CISSP 你的下一个职业目标

信息安全专业是21世纪新出现的专业领域，在国际范围来看，出现大量的信息安全相关职务需求，在近期的职业分析报道中可以发现，无论国际和国内在未来很长的一段时间内信息安全人才炙手可热。
IT领域获得资质证书是求职者有效的证明自己掌握相关知识水平和经验能力的最佳途径，可以使得求职者在激烈的竞争中占据优势地位。CISSP资质可以证明持有者具备了符合国际标准要求的信息安全知识水平和经验能力，具备专业可信度，这是其他厂商类证书所无法比拟的。CISSP资质为企业和组织提供寻找专业人员的凭证依据，目前已经得到了全世界广泛的认可。
CISSP是Certification for Information System Security Professional（国际注册信息系统安全师）的缩写，是代表信息系统安全从业人员最高水平的国际证书，被业界称为“信息安全中无可置疑的冠军资质”。
什么是CISSP？
CISSP（国际注册信息系统安全师）由(ISC)2－International Information Systems Security Certification Consortium（国际信息系统安全认证联盟）组织与管理。
获得该资质的主要对象为信息系统安全专业人员，包括各大企业、电信、银行证券业、系统集成与服务供应商、电子商务和电子政务的信息安全专业人员。主要从事信息系统安全相关的咨询和管理工作，主要的职务为CIO、CSO（Chief Security Officer，首席安全官）、咨询顾问师、安全维护管理员和安全培训讲师等。目前在很多国际公司的职位说明书上已经明确要求应聘者需要具备CISSP等相关资质，而在国内，金融、电信等企业也纷纷要求从事信息安全工作的员工获得CISSP资质。
(ISC)2成立于1989年，总部设在北美，是一个独立的、全球性的、非盈利的组织。联盟多个专业组织、大学、政府机构和专业人士共同组成，其工作目标为开发和维护一个关于信息安全的公共知识体系（Common Body of Knowledge），依照一套国际性的信息安全标准来组织信息系统安全师（CISSP）的考试和认证工作，并通过持续教育来确保证书的实效性。
CISSP在中国的发展
CISSP在国内的就业情况与前景
(ISC)2于1995年在加拿大多伦市多举办第一次公开CISSP考试，截至2002年12月底全球有60多个国家的13,397人获得了CISSP证书。亚洲是除美国本土外拥有CISSP最多的地区，目前在亚洲地区又以香港、新加坡和韩国为主。
2002年1月，(ISC)2在香港成立办事机构，中国大陆地区在2002年5、9、11月分别于深圳、上海、北京举办三次CISSP考试，加上参加海外考试的情况，目前大陆地区约有60余名CISSP，其中60%就职于安全厂商和咨询服务提供商，30％主要为集成与软件开发商，这种集中的情况主要是由于早期参加CISSP考试的人员多数为安全从业人员导致。
随着CISSP被更多的人认知，CISSP的分布也将逐渐趋于平均，其中像银行、证券、电信、IT服务提供商、政府和教育部门等行业用户的CISSP的持有者将会大量的增加。
获得CISSP资质只是一个起步，只是代表您掌握了信息安全领域的专业知识。CISSP在某种程度上可以看做是加入专业安全人士的俱乐部的会员证，大家有交流的共同语言和行为方式，作为专业人士，需要把握安全的发展动态，不断学习和充实自己，并且将所掌握的专业经验应用到实际工作中。
CISSP考试及资质的获得与保持
CISSP报考要求
申请CISSP资质必须满足以下几个条件：
1、 报考者必须具备至少4年的工作经验，若拥有大学本科学历，需要3年工作经验即可。工作经验应为(ISC)2在公共知识体系（CBK）规定的10个知识域中的一个或多个范畴；
2、 报考者必须签署并承诺遵守(ISC)2制定的职业守则（Code of Ethics），如不加入黑客组织等；
3、 报考者必须支付450美元的报考费用，并参加长达6小时的CISSP考试。
只有满足上述条件且考试通过者方可申请CISSP资质。由此可见，CISSP资质是强调工作经验和职业操守的专业认证，并不适合初学者。
CISSP考试
CISSP考试的内容覆盖CBK的10个专业范畴，题目的范围很广但深度并不深。对于从事具体工作的专业人士，非常深入的掌握所有CBK覆盖的知识是不现实的，并不要求考生是每个安全领域经验丰富的专家，但应该对信息安全所覆盖的各个不同的知识点都必须了解。
CISSP的考试由250道单项选择题构成，目前只有英文试题，需要在6个小时内（上午9时至下午3时）完成，一般来说没有时间压力。题目来自 (ISC)2的题库，每次考试题目都会有所变化，根据笔者的经验，每次考试的题目都会有所侧重当前的安全热点问题。在250道题目中只有225道题目计分，其余的25道题目是用于调查的目的，但这些题目并不明确的标注出来。通过成绩一般是答对计分的225题中的70%。
考试的题型比较简洁，题目的设置是与厂商或操作系统无关的，不会出现基于某种具体应用（如Windows或UNIX）的问题。由于参加考试的前提是考生至少具备3年的工作经验，所以考试题目重视的是考核考生是否具备专业的实际经验。虽然书面知识对于理解理论、概念、标准和法规等非常重要，但不能取代处理实际问题的能力。
CISSP考试的最大挑战就在于每个考生并非对于安全的10个范畴都熟悉。比如一个考生可能对安全测试和攻击手法非常精通，但他不一定熟悉物理安全、密码学或安全管理。为迎接考试而进行的大量阅读和学习，非常有助于拓展考生的安全知识领域，对此后的工作和对问题的理解都很有帮助。
专家提示
报名方法和考试地点
考生可以通过查询(ISC)2的网站，确定考试的时间和地点，使用信用卡直接在网上交纳报名费。中国大陆的考生可以使用外币卡网上支付，同时也可以向协办考试的公司直接交纳人民币。
关于英语
根据笔者的观察，国内考生未能通过考试的很大一部分原因在于英语基础薄弱，一方面未能准确理解题目，另一方面造成做题速度慢而影响水平的发挥。虽然对于非英语国家的考试，CISSP的考试是允许考生携带普通字典，但扎实的英语基础和丰富的专业英语词汇是顺利通过考试的一个重要条件。
学习方法
准备CISSP考试有两种学习方法：自学和培训。目前(ISC)2提供为期5天的密集式“CBK 回顾课程”（CBK Review Course），而笔者组织国内CISSP和高校安全专业的教师开发了一套培训课程。应该注意的是无论参加哪类培训，均只能作为一种辅助手段，通过考试还是需要考生的实践经验和大量、全面的阅读和学习。
自学需要注意以下几个方面：
l 资料：选择恰当的学习资料，是进行自学的基础。
l 交流：交流是一种非常好的学习方法，通过考试的CISSP们有一个非常好的传统，就是经常会将自己的备考经历和心得与人分享。考生应充分利用网上资源，如讨论组、BBS和学习小组等。
l 练习：作一定数量的练习题，对于考生熟悉题型和评估学习效果都有帮助。
CISSP是一种较高门槛的专业资质认证，若考生不具备报考条件，可以先参加一些基础课程的学习为佳。衷心的期望各位备考并有志成为CISSP的朋友真正成为各个行业中信息安全的中坚力量，而非将获得资质认证仅作为一种谋求高薪的途径。