CISSP安全认证考试流程与再认证问题

一、参考条件  

须具备以下几个条件：

CISSP的道德守则就是要求CISSP有诚实的品质，大家按自己的真实情况进行填写即可。

a、遵守（ISC）2的规章制度（详细内容可以参考www.isc2.org）。

b、在信息系统安全CBK（Common Body of Knowledge）规定的10个考试领域中的一个或多个中工作3年以上。你可以是信息安全相关领域的从业者、审计员、咨询者、客户、投资商或教师，要求你在工作中直接应用信息系统安全知识。3年的实际工作可以是累加的。

c、每3年需要重新认证，需要你在3年内获得120个Continuing Professional Education （CPE）信用分。

d、关于英语：对于非英语国家的考试，CISSP的考试是允许考生携带不含夹带或标注的字典。根据笔者的观察，国内考生未能通过考试的很大一部分原因在于英语基础薄弱，一方面未能准确理解题目，另一方面造成做题速度慢而影响水平的发挥。虽然在某些考试时允许使用无存储功能的电子翻译器（如文曲星），但扎实的英语基础和丰富的专业英语词汇是顺利通过考试的一个重要条件。如果读者对CISSP认证很有兴趣，但工作经验又达不到（ISC）2的要求，怎么办？ 不要气馁，（ISC）2专门为这种情况的考试者设立了一个称为“Associate of (ISC)2”的头衔，考试者在通过CISSP考试，在实际工作中积累足够年限的工作经验，便可向(ISC)2申请升级为正式的CISSP。

e、不过要注意:(ISC)2在五月份修改了CISSP认证考试对报名者的工作经验要求，从2007年的10月1日开始，原来的4年全职工作经验要求增加到5年，工作中要涉及到的CBK数目的要求则从至少一个增加为至少两个。报名者依然可以通过学历和认证证书来减少1年的工作经验要求，认证证书列表和年限放宽的限制和原来一样。

CISSP认证考试的报名者在填写报名表之前，还需要同意(ISC)2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议，还有最重要的，(ISC)2的CISSP道德准则(Code of Ethic)。另外，报名者在填写报名表时，还需要回答4个关于是否有犯罪记录背景的问题。

f、从2002年6月1日起，（ISC）2把取得CISSP的过程划分为两个步骤：认证和考试。通过考试之后，还必须取得第三方的认可才可以最终获得CISSP证书，第三方可以是参考者的雇主、或者是其他已获得认证的专业人士。这一举措增加了获得CISSP的难度，但也更明确了CISSP和其他安全认证的区别，保持了CISSP的权威性。

二、相关资质介绍

以下几种资质是与信息安全相关，目前国内可以申请的专业资质：

* CISA ：Certified Information Systems Auditor，认证的信息系统审计师，由ISACA管理，为安全专业人士关注的另外一个国际普遍认可的专业资质。CISA所需掌握的知识大量涉及到IT安全，约占CBK的70%左右，但更侧重审计流程、方法等方面。

* ISO17799/BS7799 主任审核员，ISO 17799/BS7799－信息安全管理标准，英国国家标准化学会编写，成为国际标准。ISO17799主任审核员类似于ISO9000的品质管理审核员，以审核的方式促进信息安全管理。是安全咨询、IT审核、安全顾问人员的重要资质。该资质的获得要求4年以上工作经验，参加BSI组织的培训课程并通过考核。

* CIW/SP：Certified Internet Webmaster/Security Professional，CIW为针对互联网专业人员的国际商业培训认证，CIW认证为非厂商，但不同于ISACA、(ISC)2等非盈利组织举办。CIW培训课程中安全相关的课程满足技术人员学习安全技能的需求，从而受到较多的关注。但Security Professional认证仅相当于代表持有参加过安全技能培训及通过考核的标志，比较适合初步接触安全的人员学习。

* CISP：（Certified Information Security Professional）注册信息安全专业人员，简称CISP，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security  Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。

关于再认证（Recertification）和持续教育

在专业认证特别在IT领域，很多的证书都有时效性，需要在一段时间后重新认证，以促使持有者关注所在专业的最新动向。CISSP资质的有效期为3年，3年后可以通过重新参加考试的方式进行再认证，但(ISC)2支持持续专业教育积分（Continuing Professional Education -CPE）计划，CISSP资质持有者在3年内获得120个持续专业教育（CPE）积分，同时每年交纳85美元的年度维护费用（maintenance fee），便可保持其CISSP资质。

