来自当知百科
跳转到: 导航搜索

目录

简介

  CISSP是一种反映信息系统安全专业人员水平的证书,可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力,目前已经得到了全球范围的广泛认可。

  CISSP认证考试由(ISC)2组织与管理,参加CISSP认证的人员需要遵守CISSP道德规范(Code of Ethics),同时要有在信息系统安全通用知识框架(CBK)的十个领域之中拥有最少2个范围的专业经验5年;或者4年的有关专业经验及拥有学士资格或ISC2认可的证书。此外,CISSP应考者还需要得到另外一位持有有效ISC2认证的专业人士推荐确认(Endorsement)。有效的推荐人指任何持有CISSP、SSCP及CAP的专业人士。

  随着全球性信息化的深入发展,信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等,由于Internet具有开放性、国际性和自由性等特点,因此为保护机密信息不受黑客和间谍的入侵及破坏,各系统对网络安全的问题日益重视,在此方面的投资比例亦日趋增大。为此,建立一套统一的标准,培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。CISSP正是为了满足此方面的需求发展而来,并在信息系统安全领域发挥了极为重要的作用。

历史起源

概述

  成立于1989年中期,总部设在北美,是一个独立的,非盈利性的组织,目的为管理信息安全专业认证人员。它从1992年开始推广CISSP的认证考试,并且很快得到了国际的高度认可。目前(ISC)2在全球各地举办CISSP考试,但在中国,仅在北京、上海、广州三地设有考点,虽然CISSP仅仅刚刚登陆中国,但势必成为近年内的热门认证。

  很多大型国际企业都在近几年内设立了具有决策和管理权限的信息总监,并将信息安全部门的规划提到的议程上,具有CISSP认证的专业人士往往在就职这样的重要职位有得天独厚的优势。在国内号称“网络博士后”的CCIE(Cisco Certified InternetExport),思科系统认证的互联网专家)也开始关注这个领域,并已经有部分CCIE专家们开始转向同时持有CCIE&CISSP双证书。

CISSP认证机构(ISC)2介绍

  (ISC)2是信息安全领域的顶级认证机构之一,成立于1989年,到现在已经给超过120个国家的五万多名安全专家授予了相关认证。(ISC)2目前提供如下6种认证:

  SSCP(SystemSecurityCertificatedPractitioner)认证系统安全实践者

  CAP(CertificationandAccreditationProfessional)认证和评估专家

  CISSP(CertificatedInformationSystemSecurityProfessional)认证信息系统安全专家

CISSP的升级版本

  CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional)信息系统安全架构专家

  CISSP-ISSMP(InformationSystemSecurityManagementProfessional)信息系统安全管理专家

  CISSP-ISSEP(InformationSystemSecurityEngineeringProfessional)信息系统安全工程专家

  (ISC)2同时也向公众提供信息安全方面的教育和咨询服务。

  (ISC)2提供的6种认证中,知名度最高和持有者人数最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人数最多的是美国,现有30385名,中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP,而且有一定的相关领域工作经验要求,所以在国内除了香港18名台湾4名持有者之外,大陆还没有持有者。至于(ISC)2较为低端的SSCP和CAP认证,由于其定位和考核内容的原因,在国际上的接受程度不高,所以除了美加两国外,其他国家的持有者都很少。

  CISSP认证是国际上最权威、最受认可的信息安全认证,它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层:CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。

认证条件

CISSP-条件

  想要通过CISSP认证考试,必须具备以下几个条件:

  1、遵守(ISC)2的规章制度(详细内容可以参考 www.isc2.org)。

  2、在信息系统安全CBK(Common Body ofKnowledge)规定的10个考试领域中最少2个范围的专业经验5年3、每3年需要重新认证,需要你在3年内获得120个ContinuingProfessional Education (CPE)信用分。

  只有具备了以上三个条件,你才能有资格参加CISSP的认证考试,是不是很苛刻呢?但门槛越高,意味着你将获得的能力也越高,付出和收获总是成正比的。

  另外,从2002年6月1日起,(ISC)2把取得CISSP的过程划分为两个步骤:认证和考试。通过考试之后,还必须取得第三方的认可才可以最终获得CISSP证书,第三方可以是参考者的雇主、或者是其他已获得认证的专业人士。这一举措增加了获得CISSP的难度,但也更明确了CISSP和其他安全认证的区别,保持了CISSP的权威性。

CISSP-报考要求

  报考者必须具备至少五年的工作经验,拥有大学本科学历,需要四年工作经验,研究生学历仍需四年工作经验。工作经验应为CBK规定的10个知识域中的一个或多个范畴

  签署并承诺遵守(ISC)2制定的职业守则(CodeofEthics)

