我認為信息安全是壹個非常寬泛的概念:開發特定的產品(如防火墻和殺毒軟件),構建加密和PKI系統,入侵檢測和安全評估等。都屬於這個範圍。可以進壹步關註風險評估、安全規劃、安全項目管理、IT工程監理和信息系統審計。
我也查了壹些關於CISSP證書的資料。
CISSP,妳的下壹個職業目標
信息安全專業是21世紀的新興專業領域。從國際上看,有大量與信息安全相關的工作需求。在近期的職業分析報告中可以發現,無論是國內還是國外,信息安全人才都將是長期的搶手貨。
獲得IT領域的資格證書是求職者有效證明自己掌握相關知識和經驗的最佳途徑,可以使求職者在激烈的競爭中占據優勢地位。CISSP資質可以證明持證人具有符合國際標準要求的信息安全知識水平、經驗和能力,具有專業公信力,是其他廠商證書無法比擬的。CISSP資格為企業和組織提供了尋找專業人才的證據,在世界範圍內得到了廣泛的認可。
CISSP是信息系統安全專業證書的縮寫。是代表信息系統安全從業者的最高級別國際證書,被業界稱為“信息安全領域無可爭議的冠軍資格”。
什麽是CISSP?
CISSP由(ISC)2-國際信息系統安全認證聯盟組織和管理。
獲得該資格的主要對象是信息系統安全專業人員,包括各大企業、電信、銀行和證券業、系統集成和服務提供商、電子商務和電子政務的信息安全專業人員。主要從事信息系統安全相關的咨詢和管理,主要崗位有CIO、CSO(首席安全官)、顧問、安全維護管理員、安全培訓講師。目前,許多國際公司的職位描述已經明確要求應聘者具有CISSP等相關資格,而在中國,金融和電信公司也要求從事信息安全的員工獲得CISSP資格。
成立於1989,總部位於北美,(ISC)2是壹家獨立的全球性非營利組織。該聯盟由許多專業組織、大學、政府機構和專業人士組成。其工作目標是開發和維護壹套關於信息安全的通用知識體系,根據壹套國際信息安全標準組織信息系統安全工程師(CISSP)的考試和認證,並通過繼續教育確保證書的有效性。
CISSP教在中國的發展
CISSP在中國的就業現狀及前景
(ISC)2於1995年在加拿大多倫舉行第壹次公開CISSP考試。截至2002年2月30日,已有來自全球60多個國家的13,397人獲得了CISSP證書。除了美國,亞洲擁有最多的CISSP。目前亞洲主要地區有香港、新加坡、韓國。
5438年6月+2002年10月,(ISC)2在香港設立辦事處。2002年5月、9月和10月,中國大陸分別在深圳、上海和北京舉行了三場CISSP考試。加上參加海外考試,中國大陸約有60名CISSPs,其中60%受雇於安全廠商和咨詢服務提供商。
隨著更多人對CISSP的認可,CISSP的分布將逐漸趨於均勻,其中銀行、證券、電信、IT服務提供商、政府和教育部門等行業的CISSP持有者將大幅增加。
獲得CISSP資格只是壹個開始,只能說明妳掌握了信息安全領域的專業知識。在某種程度上,CISSP可以被視為加入職業安全專家俱樂部的壹張會員卡。每個人都有相同的語言和行為。作為專業人員,需要把握安全的發展,不斷學習和充實自己,將專業經驗運用到實際工作中。
CISSP考試和資格的獲取和維護
CISSP應用要求
申請CISSP資格必須具備以下條件:
1.申請人必須有至少4年的工作經驗。如果他們有學士學位,他們需要3年的工作經驗。工作經歷應是公共知識體系(CBK)規定的10知識領域中的壹個或多個領域(ISC)2;
2.申請人必須簽署並承諾遵守ISC (2)制定的道德準則,如不加入黑客組織;
3.申請人必須支付450美元的註冊費,並參加6小時的CISSP考試。
只有符合上述條件並通過考試的人才能申請CISSP資格。因此,CISSP資格是壹種強調工作經驗和職業道德的專業認證,不適合初學者。
CISSP考試
CISSP考試內容涵蓋CBK 10專業類別,題目廣泛但不深入。對於從事具體工作的專業人士來說,要深入掌握CBK所涵蓋的所有知識是不現實的。不要求考生在每個安全領域都是有經驗的專家,但要知道信息安全所涵蓋的所有不同知識點。
CISSP考試由250道選擇題組成。目前只有英語題,需要在6小時內(上午9點到下午3點)完成。壹般來說,沒有時間壓力。題目來自(ISC)二的題庫,每次考試的題目都會有變化。根據筆者的經驗,每次考試的題目都會圍繞當前的安全熱點問題。在250個問題中,只有225個問題被評分,其余25個問題用於調查目的,但這些問題並沒有被明確標記。及格分數壹般是225題答對70%。
考試題型比較簡單,題型的設置與廠商或操作系統無關,不會出現基於某個具體應用(如Windows或UNIX)的問題。因為參加考試的前提是考生至少有3年工作經驗,所以考試題目註重考核考生是否有專業實踐經驗。雖然書面知識對於理解理論、概念、標準和規定非常重要,但不能代替處理實際問題的能力。
CISSP考試的最大挑戰是每個考生都不熟悉10安全類別。例如,候選人可能非常精通安全測試和攻擊技術,但他可能不熟悉物理安全、密碼學或安全管理。大量的針對考試的閱讀和學習,對於擴展考生的安全知識很有幫助,對於後續的工作和對問題的理解很有幫助。