業人員提供廠商中立的教育產品、職業服務和金牌認證。(ISC)2為建立在信任、誠信、專業基礎之上的良好聲譽引以為豪,為(ISC)2 的認證會員感到驕傲 – 一個由超過10萬名業界認證會員組成的全球精英人脈網路。
(ISC)2 中國辦公室(即 (ISC)2 授權中國代理)於2013 年7月在北京成立,全面負責(ISC)2 認證業務在中國的發展和規劃,包括全球知名的CISSP,以及CSSLP®、CCFPSM、SSCP®、CAP®、CISSP-ISSEP®、CISSP-ISSAP®、CISSP-ISSMP®,HCISPPSM等,其它業務還包括發展中國分會計畫、授權講師計畫、官方授權培訓服務提供商(OTP)計畫、及保護青少年上網安全計畫(SSO)等, 冀為中國區 (ISC)2會員以及信息安全專業人士帶來更多便利及增值服務。
(ISC)2 於1994年開始推廣CISSP的認證考試,並且很快得到了國際的高度認可。(ISC)2 在全球各地舉辦CISSP考試,但在中國,僅在北京、上海、廣州三地設有考點,雖然CISSP剛剛登入中國,但勢必成為的熱門認證。
很多大型國際企業都在近幾年內設立了具有決策和管理許可權的信息總監,並將信息安全部門的規劃提到的議程上,具有CISSP認證的專業人士往往在就職這樣的重要職位有得天獨厚的優勢。
(ISC)2 是信息安全領域的頂級認證機構之一,成立於1989年,已經給超過160個國家的100,000多名安全專家授予了相關認證。
截止2013年11月,(ISC)2 已推出以下9項信息安全認證:
(ISC)2 註冊信息系統安全師(CISSP®)
(ISC)2 註冊軟體生命周期安全師(CSSLP®)
(ISC)2 註冊網路取證師(CCFPSM)
(ISC)2 註冊信息安全許可師(CAP®)
(ISC)2 註冊系統安全員(SSCP®)
(ISC)2 醫療信息與隱私安全員 (HCISPPSM)
CISSP 專項加強認證:
CISSP-ISSAP (Information Systems Security Architecture Professional) 信息系統安全架構專家
CISSP-ISSEP(Information Systems Security Engineering Professional)信息系統安全工程專家
CISSP-ISSMP(Information System Security Management Professional)信息系統安全管理專家
要獲得CISSP-ISSAP, CISSP-ISSEP 或 CISSP-ISSMP 認證, CISSP 持證者必須在保持其證書有效性的基礎上,通過相應的專項考試, 每一專業領域認證均有其相應的CBK領域。認可CISSP持證者具有的某些專項才能,適用於大型企業中對職位要求更高的高端人才。
(ISC)2同時也向公眾提供信息安全方面的教育和諮詢服務。
(ISC)2提供的9種認證中,知名度最高和持有者人數最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人數最多的是美國,現有30385名,中國大陸有371名。因為CISSP的升級版本ISSAP和ISSMP要求考試的報名者必須是CISSP,而且有一定的相關領域工作經驗要求,所以在國內除了香港18名台灣4名持有者之外,大陸還沒有持有者。至於(ISC)2 較為低端的SSCP和CAP認證,由於其定位和考核內容的原因,在國際上的接受程度不高,所以除了美加兩國外,其他國家的持有者都很少。
CISSP認證是國際上最權威、最受認可的
信息安全認證,它同時也是信息安全領域第一個通過 ISO/IEC 17024 標準的認證。CISSP主要的認證對象為在企業處於中高層:CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高級安全工程師的信息安全專家。
認證條件
想要通過CISSP認證考試,必須具備以下幾個條件:
1、遵守(ISC)2的規章制度。
2、在信息系統安全CBK(Common Body of Knowledge)規定的8個考試領域中最少2個範圍的專業經驗5年。
3、每3年需要重新認證,需要你在3年內獲得120個Continuing Professional Education (CPE)信用分。
只有具備了以上三個條件,你才能有資格參加CISSP的認證考試,是不是很苛刻呢?但門檻越高,意味著你將獲得的能力也越高,付出和收穫總是成正比的。
