经验总结:有关CISSP考生关心的问题

如上图所示，亚洲是除美国本土外拥有CISSP最多的地区，而在亚洲地区又以香港、新加坡和韩国为主。
2002年1月，(ISC)2在香港成立办事机构，在2002年5、9、11月分别于深圳、上海、北京举办三次CISSP考试。截至目前，中国大陆地区有60余名CISSP，主要从事安全和咨询工作。
报名方法和考试地点
考生可以通过查询(ISC)2的网站，确定考试的时间和地点，使用信用卡直接在网上交纳报名费。中国大陆的考生可以使用外币卡（如招商银行信用卡）网上支付，同时也可以向协办考试的公司（如中圣）直接交纳人民币。按照日程安排，2003年下半年在上海、北京将有两次CISSP考试。
关于英语
对于非英语国家的考试，CISSP的考试是允许考生携带不含夹带或标注的字典。根据笔者的观察，国内考生未能通过考试的很大一部分原因在于英语基础薄弱，一方面未能准确理解题目，另一方面造成做题速度慢而影响水平的发挥。虽然在某些考试时允许使用无存储功能的电子翻译器（如文曲星），但扎实的英语基础和丰富的专业英语词汇是顺利通过考试的一个重要条件。
相关资质
以下几种资质是与信息安全相关，目前国内可以申请的专业资质：
◆CISA ：Certified Information Systems Auditor，认证的信息系统审计师，由ISACA管理，为安全专业人士关注的另外一个国际普遍认可的专业资质。CISA所需掌握的知识大量涉及到99v安全，约占CBK的70%左右，但更侧重审计流程、方法等方面。具体内容参考www.isaca.org
◆ISO17799/BS7799 主任审核员，ISO 17799/BS7799－信息安全管理标准，英国国家标准化学会编写， 成为国际标准。ISO17799主任审核员类似于ISO9000的品质管理审核员，以审核的方式促进信息安全管理。是安全咨询、99v审核、安全顾问人员的重要资质。该资质的获得要求4年以上工作经验，参加BSI组织的培训课程并通过考核。具体内容参考：www.bsi-global.com * CIW/SP：Certified Internet Webmaster/Security Professional，CIW为针对互联网专业人员的国际商业培训认证，CIW认证为非厂商，但不同于ISACA、(ISC)2等非盈利组织举办。CIW培训课程中安全相关的课程满足技术人员学习安全技能的需求，从而受到较多的关注。但Security Professional认证仅相当于代表持有参加过安全技能培训及通过考核的标志，比较适合初步接触安全的人员学习。具体内容参考www.ciwcertified.com
◆CISP："注册信息安全专业人员"，英文为Certified Information Security Professional (简称CISP) 是我国信息安全产品测评认证中心发展的一种专业认证。其考核内容、认证流程、维护方式非常类似 (ISC)2，但有一定的强制性。具体内容参考http://www.itsec.gov.cn
关于再认证（Recertification）和持续教育
在专业认证特别在99v领域，很多的证书都有时效性，需要在一段时间后重新认证，以促使持有者关注所在专业的最新动向。CISSP资质的有效期为3年，3年后可以通过重新参加考试的方式进行再认证，但(ISC)2支持持续专业教育积分（Continuing Professional Education -CPE）计划，CISSP资质持有者在3年内获得120个持续专业教育（CPE）积分，同时每年交纳85美元的年度维护费用（maintenance fee），便可保持其CISSP资质。
CPE计分主要来自直接的安全相关活动或教育活动。计分可以按以下的方式获得：
◆厂商的培训：CISSP参加厂商举办的培训、讲座等，每小时可获得1个CPE；
◆安全会议：CISSP参加安全会议，每小时可获得1个CPE；
◆大学课程：CISSP参加大学课程学习并通过，每学期可以获得11.5个CPE；
◆出版安全论文或书籍：CISSP可以通过出版安全书籍获得40个CPE，或出版安全文章获得10个CPE，以此种方式3年内最多获得40个CPE；
◆提供安全培训：CISSP进行安全讲座、授课每小时可以获得4个CPE，以此种方式每年内最多获得80个CPE；
◆服务于安全专业组织的管理层：CISSP每年可以通过服务获得10个CPE，但以此种方式最多可以获得20个CPE；
◆自学：CISSP可以通过自学取得CPE，以此种方式3年内最多获得40个CPE；
◆阅读安全书籍：CISSP可以通过阅读信息安全书籍的方式获得10个CPE，但每年只有一本书被承认；
◆ 志愿工作：CISSP可以通过作为(ISC)2的志愿者的方式获取CPE，分数和具体的活动由(ISC)2决定；
其他：若CISSP希望以其他的方式获得CPE，但必须提交给(ISC)2的再认证委员会批准。
关于就业与薪金

根据国外组织的调查显示，CISSP资质拥有者的平均薪金较高于平均水平，这是因为职务和工作的原因造成，因为目前CISSP持有者多数为咨询、管理及技术资深人士。在国内，由于CISSP刚开始被了解，相关的薪金情况尚无法统计。目前国内的CISSP主要的职务方向为安全主管、安全咨询顾问、安全产品和服务提供商、安全教育工作者。
获得CISSP资质只是一个起步，只是代表您掌握了信息安全领域的专业知识。CISSP在某种程度上可以看做是加入专业安全人士的俱乐部的会员证，大家有交流的共同语言和行为方式，作为专业人士，需要把握安全的发展动态，不断学习和充实自己，并且将所掌握的专业经验应用到实际工作中。
衷心的期望各位备考并有志成为CISSP的朋友真正成为各个行业中信息安全的中坚力量，而非将获得资质认证仅作为一种谋求高薪的途径。
重要的资源与注释
与CISSP有关的网络链接：
◆ www.isc2.org
◆www.cissp.com
◆ www.cccure.org
◆ http://leuthard.ch/cissp/
注释：
◆ DPMA：Data Processing Management Association 资料处理协会
◆ISSA：Information Systems Security Association 信息系统安全联盟
◆CIPS ：Canadian Information Processing Society 加拿大信息处理协会
◆ CSI ：Computer Security Institute 计算机安全学会
◆ISACA：Information System Audit and Control Association 信息系统审计与控制协会
◆ CISSP：Certification for Information System Security Professional认证的信息系统安全专家
◆ SSCP：System Security Certified Practitioner 系统安全认证的从业人员
◆BSI：British Standard Institution 英国国家标准化学会，著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构