信息安全领域最权威资质—CISSP

sitc_sk

　　


CISSP 全称 Certified Information System Security Professional，国际注册信息系统安全专家，由国际信息系统安全认证协会((ISC)2)组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。



　　CISSP是一种反映信息系统安全专业人员水平的证书，可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力，目前已经得到了全球范围的广泛认可。



　　CISSP认证考试由（ISC）2组织与管理，参加CISSP认证的人员需要遵守CISSP 道德规范（Code　of　Ethics），同时要有在信息系统安全通用知识框架（CBK）的十个领域之中拥有最少2个范围的专业经验5年；或者4年的有关专业经验及拥有学士资格或ISC2认可的证书。此外，CISSP应考者还需要得到另外一位持有有效ISC2认证的专业人士推荐确认（Endorsement)。有效的推荐人指任何持有CISSP、SSCP及CAP的专业人士。



　　随着全球性信息化的深入发展，信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等，由于Internet具有开放性、国际性和自由性等特点，因此为保护机密信息不受黑客和间谍的入侵及破坏，各系统对网络安全的问题日益重视，在此方面的投资比例亦日趋增大。为此，建立一套统一的标准，培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。CISSP正是为了满足此方面的需求发展而来，并在信息系统安全领域发挥了极为重要的作用。



　　CISSP-起源

　　成立于1989年中期，总部设在北美，是一个独立的，非盈利性的组织，目的为管理信息安全专业认证人员。它从1992年开始推广CISSP的认证考试，并且很快得到了国际的高度认可。目前(ISC)2在全球各地举办CISSP考试，但在中国，仅在北京、上海、广州三地设有考点，虽然CISSP仅仅刚刚登陆中国，但势必成为近年内的热门认证。

　　很多大型国际企业都在近几年内设立了具有决策和管理权限的信息总监，并将信息安全部门的规划提到的议程上，具有CISSP认证的专业人士往往在就职这样的重要职位有得天独厚的优势。在国内号称“网络博士后”的CCIE(Cisco Certified Internet Export)，思科系统认证的互联网专家)也开始关注这个领域，并已经有部分CCIE专家们开始转向同时持有CCIE&CISSP双证书。



　　CISSP认证机构（ISC）2介绍

　　（ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证：

　　SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者

　　CAP（CertificationandAccreditationProfessional）认证和评估专家

　　CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家

　　CISSP的升级版本

　　CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家

　　CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家

　　CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家



　　（ISC）2同时也向公众提供信息安全方面的教育和咨询服务。

　　（ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于（ISC）2较为低端的SSCP和CAP认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。

　　CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层:CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。



　　CISSP-条件

　　想要通过CISSP认证考试，必须具备以下几个条件：

　　1、遵守（ISC）2的规章制度（详细内容可以参考 www.isc2.org）。

　　2、在信息系统安全CBK（Common Body of Knowledge）规定的10个考试领域中最少2个范围的专业经验5年3、每3年需要重新认证，需要你在3年内获得120个Continuing Professional Education （CPE）信用分。

　　只有具备了以上三个条件，你才能有资格参加CISSP的认证考试，是不是很苛刻呢？但门槛越高，意味着你将获得的能力也越高，付出和收获总是成正比的。

　　另外，从2002年6月1日起，（ISC）2把取得CISSP的过程划分为两个步骤：认证和考试。通过考试之后，还必须取得第三方的认可才可以最终获得CISSP证书，第三方可以是参考者的雇主、或者是其他已获得认证的专业人士。这一举措增加了获得CISSP的难度，但也更明确了CISSP和其他安全认证的区别，保持了CISSP的权威性。



　　CISSP-报考要求

　　报考者必须具备至少五年的工作经验，拥有大学本科学历，需要四年工作经验，研究生学历仍需四年工作经验。工作经验应为CBK规定的10个知识域中的一个或多个范畴

　　签署并承诺遵守(ISC)2制定的职业守则（CodeofEthics）

　　支付599美元的报考费用，确定报考地点，参加长达6小时的CISSP考试



　　CISSP-职业守则

　　(ISC)2要求每个考生在报考时签署并承诺遵守(ISC)2以下的职业守则，若违背守则，(ISC)2有权收回

　　CISSP资质：.保护社会、全体国民和国家基础设施（Protectsociety,thecommonwealth,andtheinfrastructure）

　　诚实、正直、公正、合理和合法的行为（Acthonorably,honestly,justly,responsibly,and

　　legally）

　　对雇主提供勤勉和胜任的服务（Providediligentandcompetentservicetoprincipals）

　　发展和维护专家身份和荣誉（Advanceandprotecttheprofession）对于职业守则的理解，请参阅《信息安全专业人员职业守则导读》



　　CISSP-书面证明

　　自2002年6月起，将(ISC)2将考试和认证过程分开。在考生结束考试后两周至一个月的时间内将会收到来自(ISC)2的电子邮件，若未能通过考试，邮件将告知考生其实际的分数和CBK每个范畴的得分情况，以便于为下次考试作准备。

　　若考生收到的邮件以祝贺（Congratulation）开头，那代表您已经通过分数线，但(ISC)2并不告知您获得的实际分数，同时邮件将附一份书面认可文件（endorsement）并要求您提供一份简历，该文件需要由CISSP、CISA、CPA或雇主签署，以证明您的简历符合实际情况。