CPE计分主要来自直接的安全相关活动或教育活动。计分可以按以下的方式获得：

* 厂商的培训：CISSP参加厂商举办的培训、讲座等，每小时可获得1个CPE；
* 安全会议：CISSP参加安全会议，每小时可获得1个CPE；
* 大学课程：CISSP参加大学课程学习并通过，每学期可以获得11.5个CPE；
* 出版安全论文或书籍：CISSP可以通过出版安全书籍获得40个CPE，或出版安全文章获得10个CPE，以此种方式3年内最多获得40个CPE；
* 提供安全培训：CISSP进行安全讲座、授课每小时可以获得4个CPE，以此种方式每年内最多获得80个CPE；
* 服务于安全专业组织的管理层：CISSP每年可以通过服务获得10个CPE，但以此种方式最多可以获得20个CPE；
* 自学：CISSP可以通过自学取得CPE，以此种方式3年内最多获得40个CPE；
* 阅读安全书籍：CISSP可以通过阅读信息安全书籍的方式获得10个CPE，但每年只有一本书被承认；
* 志愿工作：CISSP可以通过作为(ISC)2的志愿者的方式获取CPE，分数和具体的活动由(ISC)2决定；
其他：若CISSP希望以其他的方式获得CPE，但必须提交给(ISC)2的再认证委员会批准。

三、CISSP认证的考核范围包括10个方向

CBK（CommonBodyofKnowledge）以下按首字母排序：

1、AccessControl访问控制
2、ApplicationSecurity应用安全（包括开发）
3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划
4、Cryptography信息加密
5、InformationSecurityandRiskManagement信息安全和风险管理
6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查
7、OperationsSecurity操作安全
8、Physical（Environment）Security物理（环境）安全
9、SecurityArchitectureandDesign安全架构和设计
10、TelecommunicationandNetworkSecurity通讯和网络安全

四、如何报名：

报名地址：(ISC)2 网址： http://www.isc2.org 

考生可以通过查询(ISC)2的网站，确定考试的时间和地点，使用信用卡直接在网上交纳报名费。中国大陆的考生可以使用外币卡（如招商银行信用卡）网上支付，同时也可以向协办考试的公司（如中圣）直接交纳人民币。

CISSP考证只能由报名者自己向（ISC）2报名，(ISC)2并没有提供代理报名的方式，这一点请大家注意。目前(ISC)2提供2种CISSP考试的报名方式，在线报名和离线邮件/传真报名。前者适合上网方便、有信用卡的报名者，后者则比较适合没有信用卡的报名者。在线报名的网址是：
https://www.isc2.org/cgi-bin/cissp_register.cgi?examdateid=2877

离线报名方式需要报名者到（ISC）2网站上下载报名表，按表上要求填写后邮寄或传真到表格上所写明的地址。亚洲区域的报名者使用以下地址的报名表：
https://www.isc2.org/download/ExamRegistrationFormAsia.pdf 

在这里要提一下，因为邮寄或传真有可能有延时，所以建议报名者尽量采用在线报名的方式注册CISSP考试。

报名者在选择报名方式的同时也选择了考试费的支付方式，如果是在线报名方式，报名者需要用信用卡支付，请确保信用卡的可用额度足以支付报名费用，使用支持RMB和美元的双币信用卡即可，比如招商银行的信用卡。另外，没有信用卡的报名者还可以请别人代为支付，按在线报名表格的要求填写信用卡信息就可以了，但听有的朋友说请别人用某些银行的信用卡代为支付的时候，会因为（ISC）2提供的支付回执上写的是报名者的名字而非信用卡主人的名字，从而导致支付失败。还有一种方法可以付款，那就是到银行去购买一张汇票（Draft），填写好相关信息后和打印出来填写好的报名表一块邮寄到(ISC)2香港办事处就可以了，不过这种方法会比较耗时。

CISSP考试的报名费在预定考试15天之前支付为499美元，15天之内为599美元。如果报名者因为各种原因需要取消或改时间考试，则需要最少比考试提前15天用书面通知（ISC）2，并且还要支付100美元的退考费或改时间考试费。如果某一次考试的报名