CISSP简介(相关)

网络信息安全在网络帝国中的热度正在急剧上升；在众多的IT企业和信息化程度较高的其他企业中，已经出现了专门从事企业信息安全服务的工程师，在一些企业内，网管员队伍中也分化出专门负责安全系统规划和维护的工程师。很多业内的专家都预测，在不久的将来，信息安全工程师将形成一个庞大的专业队伍。
2004年，新东方职业教育与 (ISC)2，即国际信息系统安全认证协会，达成合作，就其推出的国际权威安全认证C

网络信息安全在网络帝国中的热度正在急剧上升；在众多的IT企业和信息化程度较高的其他企业中，已经出现了专门从事企业信息安全服务的工程师，在一些企业内，网管员队伍中也分化出专门负责安全系统规划和维护的工程师。很多业内的专家都预测，在不久的将来，信息安全工程师将形成一个庞大的专业队伍。
2004年，新东方职业教育与 (ISC)2，即国际信息系统安全认证协会，达成合作，就其推出的国际权威安全认证CISSP达成授权培训合作。目前是新东方职业教育是 (ISC)2公司在北京第一家授权认证培训和考试机构。
说起(ISC)2和CISSP，很多人还比较陌生，这和信息安全行业的刚刚兴起、CISSP的专业性和高端性以及(ISC)2进入中国的时间不长有一定关系。
CISSP 全称Certified Information System Security Professional，信息系统安全认证专业人员，是由国际信息系统安全认证协会，即 (ISC)2)组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。(ISC)2)成立于1989年中期，总部设在北美，是一个独立的，非盈利性的组织，目的为管理信息安全专业认证人员。它从1992年开始推广CISSP的认证考试，并且很快得到了国际的高度认可。目前(ISC)2在全球各地举办CISSP考试，但在中国，仅在北京、上海、广州三地设有考点，虽然CISSP仅仅刚刚登陆中国，但势必成为近年内的热门认证。
很多大型国际企业都在近几年内设立了具有决策和管理权限的信息总监，并将信息安全部门的规划提到的议程上，具有CISSP认证的专业人士往往在就职这样的重要职位有得天独厚的优势。在国内号称“网络博士后”的CCIE(Cisco Certified Internet Export)，思科系统认证的互联网专家)也陆续转向这个领域，已经有不少CCIE专家们开始转向持有 CCIE&CISSP双证书。据相关数据表示，日前中国大陆拥有CISSP证书的人不过百人。从以上信息我们可以看到一个趋势：信息安全的发展潜力难以估量，CISSP的含金量尚无其他认证可出其右。



