IT Certification 考試資訊

标签: CISSP

  • 如何報考CISSP

    CISSP(Certified Information System Security Professional,國際註冊資訊安全專家)是國際公認最權威的資訊安全專業人員資質,由(ISC)²(International Information Systems Security Certification Consortium)國際資訊系統安全認證聯盟組織和管理,符 合資格人員通過考試後授予 CISSP 資質。

    CISSP 在全球獲得廣泛認可,被譽為資訊安全界的至高標準,並取得美國國家標準學會(American National Standards Institute) 之有關資訊安全的 ISO/IEC 17024 證書標準。該證書為全 球專業人員資格認證標準, 以確保不同範疇專業能力水準,使雇主更有信心地相信他們雇用的 資訊安全人員, 擁有所需要的技術水準與經驗,能有效地處理及執行企業的資訊安全系統及政 策。截止 2006 年 1 月,中國大陸取得該資質的人不足 300 人,分佈在各大 IT 相關企業及電 信、金融、大型製造業、服務業等行業的資訊系統部門。

    參加 CISSP 考試的資格要求

    •      參加考試人員必須在 CBK 十個領域中的兩個或兩個以上領域有 5 年或以上的工作經驗
    (或 4 年經驗及持有認可本科學位)
    •      同意及遵守(ISC)2 的執業道德守則
    •      未擁有足夠專業經驗的資訊安全從業人員,亦可以報名參加 Associate CISSP 的考 試,通過相同的考試後成為(ISC)2 的 Associate(准成員),5 年內累積足夠的專業經 驗,得到審核及推薦後正式成為 CISSP

    CISSP 報考

    考試時間:6 月 23 日 (週六)           11 月 17 日(週六)
    9:00am–3:00pm(報到和開考時間以註冊後所收到的 admission document 為准)

    考試地點:上海交通大學資訊安全學院(張江) 考試費用:
    標準註冊費:USD599
    提前註冊費:USD499(必須於考試日 16 天以前註冊並付款)

    網上註冊:
    — 登陸 www.isc2.org
    — 選擇“examination schedule” 輸入“China”,再按“Submit”
    — 選擇考試日期,並輸入所許需註冊資料
    — 選用 Visa or Mater 信用卡付款 如果您沒有信用卡,可用銀行匯票(Bank draft)代替,方法如下:
    — 到銀行購買一張美元匯票,抬頭給(ISC)2
    — 下載亞洲註冊表 https://www.isc2.org/cgi-bin/content.cgi?category=542
    — 填寫所有資料,簽署,並連同銀行匯票的複本一起傳真到 +852 8226 7723
    — 把簽署好的 1)註冊表正本 2)銀行匯票 用快遞寄到(ISC)2 香港辦事處
    — 地址:(ISC)2,30/F Bank of China Tower, 1 Garden Road, Central, Hong Kong

    ***您亦可在註冊表的第 3 頁找到這些資料*** 請注意:註冊表正本和銀行匯票必須要在提前註冊限期前寄到(ISC)2 香港辦事處,方可 享有提前註冊優惠 。若需正式發票,可 email 給 rlee@isc2.org

    考試形式

    考生必須在六個小時內完成 250 道英文單項選擇題,按加權形式計分,答對 70%算通過。
    試題涉及 CBK 所有十個知識領域,但不會按範疇分類。試題覆蓋廣泛不會特別關注某些系統或 軟體。考生需根據公認的安全原則給予正確答案。

    申請證書

    1、 通過 6 小時、設有 250 道選擇題的嚴格考試
    2、 通過考試的考生將收到來自(ISC)²郵件,考生需按要求填寫電郵附件中的“表格”, 並由一名符合條件的第三者簽注贊同他/她的申請。可以替 CISSP 考生簽注的人士包括 另一位 CISSP、考生的雇主、或具有任何一類執照、認證或委任的專業人士。考生將“表格”連同自己的簡歷一同郵寄或回傳給(ISC)²,(ISC)²抽樣審核後將會頒發正式的CISSP 證書。

    CISSP 證書
    CISSP.jpg

    CISSP 資質維護要求

    成功通過 CISSP 認證考試和審核後,考生會收到證書及 CISSP ID 卡並列入 CISSP 名錄,
    可參與議論會、為(ISC)²委員會服務及參與年度選舉。
    為保持資質的有效性,CISSP 需每三年獲取 120 個持續教育學分(CPE),並每年交納年 費(AMF)85 美金。否則,三年之後將需要重新通過考試才能取得認證。

