CISSP 認證

簡介

CISSP證書樣本

(ISC)2)

(ISC)2)成立於1989年中期，總部設在北美，是一個獨立的，非盈利性的組織，目的為管理信息安全專業認證人員。它從1992年開始推廣CISSP的認證考試，並且很快得到了國際的高度認可。目前(ISC)2在全球各地舉辦CISSP考試，但在中國，僅在北京、上海、廣州三地設有考點。

ISC)2是一個全球性的非盈利性組織,它有四個主要的任務目標:
*維護信息系統安全領域的通用知識體系；

*為信息系統安全專業人士和從業者提供認證；

*從事認證考試的培訓和對認證考試進行的管理；

*通過連續教育培訓，對有資格的認證候選人的授權工作進行管理。

(ISC)2由董事會運作，董事會成員從經過認證的從業者中按級別進行選舉。有關(ISC)2更多信息，可以從網站www.isc2.org中獲得。

含金量

很多大型國際企業都在近幾年內設立了具有決策和管理許可權的信息總監，並將信息安全部門的規劃提到的議程上，具有CISSP認證的專業人士往往在就職這樣的重要職位有得天獨厚的優勢。在國內號稱“網路博士後”CCIE(CiscoCertifiedInternetExport)，思科系統認證的網際網路專家)也陸續轉向這個領域，已經有不少CCIE專家們開始轉向持有CCIE&CISSP雙證書。據相關數據表示，日前中國大陸擁有CISSP證書的人不過百人。從以上信息我們可以看到一個趨勢：信息安全的發展潛力難以估量，CISSP的含金量尚無其他認證可出其右。

提供6種認證

SSCP（SystemSecurityCertificatedPractitioner）認證系統安全實踐者

CAP（CertificationandAccreditationProfessional）認證和評估專家

CISSP(CertificatedInformationSystemSecurityProfessional)認證信息系統安全專家

CISSP的升級版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional)信息系統安全架構專家

CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系統安全管理專家

CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系統安全工程專家

（ISC）2同時也向公眾提供信息安全方面的教育和諮詢服務。

CISSP

（ISC）2提供的6種認證中，知名度最高和持有者人數最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人數最多的是美國，現有30385名，中國大陸有371名。因為CISSP的升級版本ISSAP和ISSMP要求考試的報名者必須是CISSP，而且有一定的相關領域工作經驗要求，所以在國內除了香港18名台灣4名持有者之外，大陸還沒有持有者。至於（ISC）2較為低端的SSCP和CAP認證，由於其定位和考核內容的原因，在國際上的接受程度不高，所以除了美加兩國外，其他國家的持有者都很少。CISSP認證是國際上最權威、最受認可的信息安全認證，它同時也是信息安全領域第一個通過ISO17024:2003標準的認證。CISSP主要的認證對象為在企業處於中高層、已經或將成為CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高級安全工程師的信息安全專家。

課程安排

課程安排

報考要求

條件

報考者必須具備至少4年的工作經驗，若擁有大學本科學歷，需要3年工作經驗即可。工作經驗應為CBK規定的10個知識域中的一個或多個範疇。

簽署並承諾

簽署並承諾遵守(ISC)2制定的職業守則(CodeofEthics).

考試事項

支付450美元的報考費用，確定報考地點，參加長達6小時的CISSP考試。

適合人員

CISSP資質的適合人員下列人員將非常適合進行CISSP認證：

*企業信息安全主管

*信息安全業內人士

*IT或安全顧問人員

*IT審計人員

*安全設備廠商或服務提供商

*信息安全類講師或培訓人員

*信息安全事件調查人員

*其他從事與信息安全相關工作的人員(如系統管理員、程式設計師、保全人員等)

職業守則

關於職業守則(CodeofEthics):(ISC)2要求每個考生在報考時簽署並承諾遵守(ISC)2以下的職業守則，若違背守則，(ISC)2有權收回。

資質

保護社會、全體國民和國家基礎設施(Protectsociety,thecommonwealth,andtheinfrastructure)

*誠實、正直、公正、合理和合法的行為(Acthonorably,honestly,justly,responsibly,and
legally)

*對僱主提供勤勉和勝任的服務(Providediligentandcompetentservicetoprincipals)