  支付599美元的报考费用,确定报考地点,参加长达6小时的CISSP考试

CISSP-职业守则

  (ISC)2要求每个考生在报考时签署并承诺遵守(ISC)2以下的职业守则,若违背守则,(ISC)2有权收回

  CISSP资质:.保护社会、全体国民和国家基础设施(Protectsociety,thecommonwealth,andtheinfrastructure)

  诚实、正直、公正、合理和合法的行为(Acthonorably,honestly,justly,responsibly,and

  legally)

  对雇主提供勤勉和胜任的服务(Providediligentandcompetentservicetoprincipals)

  发展和维护专家身份和荣誉(Advanceandprotecttheprofession)对于职业守则的理解,请参阅《信息安全专业人员职业守则导读》

CISSP-书面证明

  自2002年6月起,将(ISC)2将考试和认证过程分开。在考生结束考试后两周至一个月的时间内将会收到来自(ISC)2的电子邮件,若未能通过考试,邮件将告知考生其实际的分数和CBK每个范畴的得分情况,以便于为下次考试作准备。

  若考生收到的邮件以祝贺(Congratulation)开头,那代表您已经通过分数线,但(ISC)2并不告知您获得的实际分数,同时邮件将附一份书面认可文件(endorsement)并要求您提供一份简历,该文件需要由CISSP、CISA、CPA或雇主签署,以证明您的简历符合实际情况。

  只有在将简历和书面认可文件寄回(ISC)2后(有5%左右的申请者将接受抽查),您才正式成为一名合格的CISSP。您将收到一份正式的证书和徽章,另外还包括一张方便携带的名片卡、(ISC)2网站的登陆ID和密码文件,同时你可以将自己的信息在(ISC)2网站上公布以及可以加入CISSP论坛。

为什么要获的CISSP认证

  信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象。但随着信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称为黑客,现在随便一个会用网络的再随便找些入侵工具也自称为黑客,技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。

  面对越来越严重的安全威胁,不单在IT技术领域,在各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验,保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情,并愿意为信息安全贡献自己的一份力量。此外,获得CISSP认证还有其他的好处,比如:

  1、 适应市场中越来越热的对信息安全人才的需求

  2、 增加对信息安全的知识和概念的理解

  3、 为当前的工作增加信息安全的理念

  4、 在日益激烈的职场竞争中增强自身优势

  5、 在薪水增长和职务提升上更有优势

  2004年(国内最早的CISSP之一)说起CISSP是国际上最权威的信息安全认证,CISSP其实是涵盖了信息安全的各个方面,着重突出了信息安全是由技术和管理构成的整体这一观点,不单巩固了和自己工作相关的AccessControl、Operation Security 和Telecommunication & NetworkSecurity三个CBK的知识,同时好好的补充了其他七个CBK的知识,也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP,本身就是一个对学习者安全知识体系进行完善的过程。

CISSP都从事什么工作

  国外的情况,以美国为例,刚拿到CISSP认证的人,在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作,头衔一般就是SecurityAdministrator、Security Analyst或SecurityEngineer。随着工作经验的增加,CISSP会渐渐脱离具体的技术工作,转而从事更偏重管理、处于企业中层的工作,比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等,头衔则变为SeniorSecurity Analyst/Engineer、Security Team Leader、SecurityConsultant、Security Manager等。最后,CISSP会进入企业管理高层,管理整个企业的信息安全或IT,头衔则变为Director of IT/Securitydepartment、Chief Security Officer或Chief Information SecurityOfficer。

  国内的情况稍有不同,除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外,有相当一部分CISSP是从事安全咨询、培训方面的工作,更多的是处于企业中高层管理的位置,读者如果有兴趣了解更详细的情况的话,可以从(ISC)2官方站点上的MemberDirectory功能中查询。

  最后说说大家最感兴趣的CISSP薪水问题,在此就借用(ISC)22006年度的官方报告来说一下,CISSP薪水水平的分布成金字塔型,职务越高薪水越高,人数也越少。还是以美国为例,2006年CISSP的平均年收入为:

  IT Administrator: $45000-$55000

  Information Security Administrator:$75000

  Security Analyst/Engineer:$80000

  Manager, Information Security : $100000

  CISO, CSO :$150000 及以上

  另外,国内和国外相同的一点是,拿到CISSP认证之后通常待遇都会有所提升。

个人工具
名字空间

变换
查看
操作
导航
工具箱