    CISSP 考試準備

    CISSP 考試專門測試對 CBK 的認識及應用水準,考核對 CBK 培訓課程中的概念及定義的 理解能力。要通過長達六個小時多達 250 道題目的考試需要具備相當的知識水準。許多從事 資訊技術的專業人員對部分安全領域知識有相當深入的理解,但是卻只專注于資訊安全領域 的某些方面,如果沒有仔細複習平時較少接觸的領域,相信很多考生會發覺這個考試有一定 困難。由於 CISSP 目前為止沒有推出中文考試,對中國考生而言語言也是重大障礙之一。

    預備考試有兩種辦法:自學及參加 CISSP 培訓。
    本文撰寫者綜合多年 CISSP 培訓、認證領域的工作經驗,簡單給出以下建議:

    自學者:工作經驗尚淺者建議學習《All In One》,該書講解詳盡,多處舉例說明,易於理
    解。具備相當工作經驗者可學習《Prep Guide》。建議自學時間不少於三個月,並於考前做 一定數目的練習題。

    培訓學員:建議培訓後複習一個月參加考試,並於考前做培訓光碟上的類比題。若參加培訓 前能稍加預習,學習效果更佳。

  • 轉載:怎樣獲得CISSP認證

    J0ker向大家介紹了CISSP考試前的食住行和考試中要注意的問題。那麼,成功通過CISSP考試之後還要通過什麼手續才能拿到CISSP認證?獲得CISSP認證之後如果保持認證? J0ker將在本文中為大家一一解答。

    收到考試成績單

    參加CISSP考試之後,考生大概要等2個星期才能收到(ISC)2用E-mail發來的考試成績,通過的考生會收到一封祝賀信,並帶有一個PDF附件(Endorsement表格) ,另外,信中還介紹瞭如何進行下一步手續的簡單介紹。考生如果收到的是一封包含考試成績和10個CBK評價的E-mail,則說明考生沒有通過考試,而考生對10個CBK的掌握程度與評價的分值成反比。沒有通過的考生也不要氣餒,可以針對(ISC)2考試結果郵件中的CBK評價,有重點的再次進行複習,Good Luck!

    背景證明——Endorsement

    (ISC)2為了保證CISSP認證的可信性,採用了第三方確認的方式對通過CISSP考試的考生進行專業知識和工作經驗進行確認,這個流程稱為背景證明,也是常說的Endorsement,(ISC )2會把Endorsement表格隨CISSP考試的結果郵件一起發送給通過考試的考生。 (ISC)2規定Endorsement的簽署人必須持有(ISC)2認可的認證,比如CISSP、CCIE、MCSE、BS7799LA等,或者必須是考生所在單位的高層領導(通常是CTO、CEO,部門經理級別的不可以),這樣簽署的Endorsement才會被(ISC)2所接受。需要注意的是,從2007年9月開始,(ISC)2修改了對Endorsement簽署人的要求,要求籤署人必須持有(ISC)2系列認證(CISSP/SSCP),這樣簽署的Endorsement才會被(ISC)2所接受的。 J0ker認為,(ISC)2提高Endorsement的簽署人要求,更有利於控制新進CISSP的質量,防止出現現在國內某些認證氾濫和貶值的情況,另外,由(ISC)2認證持有者來做Endorsement的簽署人,也能更好的根據CBK來對考生的經驗進行二次確認。

    準備好英文簡歷

    除了Endorsement之外,通過CISSP考試的考生還需要準備一份個人的英文簡歷,按照常規的簡歷寫法來寫就可以。不過要注意一下工作經歷的寫法,應該在工作經歷裡面的每一個項目後面說明該項目涉及到哪些CBK,比如,CBK: Access control這樣寫就可以了。準備好英文簡歷後,考生要將英文簡歷和Endorsement表格交給自己的Endorsement簽署人,讓簽署人填好Endorsement表格並簽名。考生可以用電子郵件或傳真的方式將材料送達(ISC)2的審核負責人,如果是採用電子郵件方式,可以將材料準備好後掃描成PDF文檔,再通過電子郵件發送到Audit@isc2. org,不過要注意只能由Endorsement的簽署人來發送這兩份材料,考生自己發是無效的。如果是採用傳真方式,只需把材料傳真到(ISC)2香港辦事處即可。 J0ker建議考生盡量選用電子郵件的方式來發送審核材料,這樣處理的速度會比較快,也可以防止因為傳真引起的審核材料丟失。