　　只有在将简历和书面认可文件寄回(ISC)2后（有5%左右的申请者将接受抽查），您才正式成为一名合格的CISSP。您将收到一份正式的证书和徽章，另外还包括一张方便携带的名片卡、(ISC)2网站的登陆ID和密码文件，同时你可以将自己的信息在(ISC)2网站上公布以及可以加入CISSP论坛。



　　为什么要获的CISSP认证

　　信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。

　　面对越来越严重的安全威胁，不单在IT技术领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验，保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如：

　　1、 适应市场中越来越热的对信息安全人才的需求

　　2、 增加对信息安全的知识和概念的理解

　　3、 为当前的工作增加信息安全的理念

　　4、 在日益激烈的职场竞争中增强自身优势

　　5、 在薪水增长和职务提升上更有优势



　　2004年（国内最早的CISSP之一）说起CISSP是国际上最权威的信息安全认证，CISSP其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识，同时好好的补充了其他七个CBK的知识，也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP，本身就是一个对学习者安全知识体系进行完善的过程。



　　CISSP都从事什么工作

　　国外的情况，以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后， CISSP会进入企业管理高层，管理整个企业的信息安全或IT，头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。

　　国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2官方站点上的Member Directory功能中查询。



　　最后说说大家最感兴趣的CISSP薪水问题，在此就借用（ISC）2 2006年度的官方报告来说一下，CISSP薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，2006年CISSP的平均年收入为：

　　IT Administrator： $45000-$55000

　　Information Security Administrator：$75000

　　Security Analyst/Engineer：$80000

　　Manager， Information Security : $100000

　　CISO, CSO ：$150000 及以上

　　另外，国内和国外相同的一点是，拿到CISSP认证之后通常待遇都会有所提升。

IT培训权威机构：上海信息化培训中心2010年CISSP开课公告

[table=100%,#ff0066][/table]
2010年下半年课程安排：
CISSP
时间： 3.3-3.7 / 4.12-4.16 / 5.19-5.23 / 8.18-8.22 / 10.22-10.26 / 12.3-12.7
地点：上海市信息中心（上海）、国家信息中心（北京）

三段式教学：
CISSP
第一阶段：课堂教学 5天
第二阶段：在线辅导 2周
第三阶段：考前冲刺 半天

我们的优势：
全面体系 三大系列（IT服务管理、信息安全管理、IT管理体系标准）和三个层面经理课程、实施课程、基础课程），完善成熟的培训体系
长期经验 10余年的专业高端培训经验，EXIN08年度中国it服务管理最佳培训机构，同行之最，学员回头率最高
高通过率 CISSP70%以上,Cobit90%以上的通过率
强大师资 经验丰富拥有多项国际认证之专家
一流环境 上海华山路上寸土寸金之地英式花园洋房
校友服务 校友来自全球五百强和国内顶尖企业，创建行业精英交际圈，精心策划组织的论坛研讨
政府背景 政府序列信息化促进机构，提供最佳服务，业内享有盛誉，曾12次作为CISSP上海考点

我们的学员来自：
IT：SAP、IBM、Autodesk、Microsoft、Intel、PHILIPS、HP、Sun、Apple、阿里巴巴、联想、盛大
金融：UBS、ING、AIG、Citi、Allianz、HSBC、渣打、美林、摩根、高盛、中行、农行、工行、建行、中国人寿、太保
电信：Nokia、Moto、三星、德电、华为、中国移动
制造：SIEMENS、ABB、BOSCH、Ford、BMW、GE、上汽、松下、日产
其他：Accenture、dtt、E&Y、Bayer、Roche、BASF、Shell、Dior、中化、中铁、国家电网、中石化、中海油、申通集团以及政府部门等

校友对SITC培训的感受统计：
讲师授课专业水准满意 98%
培训过程完全享受 92%
基于以往上课体验，继续参加SITC后续课程 88%
我愿意把SITC的课程推荐给朋友同事 99%
SITC培训对工作和职业发展的帮助很大 99%

十年磨一剑，金牌品质，值得信赖！欢迎致电咨询！
详情请登录：http://www.information.sh.cn/CISSP_if.aspx

      上海信息化培训中心简称SITC，是由上海发展改革委和上海信息委核准组建的信息化促进机构，自1998年开始一直致力于IT管理国际最佳实践和标准在国内的推广,专业从事IT管理高端培训及国际认证考试工作，“推进国际IT管理最佳实践，服务全国信息化建设，创建世界级IT经理智慧空间”。上海信息化培训中心与多家国际权威机构开展了双向紧密合作，在IT服务管理领域是ITIL 国际认证机构EXIN在国内的授权中心，也是国际最大ITIL IT服务管理咨询机构Pinkelephant的全球合作伙伴；在信息安全管理领域是国际信息系统安全认证联盟ISC2、国际信息系统审计和控制协会ISACA以及国际四大认证机构之一挪威船级社DNV和德国莱茵TUV集团的合作伙伴。SITC，全球五百强公司信赖和选择的培训合作伙伴！

zyc2004

确实是！！！！！！

FlankerPre

刚入行，这个还真不知道！

jinbery

CISSP 在北美的认可度非常高！偏技术
国内么...安全和审计领域感觉近几年有本土化标准的趋势，
比如说ISO2700x贴个GB就是国标了
CISP也会越来越多

merenpuwu

shengchun106

shengchun106

hanxiameme

拿分走人呵呵，楼下继续！

★施瓦辛格

太棒了，感谢楼主

phil

Thanks for your information.