◆cissp簡介:
cissp(certified information system security professional,資訊系統安全認證專業人員)是由國際資訊系統安全認證協會(簡稱(isc)2)組織和管理。(isc)2在全世界各地舉辦考試,符合考試資格人員於通過考試後授予cissp認證證書。cissp認證是目前世界上最權威、最全面的國際化資訊系統安全方面的認證。
◆參加cissp認證人員需要:
1. 遵守(isc)2的道德規範(code of ethics); 2. 在cbk(通用知識框架)的10個領域中的乙個或多個中工作三年以上。 3. 此認證的時效性為3年,3年後可以通過重新參加考試的方式進行再認證。
但(isc)2支援持續專業教育積分(continuing professional education -cpe)計畫,cissp資質持有者在3年內需要通過各種途徑獲得120個持續專業教育(cpe)積分,同時每年交納85美元的年度維護費用(maintenance fee),便可保持其cissp資質。
◆cpe計分如何獲得?
cpe計分主要來自直接的安全相關活動或教育活動。計分可以按以下的方式獲得:
◆ 廠商的培訓:cissp參加廠商舉辦的培訓、講座等,每小時可獲得1個cpe; * 安全會議:cissp參加安全會議,每小時可獲得1個cpe; * 大學課程:cissp參加大學課程學習並通過,每學期可以獲得11.5個cpe; * 出版安全**或書籍:cissp可以通過出版安全書籍獲得40個cpe,或出版安全文章獲得10個cpe,以此種方式3年內最多獲得40個cpe; * 提供安全培訓:cissp進行安全講座、授課每小時可以獲得4個cpe,以此種方式每年內最多獲得80個cpe;
◆服務於安全專業組織的管理層:cissp每年可以通過服務獲得10個cpe,但以此種方式最多可以獲得20個cpe; ◆自學:cissp可以通過自學取得cpe,以此種方式3年內最多獲得40個cpe; * 閱讀安全書籍:cissp可以通過閱讀資訊保安書籍的方式獲得10個cpe,但每年只有一本書被承認; * 志願工作:cissp可以通過作為(isc)2的志願者的方式獲取cpe,分數和具體的活動由(isc)2決定; * 其他:若cissp希望以其他的方式獲得cpe,但必須提交給(isc)2的再認證委員會批准。
◆(isc)2簡介:
(isc)2--國際資訊系統安全認證協會。(isc)2成立於2023年中期,總部設立在北美。作為乙個獨立的、非贏利的組織,其目標為發展與管理乙個資訊保安管理人員認證管理組織。從2023年起,(isc)2進行cissp認證考試,其認證很快得到國際的認可。
◆ 適合人員:
a) 各大銀行、**等機構的中高階管理和技術人員 b) 各級電信運營商的網管部門的中高階管理及技術人員; c) 各級**機構、事業單位、教育機構的資訊保安主管部門的中高階管理及技術人員; d) 資訊保安服務、資訊保安產品**商以及網路系統整合商的中高階管理及技術人員
◆需要掌握內容:
(isc)2 劃定cissp的通用知識框架(cbk),作為cissp 的考察範圍,而cbk它是一門國際性的專業知識,由十個領域組成: 1. 安全管理實務(security management practices) a) 概念和目標 b) 風險管理 c) 策略和程式 d) 資訊分類 e) 資訊保安職務和責任 f) 資訊保安意識 g) 事件處理
2. 訪問控制(access control systems) a) 概念 b) 注意事項 c) 授權和認證 d) 單點登陸 e) 集中訪問控制 f) 分散訪問控制 g) 訪問控制技術 h) 訪問控制審計
3. 通訊和網路安全(telecommunications and network security) a) 通訊安全管理 b) 網路協議 c) 認證和授權 d) 資料通訊 e) 網際網路和網路安全 f) 入侵方法 g) 多**安全 h) 事件響應管理