*發展和維護專家身份和榮譽(Advanceandprotecttheprofession)對於職業守則的理解，請參閱筆者翻譯的《信息安全專業人員職業守則導讀》

考試

考核範圍

CISSP認證的考核範圍包括10個方向，稱為CBK（CommonBodyofKnowledge）以下按首字母排序：

1、AccessControl訪問控制

2、ApplicationSecurity套用安全（包括開發）

3、BusinessContinuityandDisasterRecoveryPlanning業務持續性和災難恢復計畫

4、Cryptography信息加密

5、InformationSecurityandRiskManagement信息安全和風險管理

6、Legal、Regulation、ComplianceandInvestigation法律、法規、調查

7、OperationsSecurity操作安全

8、Physical（Environment）Security物理（環境）安全

9、SecurityArchitectureandDesign安全架構和設計

10、TelecommunicationandNetworkSecurity通訊和網路安全。

考試內容

CISSP考試的內容覆蓋CBK的10個專業範疇，題目的範圍很廣但深度並不深。對於從事具體工作的專業人士，非常深入的掌握所有CBK覆蓋的知識是不現實的，並不要求考生是每個安全領域經驗豐富的專家，但應該對信息安全所覆蓋的各個不同的知識點都必須了解。根據筆者的經驗，CISSP考試對物理安全、法律和密碼學部分不會出現非常深入的題目。CISSP的考試由250道單項選擇題構成，目前只有英文試題，需要在6個小時內(上午9時至下午3時)完成，一般來說沒有時間壓力。題目來自(ISC)2的題庫，每次考試題目都會有所變化，根據筆者的經驗，每次考試的題目都會有所側重當前的安全熱點問題。在250道題目中只有225道題目計分，其餘的25道題目是用於調查的目的，但這些題目並不明確的標註出來。通過成績一般是答對計分的225題中的70%。

考試題型

考試的題型比較簡介，縮寫形式都會有註明，題目的設定是與廠商或作業系統無關的，不會出現基於某種具體套用(如Windows或UNIX)的問題。由於參加考試的前提是考生至少具備3年的工作經驗，所以考試題目重視的是考核考生是否具備專業的實際經驗。雖然書面知識對於理解理論、概念、標準和法規等非常重要，但不能取代處理實際問題的能力。

最大挑戰

CISSP考試的最大挑戰就在於每個考生並非對於安全的10個範疇都熟悉。比如一個考生可能對安全測試和攻擊手法非常精通，但他不一定熟悉物理安全、密碼學或安全管理。為迎接考試而準備的學習，非常有助於拓展考生的安全知識領域。

書面證明

關於書面證明(Endorsement)自2002年6月起，將(ISC)2將考試和認證過程分開。在考生結束考試後兩周至一個月的時間內將會收到來自(ISC)2的電子郵件，若未能通過考試，郵件將告知考生其實際的分數和CBK每個範疇的得分情況，以便於為下次考試作準備。

若考生收到的郵件以祝賀(Congratulation)開頭，那代表您已經通過分數線，但(ISC)2並不告知您獲得的實際分數，同時郵件將附一份書面認可檔案(endorsement)並要求您提供一份簡歷，該檔案需要由CISSP、CISA、CPA或僱主簽署，以證明您的簡歷符合實際情況。

只有在將簡歷和書面認可檔案寄回(ISC)2後(有5%左右的申請者將接受抽查)，您才正式成為一名合格的CISSP。您將收到一份正式的證書和徽章，另外還包括一張方便攜帶的名片卡、(ISC)2網站的登入ID和密碼檔案，同時你可以將自己的信息在(ISC)2網站上公布以及可以加入CISSP論壇。

網路信息安全在網路帝國中的熱度正在急劇上升，在眾多的IT企業和信息化程度較高的其他企業中，已經出現了專門從事企業信息安全服務的工程師，在一些企業內，網管員隊伍中也分化出專門負責安全系統規劃和維護的工程師。很多業內的專家都預測，在不久的將來，信息安全工程師將形成一個龐大的專業隊伍。

