CISSP认证——信息安全领域高手进阶

信息安全从业领域的认证证书有许多，而注重学习的工作经验和解决问题的认证体系并不多。我们常常看到，许多获得证书的学员在应聘的关口，草率地将证书复印件放到考官的桌面上，甚至连考官提出问题缘由都不清楚。记得一位ＣＣＩＥ的讲师常常教育我们这些年轻一辈，取得证书后要再经历１～２年的实际摸索，珠穆朗玛的顶峰是一步一步地爬上来的，而且需要带上足够多的食物。
有经验的登山者，在登山之前做许多准备工作，如果你预期的职位是：信息安全主管、安全咨询顾问、安全产品和服务提供商、安全教育培训、企业安全架构设计师，那么ＣＩＳＳＰ认证可以使你拥有登山者的基本素质，并为你在路途中准备好食物。
ＣＩＳＳＰ认证介绍

ＣＩＳＳＰ部分参考书籍
CISSP是（Certified Information System Security Professional信息系统安全认证专家）的缩写，是一种反映信息系统安全从业人员水平的资质能力考试。如果你是一名从事信息安全领域工作的专业人士，想进一步提高专业资历、获得更多的机会，那么CISSP将是你实现目标的辅助与保障。CISSP是由国际信息系统安全核准联盟，简称（ISC）2组织推出的全球范围内的认证。（ISC）2从1992年开始推广CISSP 的认证考试，并且很快得到了国际的高度认可，但在中国，仅在北京、上海、广州三地设有考点。
从信息安全行业从业现状看，CISSP可以算得上是全球范围内所公认的、最具有信服力的信息安全人员证书，参加考试的人员必须在信息安全众多领域中具有4年以上工作经验，或具备大学学历且有3年以上工作经验。不过没有工作经验也可以考试，考试成绩可以保留5年，应试者可在5年内累积所需工作经验。这就对应了那位CCIE讲师的叮嘱，如果你是一位在校的学生，在没有取得学位之前，也可以获得CISSP证书。而这个时间差，正是你准备攀越高峰的起点准备。
信息安全是一项持续性的工作，作为安全行业的从业者，也需要不断关注最新的安全漏洞和新的攻击手段才能使自己保持合格的技术水平。我国现有信息安全专业的骨干人员，有不少是早期互联网中口碑“极佳”的网络安全人员（至少他们的行动推动了我国网络安全管理水平的提高与发展），至少我身边的安全人士大多如此。除去上述的报名标准，参考人员还必须同意并遵守（ISC）2的道德规范（Code of Ethics）。（ISC）2考虑到：“网络安全行业现在最需要的就是具有良好道德准则的从业者，由于职业的特殊性质，经常会直接面对客户脆弱的安全防护和里面极具价值的资料软件，只有好的道德操守才能赢得客户对你的尊重。”关于相信信息，有兴趣的读者可以参考https://www.isc2.org/cgi/content.cgi?page=
31中的介绍。
ＣＩＳＳＰ考试介绍
CISSP的考试题目为250 题单项选择题，均为英文试题（可以带字典），考试时间6个小时，考试总分1000分，700分通过。2006年下半年的考试日期安排为：北京清华大学，8月12日、11月11日；上海交通大学信息安全工程学院，9月23日、12月16日。考试时间都为上午9点到下午3点，考试的标准注册费为4800元左右，如果在考试日16天以前注册并付款的话可以优惠为4000元。CISSP考试会涉及到表1中列举的十个领域的知识范畴：
笔者咨询了多位已经获得CISSP认证的工程师，大致总结了一下他们推荐的考试辅导书，这些辅导书大多为英文原版（如表2）：
表１ ＣＩＳＳＰ涉及的领域

表２ 参考用书

职业生涯规划
取得CISSP证书的从业人员，每3年需要重新认证，但可以在3年内通过各种途径来证明自己的能力，以获得120个CPE（Continuing Professional Education，继续专业教育）信用分，负责将必须重新参加考试。CPE的积分获取在国内还没有收到重视，毕竟CISSP的人数还是相当少。笔者这里举几个获取CPE的途径，如：CISSP参加安全会议，每小时可获得1个CPE； 参加大学课程学习并通过，每学期可以获得11.5个CPE；出版安全书籍可以获得40个CPE，出版安全文章可获得10个CPE等。
企业信息安全架构的实现，是需要安全政策、作业实施与使用者安全认知来共同组建的。但是信息安全牵扯到的范围非常广泛，因此企业在推动信息安全的过程中，其所面临到最大的问题通常都是不知该由何处着手。信息系统安全专家正是为解决这一问题而产生的，不同的组织都会为了“数据”而建立安全体系，而“人”的作用绝对占据了核心地位。除此以外，根据很多的猎头公司统计，获得CISSP证书的从业人员的薪金比获得同类证书的人员有着较大的优势。