免费QQ咨询
CISSP认证是目前世界上最权威、最全面的国际化信息系统安全方面的认证。CISSP认证已成为IT行业的十大资质认证之一。目前,全球已经有13000多人通过CISSP 专业认证,其中亚洲区有3000多人,覆盖60多个国家和地区,其权威性得到了国际上企业、金融、学术、政府等多个行业的认可。在香港,政府部门、金融机构等已明确规定了他们的信息系统安全从业人员主管级以上的必须获得CISSP专业资格认证,目前香港已拥有800多名CISSP,而且参加考试的人士还在不断呈上升的趋势,而中国目前只有30多名,远远不能满足实际需求,CISSP 目前是中国紧缺之才,前景美好。
随着全球性信息化的深入发展,信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等,由于Internet具有开放性、国际性和自由性等特点,因此为保护机密信息不受黑客和间谍的入侵及破坏,各系统对网络安全的问题日益重视,在此方面的投资比例亦日趋增大。为此,建立一套统一的标准,培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。 CISSP(Certified Information Systems Security Professional,信息系统安全专业人员资格认证)正是为了满足此方面的需求发展而来,并在信息系统安全领域发挥了极为重要的作用。CISSP由国际信息系统安全认证协会(ISC)2组织和管理,(ISC)2在全世界各地举办考试,符合考试资格的人员在通过考试后被授予CISSP认证证书。
CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力,提升其专业可信度,并为企业和组织提供寻找专业人员的凭证依据,目前已经得到了全世界广泛的认可,在很多跨国公司的职位说明书上已经明确要求应聘者需要具备CISSP等相关资质。
国际信息系统安全认证协会(International Information Systems Security Certification Consortium),简称(ISC)2 ,于一九八九年由多个组织在北美共同设立,是一个全球性的非营利组织,其成立的宗旨是为信息安全行业发展出一套业界承认的标准,并致力于国际标准的信息安全专家和从业人员认证和培训,
◆维护一个关于信息安全的公共知识体系(Common Body of Knowledge)
◆依照一套国际性的信息安全标准来认证安全专家(CISSP)和从业者(SSCP)
◆ 管理培训和认证考试,并通过持续教育来确保证书的实效性目前(ISC)2颁发的证书有两种:
◆CISSP(Certified Information Systems Security Professional)SSCP(System Security Certified Practitioner)
◆(ISC)2于1995年在加拿大多伦市多举办第一次公开CISSP考试,截至2002年12月底全球有60多个国家的13,397人获得了CISSP证书。
(ISC)2 网址:http://www.isc2.org
CISSP认证要求信息系统安全从业人员对安全事项有广泛的认识。根据信息系统安全的共通知识CBK(Common Body of Knowledge),制订CISSP资格考试。
CBK是一门国际性的专业知识,由十个领域组成:
◆ 安全管理实务(Security Management Practices)
◆ 访问控制(Access Control Systems)
◆通信和网络安全(Telecommunications and Network Security)
◆ 密码学(Cryptography)
◆ 安全体系和模型(Security Architecture and Models)
◆运作安全(Operations Security)
◆ 应用程序与系统开发(Applications and Systems Development)
◆ 业务连续性计划与灾难恢复 (Business Continuity Planning and Disaster Recovery Planning)
◆ 法律、犯罪调查及道德规范(Law ,Investigations ,and Ethics)
◆物理安全(Physical Security)
CISSP考试的内容覆盖CBK的10个专业范畴,题目的范围很广但深度并不深。对于从事具体工作的专业人士,非常深入的掌握所有CBK覆盖的知识是不现实的,并不要求考生是每个安全领域经验丰富的专家,但应该对信息安全所覆盖的各个不同的知识点都必须了解。根据笔者的经验,CISSP考试对物理安全、法律和密码学部分不会出现非常深入的题目。
CISSP的考试由250道单项选择题构成,目前只有英文试题,需要在6个小时内(上午9时至下午3时)完成,一般来说没有时间压力。题目来自(ISC)2的题库,每次考试题目都会有所变化,根据笔者的经验,每次考试的题目都会有所侧重当前的安全热点问题。在250道题目中只有225道题目计分,其余的25道题目是用于调查的目的,但这些题目并不明确的标注出来。通过成绩一般是答对计分的225题中的70%。
考试的题型比较简介,缩写形式都会有注明,题目的设置是与厂商或操作系统无关的,不会出现基于某种具体应用(如Windows或UNIX)的问题。由于参加考试的前提是考生至少具备3年的工作经验,所以考试题目重视的是考核考生是否具备专业的实际经验。虽然书面知识对于理解理论、概念、标准和法规等非常重要,但不能取代处理实际问题的能力。
CISSP考试的最大挑战就在于每个考生并非对于安全的10个范畴都熟悉。比如一个考生可能对安全测试和攻击手法非常精通,但他不一定熟悉物理安全、密码学或安全管理。为迎接考试而准备的学习,非常有助于拓展考生的安全知识领域。
1、签署及遵守(ISC)2的道德规范(Code of Ethics)
2、在CBK的10个领域中的一个或以上最少具备三年经验
为保持其资格,CISSP持有人须每三年获取120个持续专业教育(Continuing Professional Education)的学分, 或者重新参加考试。
考试、报名日程
由各授权考试中心计划,向ISC2申请安排,基本上每年举行5次。
CISSP CBK培训
CISSP CBK培训为业界最理想的CISSP考试辅导课程,课程是为期5天的密集式课程,涵盖CBK的十个领域,每个范围都设计信息安全的若干方面。培训教材根据信息安全专业的实践制定,其中包括妥善的运作实务及国际考虑因素。
◆企业信息安全主管
◆信息安全业内人士
◆IT或安全顾问人员
◆IT审计人员
◆安全设备厂商或服务提供商
◆信息安全类讲师或培训人员
◆ 信息安全事件调查人员
◆其他从事与信息安全相关工作的人员(如系统管理员、程序员、保安人员等)