4. 密碼學(cryptography) a) 歷史 b) 定義 c) 加密的應用和用途 d) 協議及標準 e) 基本技術 f) 加密系統 g) 對稱/非對稱加密 h) 數字簽名 i) 使用加密技術的電子郵件安全 j) 使用加密技術的網際網路安全 k) 密碼管理 l) pki m) 密碼分析和攻擊 n) 輸出問題 5. 安全體系和模型(security architecture and models) a) 電腦科學及體系 b) 安全和控制的概念 c) 安全模型 d) 評估標準 e) 主機安全 f) 伺服器安全 g) 網路架構 h) 網路安全 i) ip 安全架構
6. 運作安全(operations security) a) 資源 b) 特權 c) 監控機制 d) 濫用 e) 控制方法 f) 原則
7. 應用程式與系統開發(applications and systems development) a) 定義 b) 安全目標和威脅 c) 系統開發周期 d) 安全架構 e) 變更控制 f) 應用軟體開發和安全措施 g) 資料庫和資料儲存 h) 知識系統
8. 業務連續性計畫與災難恢復(businss continuity planning and disaster recovery planning) a) 業務連續性概念 b) 災難恢復概念 c) 災難恢復計畫程式 d) 程式管理 e) 潛在漏洞評估 f) 計畫的制定和維護 g) 計畫測試 h) 預防措施
9. 法律、犯罪調查及道德規範(law ,investigations ,and ethics) a) 法律和法規 b) 犯罪調查 c) 資訊保安道德 10. 物理安全(physical security) a) 設施管理 b) 人員安全 c) 物理控制
◆cissp在中國的現狀:
亞洲是除美國本土外擁有cissp最多的地區,而在亞洲地區又以香港、新加坡和南韓為主。
2023年1月,(isc)2在香港成立辦事機構,在2023年5、9、11月分別於深圳、上海、北京舉辦三次cissp考試。截至目前,中國大陸地區有60餘名cissp,主要從事安全和諮詢工作。
◆報名方法和考試地點
考生可以通過查詢(isc)2的**(www.isc2.org),確定考試的時間和地點,使用信用卡直接在網上交納報名費。中國大陸的考生可以使用外幣卡(如招商銀行信用卡)網上支付,同時也可以向協辦考試的公司(如中聖)直接交納人民幣。目前,提前至少16天註冊的人僅需要交納$450rmb,而沒有提前註冊的人將會多支付$100rmb。按照日程安排,2023年下半年在上海、北京將有兩次cissp考試。考試為英語答題。
對於非英語國家的考試,cissp的考試是允許考生攜帶不含夾帶或標註的字典。國內考生未能通過考試的很大一部分原因在於英語基礎薄弱,一方面未能準確理解題目,另一方面造成做題速度慢而影響水平的發揮。紮實的英語基礎和豐富的專業英語詞彙是順利通過考試的乙個重要條件。
◆工作方向
目前國內的cissp主要的職務方向為安全主管、安全諮詢顧問、安全產品和服務提供商、安全教育工作者。
CISSP的成長之路(十) 複習資訊保安管理 4
乙個資訊保安計畫的最終目標,就是要保護目標組織資訊資產的完整性 保密性和可用性,而各種針對資訊資產的威脅,諸如非授權訪問 篡改 毀壞和洩漏等,卻經常會破壞組織的資訊資產。這樣的狀況就要求組織把資訊保安計畫納入整個組織的資產保護計畫中去,此外,資訊保安技術並不能完全徹底的保護資訊資產免受各種威脅的損害...
自動化安全工具已經成為資訊保安領域
自動化安全工具已經成為資訊保安領域中進步最大的方面之一。由於網路與軟體及針對它們的威脅都在變得越來越複雜,因此自動化已經成為不可或缺的一部分。安全自動化並不是乙個新概念。早在1995年出現的網路分析安全管理工具 security administrator tool for analyzing ne...
網路推廣中的資訊保安
今天看到乙個對網路推廣很重視的同行公司在其 貼出一則宣告,譴責有黑客潛入 的後台管理系統,竊取客戶資料,並委託律師事務所調查云云,不禁笑了起來 原以為只有我動過這個念頭,沒想到人家已經成功實施了,聰明人不少啊 把重要的客戶資料放在網上本身就是錯誤,網際網路是開放性的,所謂 安全 從來都只是一種理想。...