    教育經歷審核

    (ISC)2每次還會隨機抽取10%左右的通過者再做一下教育經歷的審核,被挑選到的通過者會在所收到CISSP考試結果郵件中看到教育經歷審核的要求和具體步驟。 J0ker當時沒有被抽中,後來問了一下曾經被要求進行審核的CISSP朋友,所謂的教育經歷審核需要提供兩份材料,其中一份是聲明,聲明被審核者確認所提供的所有材料都是真實無誤的,另外一份資料是被審核者的學歷證書複印件。被審核者準備好材料之後,可以將材料掃描編輯成PDF文檔,發送到Audit@isc2.org,也可以將材料傳真到(ISC)2香港辦事處。

    送出審核材料後,考生大概會在2到3天后收到(ISC)2的資格審核確認郵件,如果審核通過,大概2個星期後,考生就能收到(ISC)2用航空郵件發來的CISSP證書,成為CISSP中的一員。可能大家比較擔心證書投遞的問題,不用擔心的,國內的郵局都有專門的翻譯負責國外郵件的分發,只要在CISSP考試報名時填寫地址信息正確,一般都能很快收到。如果考生收到了(ISC)2的資格審核確認郵件,卻又在2至3個星期內沒有收到CISSP證書,還可以向審核確認郵件裡提供的E-mail地址發郵件詢問,(ISC)2確認後會重新寄送CISSP證書的。隨CISSP證書一塊寄來的還有一個CISSP名片、一封(ISC)2的歡迎信,信上介紹了CISSP的(ISC)2的會員權利,並附帶了(ISC)2網站的初始登陸密碼。

    如何保持CISSP認證

    (ISC)2規定,CISSP認證的持有周期只有3年,CISSP只有按時繳納每年的會員費(AMF),並在三年內賺取120 CPE(Continuing Professional Education,繼續教育點數),才能在三年後更新所持有的CISSP認證。

    CISSP的會員費是每年85美元,CISSP在(ISC)2網站上登陸自己賬戶之後便可查到自己下一次交會員費的時間,如果在該時間60天之內不繳納會員費,就需要多交20美元的滯納金。交會員費同樣需要CISSP登陸自己賬戶後才能操作,在會員費信息下面有一個”PAY AMFs NOW“按鈕,點擊進入後,選擇繳費幣種、繳費年限、填好信用卡信息,驗證無誤後提交,便可完成會員費的繳納過程。

    (ISC)2對CISSP有120 CPE的要求是為了督促CISSP不斷的提升自己的知識和經驗,使自己能和技術的發展保持同步。規定只有CISSP本職工作之外的額外發展活動才能算CPE點數,而根據額外發展活動的不同,CPE的種類又分成A類和B類兩種,A類CPE(Direct Information Security Activity)即是與CISSP 10個CBK直接相關的活動,而B類CPE(Professional Skills Activity)則是CISSP自身能力發展的活動,120個CPE中必須包含80個A類CPE和40個B類CPE。

    120個CPE提交的最遲時間是3年周期之後的90天之內,如果CISSP在3年內不能賺夠120個CPE,將會把取消CISSP資格,而在3年周期的最後6個月中提交的超過120的額外CPE點數,可以帶到下一個3年周期。 CISSP提交CPE的方法也需要登陸到自己的(ISC)2賬戶,然後使用”SUMIT CPEs NOW“功能進行CPE的提交,提交的CPE申請一般會在2到3天內得到通過並更新到CISSP的賬戶信息中。另外,(ISC)2還有隨機抽查CISSP CPE的製度,如果CISSP被抽到要求審核CPE的話,則需要提供該CPE的有效證明材料,比如有CPE是CISSP自學某本安全方面的書籍,那( ISC)2會要求CISSP提供這本書的發票,因此提交CPE時,CISSP應保存好CPE的相關有效證明材料。

    CPE提交和CPE點數具體如何計算的資料,都可以在(ISC)2網站上找到,J0ker在此就不再詳述。

    CISSP考古題點擊下載(DEMO): CISSP

    本篇文章來源於黑客基地-全球最大的中文黑客站原文鏈接:http://www.hackbase.com/tech/2009-07-11/53750.html

  • CISSP Vs CCISP:認證名稱相近令人困惑

    一些持有安全行業最值得誇耀的CISSP(信息系統安全專業人員資格認證)證書的人擔心,隨著另一種類似的旨在保護重要的基礎設施網絡的證書的出現,他們努力獲得的CISSP證書將失去特殊的地位。那種由重要基礎設施研究所頒發的資格證書非正式的名稱是CCISP。
      
    Counterpane互聯網安全公司的CISSP資格證書持有者和整合業務經理JP Vossen說,我對這個縮寫字與CISSP非常接近感到非常擔心。自從90年代末獲得CISSP資格證書以來,我親身體驗到了商務界人士一直很難把這個縮寫字搞正確。現在,新增加一個縮寫字將使這種情況更加糟糕。
      