CISSP报考要求
　　 * 报考者必须具备至少4年的工作经验，若拥有大学本科学历，需要3年工作经验即可。工作经验应为CBK规定的10个知识域中的一个或多个范畴
　　 * 签署并承诺遵守(ISC)2制定的职业守则（Code of Ethics）
　　 * 支付450美元的报考费用，确定报考地点，参加长达6小时的CISSP考试
　　
　　CISSP资质的适合人员
　　 下列人员将非常适合进行CISSP认证：
　　 * 企业信息安全主管
　　 * 信息安全业内人士
　　 * IT或安全顾问人员
　　 * IT审计人员
　　 * 安全设备厂商或服务提供商
　　 * 信息安全类讲师或培训人员
　　 * 信息安全事件调查人员
　　 * 其他从事与信息安全相关工作的人员（如系统管理员、程序员、保安人员等）
　　
　　关于职业守则（Code of Ethics）
　　 (ISC)2要求每个考生在报考时签署并承诺遵守(ISC)2以下的职业守则，若违背守则，(ISC)2有权收回
　　CISSP资质：.保护社会、全体国民和国家基础设施（Protect society, the commonwealth, and the infrastructure）
　　 * 诚实、正直、公正、合理和合法的行为（Act honorably, honestly, justly, responsibly, and
　　 legally）
　　 * 对雇主提供勤勉和胜任的服务（Provide diligent and competent service to principals）
　　 * 发展和维护专家身份和荣誉（Advance and protect the profession）对于职业守则的理解，请参阅笔者翻译的《信息安全专业人员职业守则导读》
　　
　　CISSP考试
　　 CISSP考试的内容覆盖CBK的10个专业范畴，题目的范围很广但深度并不深。对于从事具体工作的专业人士，非常深入的掌握所有CBK覆盖的知识是不现实的，并不要求考生是每个安全领域经验丰富的专家，但应该对信息安全所覆盖的各个不同的知识点都必须了解。根据笔者的经验，CISSP考试对物理安全、法律和密码学部分不会出现非常深入的题目。CISSP的考试由250道单项选择题构成，目前只有英文试题，需要在6个小时内（上午9时至下午3时）完成，一般来说没有时间压力。题目来自(ISC)2的题库，每次考试题目都会有所变化，根据笔者的经验，每次考试的题目都会有所侧重当前的安全热点问题。在250道题目中只有225道题目计分，其余的25道题目是用于调查的目的，但这些题目并不明确的标注出来。通过成绩一般是答对计分的225题中的70%。
　　 考试的题型比较简介，缩写形式都会有注明，题目的设置是与厂商或操作系统无关的，不会出现基于某种具体应用（如Windows或UNIX）的问题。由于参加考试的前提是考生至少具备3年的工作经验，所以考试题目重视的是考核考生是否具备专业的实际经验。虽然书面知识对于理解理论、概念、标准和法规等非常重要，但不能取代处理实际问题的能力。
　　 CISSP考试的最大挑战就在于每个考生并非对于安全的10个范畴都熟悉。比如一个考生可能对安全测试和攻击手法非常精通，但他不一定熟悉物理安全、密码学或安全管理。为迎接考试而准备的学习，非常有助于拓展考生的安全知识领域。
　　
　　关于书面证明（Endorsement）
　　 自2002年6月起，将(ISC)2将考试和认证过程分开。在考生结束考试后两周至一个月的时间内将会收到来自(ISC)2的电子邮件，若未能通过考试，邮件将告知考生其实际的分数和CBK每个范畴的得分情况，以便于为下次考试作准备。
　　 若考生收到的邮件以祝贺（Congratulation）开头，那代表您已经通过分数线，但(ISC)2并不告知您获得的实际分数，同时邮件将附一份书面认可文件（endorsement）并要求您提供一份简历，该文件需要由CISSP、CISA、CPA或雇主签署，以证明您的简历符合实际情况。
　　 只有在将简历和书面认可文件寄回(ISC)2后（有5%左右的申请者将接受抽查），您才正式成为一名合格的CISSP。您将收到一份正式的证书和徽章，另外还包括一张方便携带的名片卡、(ISC)2网站的登陆ID和密码文件，同时你可以将自己的信息在(ISC)2网站上公布以及可以加入CISSP论坛。



想要通过CISSP认证考试，必须具备以下几个条件：
1、遵守（ISC）2的规章制度（详细内容可以参考www.isc2.org）。
　　
　　2、在信息系统安全CBK（Common Body of Knowledge）规定的10个考试领域中的一个或多个中工作3年以上。你可以是信息安全相关领域的从业者、审计员、咨询者、客户、投资商或教师，要求你在工作中直接应用信息系统安全知识。3年的实际工作可以是累加的。
　　
　　3、每3年需要重新认证，需要你在3年内获得120个Continuing Professional Education （CPE）信用分。
　　
　　只有具备了以上三个条件，你才能有资格参加CISSP的认证考试，是不是很苛刻呢？但门槛越高，意味着你将获得的能力也越高，付出和收获总是成正比的。
　　
　　另外，从2002年6月1日起，（ISC）2把取得CISSP的过程划分为两个步骤：认证和考试。通过考试之后，还必须取得第三方的认可才可以最终获得CISSP证书，第三方可以是参考者的雇主、或者是其他已获得认证的专业人士。这一举措增加了获得CISSP的难度，但也更明确了CISSP和其他安全认证的区别，保持了CISSP的权威性。