我覺得信息安全是壹個很廣的概念:研發具體的產品(如防火墻,殺毒軟件),加密和PKI體系建設,入侵探測和安全評估等等都屬於這個範圍吧。再往上點風險評估、安全計劃制定、安全項目管理、IT工程監理、信息系統審計都可以關註。
關於CISSP這個證我也查了些資料
CISSP 妳的下壹個職業目標
信息安全專業是21世紀新出現的專業領域,在國際範圍來看,出現大量的信息安全相關職務需求,在近期的職業分析報道中可以發現,無論國際和國內在未來很長的壹段時間內信息安全人才炙手可熱。
IT領域獲得資質證書是求職者有效的證明自己掌握相關知識水平和經驗能力的最佳途徑,可以使得求職者在激烈的競爭中占據優勢地位。CISSP資質可以證明持有者具備了符合國際標準要求的信息安全知識水平和經驗能力,具備專業可信度,這是其他廠商類證書所無法比擬的。CISSP資質為企業和組織提供尋找專業人員的憑證依據,目前已經得到了全世界廣泛的認可。
CISSP是Certification for Information System Security Professional(國際註冊信息系統安全師)的縮寫,是代表信息系統安全從業人員最高水平的國際證書,被業界稱為“信息安全中無可置疑的冠軍資質”。
什麽是CISSP?
CISSP(國際註冊信息系統安全師)由(ISC)2-International Information Systems Security Certification Consortium(國際信息系統安全認證聯盟)組織與管理。
獲得該資質的主要對象為信息系統安全專業人員,包括各大企業、電信、銀行證券業、系統集成與服務供應商、電子商務和電子政務的信息安全專業人員。主要從事信息系統安全相關的咨詢和管理工作,主要的職務為CIO、CSO(Chief Security Officer,首席安全官)、咨詢顧問師、安全維護管理員和安全培訓講師等。目前在很多國際公司的職位說明書上已經明確要求應聘者需要具備CISSP等相關資質,而在國內,金融、電信等企業也紛紛要求從事信息安全工作的員工獲得CISSP資質。
(ISC)2成立於1989年,總部設在北美,是壹個獨立的、全球性的、非盈利的組織。聯盟多個專業組織、大學、政府機構和專業人士***同組成,其工作目標為開發和維護壹個關於信息安全的公***知識體系(Common Body of Knowledge),依照壹套國際性的信息安全標準來組織信息系統安全師(CISSP)的考試和認證工作,並通過持續教育來確保證書的實效性。
CISSP在中國的發展
CISSP在國內的就業情況與前景
(ISC)2於1995年在加拿大多倫市多舉辦第壹次公開CISSP考試,截至2002年12月底全球有60多個國家的13,397人獲得了CISSP證書。亞洲是除美國本土外擁有CISSP最多的地區,目前在亞洲地區又以香港、新加坡和韓國為主。
2002年1月,(ISC)2在香港成立辦事機構,中國大陸地區在2002年5、9、11月分別於深圳、上海、北京舉辦三次CISSP考試,加上參加海外考試的情況,目前大陸地區約有60余名CISSP,其中60%就職於安全廠商和咨詢服務提供商,30%主要為集成與軟件開發商,這種集中的情況主要是由於早期參加CISSP考試的人員多數為安全從業人員導致。
隨著CISSP被更多的人認知,CISSP的分布也將逐漸趨於平均,其中像銀行、證券、電信、IT服務提供商、政府和教育部門等行業用戶的CISSP的持有者將會大量的增加。
獲得CISSP資質只是壹個起步,只是代表您掌握了信息安全領域的專業知識。CISSP在某種程度上可以看做是加入專業安全人士的俱樂部的會員證,大家有交流的***同語言和行為方式,作為專業人士,需要把握安全的發展動態,不斷學習和充實自己,並且將所掌握的專業經驗應用到實際工作中。
CISSP考試及資質的獲得與保持
CISSP報考要求
申請CISSP資質必須滿足以下幾個條件:
1、 報考者必須具備至少4年的工作經驗,若擁有大學本科學歷,需要3年工作經驗即可。工作經驗應為(ISC)2在公***知識體系(CBK)規定的10個知識域中的壹個或多個範疇;
2、 報考者必須簽署並承諾遵守(ISC)2制定的職業守則(Code of Ethics),如不加入黑客組織等;
3、 報考者必須支付450美元的報考費用,並參加長達6小時的CISSP考試。
只有滿足上述條件且考試通過者方可申請CISSP資質。由此可見,CISSP資質是強調工作經驗和職業操守的專業認證,並不適合初學者。
CISSP考試
CISSP考試的內容覆蓋CBK的10個專業範疇,題目的範圍很廣但深度並不深。對於從事具體工作的專業人士,非常深入的掌握所有CBK覆蓋的知識是不現實的,並不要求考生是每個安全領域經驗豐富的專家,但應該對信息安全所覆蓋的各個不同的知識點都必須了解。
CISSP的考試由250道單項選擇題構成,目前只有英文試題,需要在6個小時內(上午9時至下午3時)完成,壹般來說沒有時間壓力。題目來自(ISC)2的題庫,每次考試題目都會有所變化,根據筆者的經驗,每次考試的題目都會有所側重當前的安全熱點問題。在250道題目中只有225道題目計分,其余的25道題目是用於調查的目的,但這些題目並不明確的標註出來。通過成績壹般是答對計分的225題中的70%。
考試的題型比較簡潔,題目的設置是與廠商或操作系統無關的,不會出現基於某種具體應用(如Windows或UNIX)的問題。由於參加考試的前提是考生至少具備3年的工作經驗,所以考試題目重視的是考核考生是否具備專業的實際經驗。雖然書面知識對於理解理論、概念、標準和法規等非常重要,但不能取代處理實際問題的能力。
CISSP考試的最大挑戰就在於每個考生並非對於安全的10個範疇都熟悉。比如壹個考生可能對安全測試和攻擊手法非常精通,但他不壹定熟悉物理安全、密碼學或安全管理。為迎接考試而進行的大量閱讀和學習,非常有助於拓展考生的安全知識領域,對此後的工作和對問題的理解都很有幫助。