    那些尋求得到更新一點的證書的人必須要滿足最低限度的要求。這些要求包括在重要的基礎設施、數據採集與監控系統(SCADA)或者其它高可用性環境中工作三年以上。因為課程材料的敏感性質和每兩年更新一次資格證書,這項資格證書的申請人還需要通過背景考試。相比之下,CISSP資格證書需要有在這個領域工作四年的經驗並且要廣泛測試申請人的知識。這個資格證書還要求持有者不間斷地學習以保持良好的狀態。
      
    在過去的幾年裡,比較新一點的資格證書已經進入了網絡安全領域。這種證書的持有者要求為他們已經證明的安全技能得到更高的工資。然而,胡亂排列字母令人們難以應付。
      
    Vossen說,過多地使用縮寫字使IT專業蒙受了痛苦。這些縮寫字不僅造成了混亂,而且在很多情況下這些縮寫字還不是惟一的。雖然任何專業都有自己的行話,但是,我們必須要與依賴於我們的IT專業以外的許多人士交流。信息安全在行話和失敗的代價這兩個方面更糟糕,因此,我們要使事情好起來,而不是把事情搞糟。
      
    這個問題的中心是信息系統安全協會(ISSA)承認的並且適合於具體環境的CCISP(重要基礎設施安全專業人員資格證書)。 CCISP資格證書的頒發者稱,這是一種完全不同的證書,是針對重要基礎設施行業的,實際上是CISSP資格證書的一個補充。
      
    重要基礎設施研究所所長Clint Bodungen說,我們是專門從事重要基礎設施保護工作的。重要基礎設施一般包括石油和天然氣、公用事業和核設施。我們的課程專門介紹CIP(重要基礎設施保護)系統和設備,也就是(ISC)2(國際信息系統安全認證聯盟)沒有涉及的數據採集與監控系統。
      
    Bodungen表示,這個縮寫字作為CIP行業的資格證書是合乎邏輯的。我們建議,由於CISSP提供了良好的安全基礎,所有的學生在取得更專業的CCISP資格證書之前都要獲得CISSP資格證書。
      
    美國普度大學的一位CISSP資格證書持有者和計算機技術專業的副教授Marc Rogers說,如果國際信息系統安全認證聯盟不追究他們侵犯商標權的問題,我會感到非常意外。那個縮寫字太接近CISSP了。
      
    據Bodungen說,負責頒發CISSP資格證書的非盈利的國際信息系統安全認證聯盟確實發出了停止使用CCISP縮寫字的命令。但是,這個機構沒有採取其它的措施。同時,Bodungen的公司繼續推銷其資格證書。
      
    國際信息系統安全認證聯盟沒有解釋它為什麼放棄了這個努力。國際信息系統安全認證聯盟通信和相關服務經理Sarah Bohne對SearchSecurity.com網站說,該機構有一項政策,禁止僱員對其它安全資格認證和證書發表評論。
      
    然而,其他持有CISSP資格證書的人員講話更隨便一些。美國紅十字會首席信息安全官、CISSP資格證書持有者Ron Baklarz說,雖然這個縮寫字非常相似,但是,從法律角度看它是不一樣的。我同意這樣的觀點,認為這個縮寫字會引起混亂,這個縮寫字太相似了,令人非常遺憾。我認為,這對CISSP的影響是很小的,因為國際信息系統安全認證聯盟本身已經開始把這個資格證書簡化為SSCP(系統安全認證從業人員),更不用說國際信息系統審計協會(ISACA)的CISM(信息安全經理人認證)認證了。
      
    CISSP資格證書的持有者、安全專家Stephen Cobb對CCISP資格證書的含義有不同的看法。他說,我從該機構網站上看到的內容似乎顯示,這是一個非盈利的機構。 CCISP資格證書與其它證書的惟一區別就是這個證書是由非盈利機構創建和管理的。有些基於廠商的證書,如思科和微軟的資格證書,也具有一定的地位。但是,可信賴的資格證書應該由非盈利機構管理,否則,就很難避開“文憑工廠”的指控。
      
    Baklarz補充說,CCISP網站沒有提供詳細的信息,如嚴格的考試和公共知識體系。國際信息系統安全認證聯盟、國際信息系統審計協會和ASIS等機構用了很多年時間才發展和獲得了一流的聲譽。 CCISP資格證書似乎是最時髦的,但是,肯定是沒有經過考驗的。