另外,從2002年6月1日起,(ISC)2把取得CISSP的過程劃分為兩個步驟:認證和考試。通過考試之後,還必須取得第三方的認可才可以最終獲得CISSP證書,第三方可以是參考者的僱主、或者是其他已獲得認證的專業人士。這一舉措增加了獲得CISSP的難度,但也更明確了CISSP和其他安全認證的區別,保持了CISSP的權威性。
報考要求
報考者必須具備至少五年的工作經驗,擁有大學本科學歷,需要四年工作經驗,研究生學歷仍需四年工作經驗。工作經驗應為CBK規定的8個知識域中的2個或多個範疇
簽署並承諾遵守(ISC)2制定的職業守則(Code of Ethics)
支付699美元的報考費用,確定報考地點,參加長達6小時的CISSP考試
職業守則
(ISC)2要求每個考生在報考時簽署並承諾遵守(ISC)2以下的職業守則,若違背守則,(ISC)2有權收回
CISSP資質:.保護社會、全體國民和國家基礎設施(Protectsociety,thecommonwealth,andtheinfrastructure)
誠實、正直、公正、合理和合法的行為(Acthonorably,honestly,justly,responsibly,and
legally)
對僱主提供勤勉和勝任的服務(Providediligentandcompetentservicetoprincipals)
發展和維護專家身份和榮譽(Advanceandprotecttheprofession)對於職業守則的理解,請參閱《信息安全專業人員職業守則導讀》
書面證明
自2002年6月起,將(ISC)2將考試和認證過程分開。在考生結束考試後立即知道考試成績,若未能通過考試,郵件將告知考生其實際的分數和CBK每個範疇的得分情況,以便於為下次考試作準備。
若考生收到的郵件以祝賀(Congratulation)開頭,那代表您已經通過分數線,但(ISC)2並不告知您獲得的實際分數,同時郵件將附一份書面認可檔案(endorsement)並要求您提供一份簡歷,該檔案需要由CISSP、CISA、CPA或僱主簽署,以證明您的簡歷符合實際情況。
只有在將簡歷和書面認可檔案寄回(ISC)2後(有5%左右的申請者將接受抽查),您才正式成為一名合格的CISSP。您將收到一份正式的證書和徽章,另外還包括一張方便攜帶的名片卡、(ISC)2網站的登入ID和密碼檔案,同時你可以將自己的信息在(ISC)2網站上公布以及可以加入CISSP論壇。
認證原因
信息安全是一個相對的概念,在安全威脅很低的情況下,安全專家通常是被人們所遺忘的對象。但隨著信息技術的發展,當年只有精通系統和網路底層,推動技術進步的高手才能被稱為黑客,隨便一個會用網路的再隨便找些入侵工具也自稱為黑客,技術門檻的降低和對技術的追求轉化為對金錢的追逐——越來越多的入侵事件、
惡意軟體的傳播、還有時不時出現在媒體上的高智商犯罪等就是這些所謂“後起之秀”的傑作。
面對越來越嚴重的安全威脅,不單在IT技術領域,在各行業的企業組織都越來越意識到信息安全的重要性,但單純依靠技術方案來並不能解決如何保護企業信息資產的問題,所以市場對專業的信息安全人才的需求也在隨之大大增加。而CISSP則可以證明持有者掌握國際公認的信息安全知識和標準、並擁有豐富的安全從業經驗,保持CISSP認證的有效性還可以顯示持有者對信息安全的發展和技術進步有很高的熱情,並願意為信息安全貢獻自己的一份力量。此外,獲得CISSP認證還有其他的好處,比如:
1、 適應市場中越來越熱的對信息安全人才的需求
2、 增加對信息安全的知識和概念的理解
3、 為當前的工作增加信息安全的理念
4、 在日益激烈的職場競爭中增強自身優勢
5、 在薪水增長和職務提升上更有優勢
2004年(國內最早的CISSP之一)說起CISSP是國際上最權威的信息安全認證,CISSP其實是涵蓋了信息安全的各個方面,著重突出了信息安全是由技術和管理構成的整體這一觀點,不單鞏固了和自己工作相關的Access Control、Operation Security 和Telecommunication & Network Security 三個CBK的知識,同時好好的補充了其他七個CBK的知識,也對CISSP認證所強調的整體安全和管理高於技術兩個觀點有了深刻的體會。學習CISSP,本身就是一個對學習者安全知識體系進行完善的過程。
從事職業