備考三項注意

對參考人員資質要求較高

由於該認證是信息安全領域的高端認證，對考生的個人資質要求高，考試難度較大。與IT領域的很多認證不同的是，CISSP作為信息安全領域的高端認證，其主考機構(ISC)2對參考人員的資質提出了較高的要求。根據報考要求，參加CISSP認證的人員除需要遵守CISSP道德規範（CodeofEthics）外，擁有本科學歷的人士要有在信息系統安全通用知識框架（CBK）的10個領域之中的一個或一個以上領域中具有最少3年的直接工作經驗，如果學歷達不到本科水平，經驗要求至少4年。

最好有外企信息安全管理背景

據業內資深人士安言諮詢公司CEORobin介紹，(ISC)2提出的條件只是考試的最低門檻，並非可以順利跨過報考門檻的人將來就一定可以同樣順利地通過考試。其中的原因在於CISSP的考試內容雖然都不深，但回答問題要以充分的實踐經驗為基礎，而且這些經驗還不能只是在工作中擔任簡單的網路安全維護、信息安全系統組建這些技術工作，而是在需要信息安全的公司中擔任管理層工作。

Robin認為，CISSP考試內容中包含的10個領域按照性質可以分為技術類、運營管理類和體系類三個大類，參加考試的人員最好擁有相複合的兩大類性質的工作經驗。參考人員最好是有在大型跨國公司從事信息安全管理的職業背景。

仔細分析以往考試內容

CISSP試卷由250道選擇題組成，考生需要在6個小時內回答完畢。平均算起來，考生每回答一道問題的時間只有90秒，雖然題目對相關知識點考核難度不深，但由於涉及的知識點多，全部考試至少要覆蓋2500個知識點，而且與實際結合緊密，等於是變相地加大了題目的難度。因此考生在考試前仔細分析以往考試中的內容是取得成功的必要條件。

據新東方IT教育教學總監金悅介紹，根據以往的考題分析，CISSP考試中安全管理、網路安全和penetrationtesting和安全術語概念是重點，而且還必然包括最近一段時間內的安全熱點問題，而物理安全、密碼學和法律部分不會出現非常深的題目。

但需要提醒考生注意的是，CISSP認證的關鍵不是對考生知識的驗收，而是幫助考生根據考試內容，在分析自身實力的基礎上，通過備考向CBK的十個領域之中的其他未知領域擴展，從而達到完善知識結構的目的。同時也只有這樣才能成為一個合格的信息安全管理的高層人員。因此，考生需要明確的是，全方位把握CBK的10個領域才是認證的真正目的。

核心提示

CISSP（CertifiedIn鄄formationSystemSe鄄curityProfessional，信息系統安全專業認證）在北美地區十大熱門認證中排名第五，同時也是惟一一個上榜的信息安全類認證，CISSP的受關注程度可見一斑。

考試經驗

CISSP認證以考察考生對信息安全技術掌握的全面程度而著稱，10個CBK裡面幾乎全部包含了當前信息安全領域的知識。不過CISSP的試題難度並不是大家想像中那么難，排除語言的原因之外（CISSP試題是全英文的），幾年安全從業經驗再加上考前抽時間認真複習，一次通過考試的幾率還是挺大的。用一個最恰當的句子來形容CISSP的考試，就是“Onemilewide，Oneinchdeep“，考試範圍之廣和試題的難易程度可見一斑。

試題的簡單並不說明CISSP的試題可以輕鬆搞定，因為，即使沒有語言障礙，考前也經過充分的複習，拿到試卷後考生會發現CISSP的考試將是一場嚴峻的考驗——在6個小時內，考生需要完成250道選擇題，平均每道選擇題只有一分半鐘的時間可以思考，而且由於CISSP考試使用標準化答卷，考生要留出大概半個小時的時間把答案填到答卷上，事實上考生用來完成每道題的時間只有一分鐘左右。

CISSP考試也不是光靠死記硬背複習資料就能解決的，大部分題目都是給出現實中的一個場景，讓考生分析後再選出正確的答案，有些迷惑性比較強的題目不是4選1，而只能憑感覺在2個相似答案中選其一。每次CISSP考試的通過率都不算低，但還是有大概一半的考生無法通過考試。他們並不是說個人能力有問題，很大程度上還是因為CISSP考試考察的範圍太廣。

J0ker相信，即使他們沒有通過CISSP的考試，但通過學習CISSP的課程，他們對信息安全的知識水平和整體把握能力都會有一個較大的提升，這將成為他們安全從業經歷中一份不可多得的寶貴經驗。