在信息安全圈中,也有权威的国际认证,那就是CISSP“Certified Information System Security Professional”(信息系统安全认证专家)。
下面我们先来看CISSP认证的颁发机构(ISC)2:
(ISC)2是信息安全领域的顶级认证机构之一,成立于1989年,到现在已经给超过120个国家的五万多名安全专家授予了相关认证。(ISC)2目前提供如下6种认证:
SSCP(SystemSecurityCertificatedPractitioner)认证系统安全实践者
CAP(CertificationandAccreditationProfessional)认证和评估专家
CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家
CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家
CISSP-ISSMP(InformationSystemSecurityManagementProfessional)信息系统安全管理专家
CISSP-ISSEP(InformationSystemSecurityEngineeringProfessional)信息系统安全工程专家
(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是[url]http://www.isc2.org[/url]
(ISC)2提供的6种认证中,知名度最高和持有者人数最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人数最多的是美国,现有30385名,中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP,而且有一定的相关领域工作经验要求,所以在国内除了香港18名台湾4名持有者之外,大陆还没有持有者。至于(ISC)2较为低端的SSCP和CAP认证,由于其定位和考核内容的原因,在国际上的接受程度不高,所以除了美加两国外,其他国家的持有者都很少。
CISSP认证是国际上最权威、最受认可的信息安全认证,它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。
CISSP认证的考核范围包括10个方向,称为CBK(CommonBodyofKnowledge)以下按首字母排序:
1、AccessControl访问控制
2、ApplicationSecurity应用安全(包括开发)
3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划
4、Cryptography信息加密
5、InformationSecurityandRiskManagement信息安全和风险管理
6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查
7、OperationsSecurity操作安全
8、Physical(Environment)Security物理(环境)安全
9、SecurityArchitectureandDesign安全架构和设计
10、TelecommunicationandNetworkSecurity通讯和网络安全
CISSP的考试将是一场严峻的考验——在6个小时内,考生需要完成250道选择题,平均每道选择题只有一分半钟的时间可以思考,而且由于CISSP考试使用标准化答卷,考生要留出大概半个小时的时间把答案填到答卷上,事实上考生用来完成每道题的时间只有一分钟左右。