國外的情況,以美國為例,剛拿到CISSP認證的人,在企業中大多從事安全管理員、安全產品的開發或安全服務的具體執行工作,頭銜一般就是Security Administrator、Security Analyst或Security Engineer。隨著工作經驗的增加,CISSP會漸漸脫離具體的技術工作,轉而從事更偏重管理、處於企業中層的工作,比如安全產品開發團隊或安全服務團隊的領導、安全諮詢、安全培訓講師和安全部門經理等,頭銜則變為Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最後, CISSP會進入企業管理高層,管理整個企業的信息安全或IT,頭銜則變為Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。
國內的情況稍有不同,除了少部分CISSP做的是安全產品/服務的售前/售後和安全工程師外,有相當一部分CISSP是從事安全諮詢、培訓方面的工作,更多的是處於企業中高層管理的位置,讀者如果有興趣了解更詳細的情況的話,可以從(ISC)2官方站點上的Member Directory功能中查詢。
最後說說大家最感興趣的CISSP薪水問題,在此就借用(ISC)
2 2006年度的官方報告來說一下,CISSP薪水水平的分布成
金字塔型,職務越高薪水越高,人數也越少。還是以美國為例,2006年CISSP的平均年收入為:
IT Administrator: $45000-$55000
Information Security Administrator:$75000
Security Analyst/Engineer:$80000
Manager, Information Security : $100000
CISO, CSO :$150000 及以上
另外,國內和國外相同的一點是,拿到CISSP認證之後通常待遇都會有所提升。
中文考試
2016年全年CISSP考試時間安排
1、北京
Pearson Professional Centers - Beijing
北京,中國
海淀區首體南路6號新世紀飯店寫字樓11層1153室
2016年1月21,28日
2月3日
3月4,11,18,25日
4月7,14,21日
5月6日
6月1,16日
7月4,11,21日
8月25,31日
9月23日
10月20日
11月14日
12月5,12,16,19,26日
2、廣州
Pearson Professional Centers - Guangzhou
廣州,中國
越秀區中山六路218-222號捷泰廣場1904室
2016年1月21,28
2月2日
3月4,11,18,25日
4月7,14,21日
7月1,15,22,29日
8月31日
3、上海北
Pearson Professional Centers - Shanghai North
上海,中國
黃埔區漢口路650號亞洲大廈17層1701室
2016年1月14,21,28日
2月1,15,22,29日
3月7,14,21,28日
4月7,14,21日
4、上海南
Pearson Professional Centers - Shanghai South
上海/中國
徐匯區天鑰橋路333號騰飛大廈8層805室
2016年1月7,14,21,28日
2月3日
3月4,11,18,25日
4月7,14,21日
5月10,24,31日
6月6,13,20,27日
7月1,8,15,22日
8月5,12,19,26日
9月2,9,23,30日
第一次考試如不過,需等待30天以後選擇第二次考試
第二次考試如不過,需等待90天以後選擇第三次考試
第三次考試如不過,需等待180天以後選擇第四考試
2015年起CISSP認證的考核的CBK方向從原來的十個改為了八個,分別是:
· 安全與風險管理 (安全、風險、合規、法律、法規、業務連續性)
· 資產安全 (保護資產的安全性)
· 安全工程 (安全工程與管理)
· 通信與網路安全 (設計和保護網路安全 )
· 身份與訪問管理 (訪問控制和身份管理 )
· 安全評估與測試 (設計、執行和分析安全測試)
· 安全運營 (基本概念、調查、事件管理、災難恢復)
· 軟體開發安全 (理解、套用、和實施軟體安全)
補充說明:
· 新版考試知識域的內容偏向於新威脅、新技術和法律法規;
· 知識域也從原來的信息安全知識的傳遞轉向於具體的信息安全工作實踐;
· 知識域新增了兩個:資產安全、安全評估和測試(其他的領域做了整合,見附屬檔案);
· 考試過程中還是不會考具體某家廠商的技術和產品,但是會考國際標準(ISO27001、TCP/IP等)
· 新版考試的時間:英語從今年4月15日開始,中文從2015年7月1日開始;
推薦資料