2008年1月2日 星期三

資安管理認證--CISSP

CISSP其實我不懂(我是DBA不是網管),但他在業界的確有名氣,剛好ITHome有介紹,轉貼一下,有要往專業網路公司發展的朋友可參考一下。

原文出處:http://www.ithome.com.tw/itadm/article.php?c=45837&s=13

=================================
在業界頗負盛名的CISSP(Certified Information Systems Security Professional),是(ISC)2(International Informaton Systems Security Certification Consortium,國際資訊系統安全核準聯盟)所舉辦的資安管理認證,目前在全世界一共有48,598人取得,其中臺灣地區占了214人。

和一般技術類型認證不盡相同的是,CISSP這種管理類別的認證必須符合兩項特定資格才能報考。首先,必須簽署由(ISC)2所制定的道德規範(Code of Ethics),這是身為CISSP必須遵守的行為準則,同時也是CISSP的考題來源之一;除此之外,還必須擁有5年以上和資訊安全相關的工作經驗,如果申請者是大學相關科系畢業則縮短為3年。

內容廣泛,學科之間並無絕對階層性

CISSP是一項綜合性的資安管理證照,應試者必須在準備期間內吸收大量的資安相關知識,CISSP包含資訊安全與風險管理(Information Security and Risk Management)、存取控制(Access Control)、業務持續性與災害復原(Business Continuity and Disaster Recovery Planning),以及密碼學(Cryptography)等十項學科(Domain)。

亞太匯網資安處首席顧問臧柏皓表示,資訊安全與風險管理是CISSP的基礎學科,必須融會貫通之後,才有能力進一步了解其它學科,至於其它學科準備的先後順序應該要如何排列,他表示並沒有絕對的答案,McAfee臺灣區技術顧問沈志明也認為,要考CISSP的人可能來自不同的領域,因此並沒有一定的順序,看個人習慣皆可,不過有些屬於架構性的東西可以先熟悉之後,像是安全架構與設計、資訊安全與風險管理,然後再去研讀其它學科,好處是有整體概念之後,再加上專有名詞會不斷地重複出現,會比較容易理解。

通過筆試,還要進修及專業人士推薦

欲參加CISSP的考試,必須先到(ISC)2的官方網站填寫報名表,以及繳交599美元的報名費。考試題目是250題的單選題,全部是英文,作答方式和聯考一樣,以2B鉛筆圈選,可以攜帶紙本字典進入考場查詢不懂的英文單字,所有的考試題目必須在七個小時之內作答完畢,滿分為1,000分,不過只要取得700分以上就算通過考試。

值得注意的是,通過考試並不表示已經取得了CISSP證照,只能算是CISSP的候選人,在此之後,還必須持續進修,在為期三年的時間之內取得120分的進修點數,否則必須重新參加考試。從2004年的6月1日開始,除了必須符合以上的條件之外,還必須取得第三方專業人士的推薦才有能取得證照,有效期限為3年,在此期間不得違反先前已經簽署的道德規範。