資安管理CISSP證照的前途

除了技術類別之外,IT管理也是證照領域中的一個重要類別。以目前常見到的種類來說,我們可以把管理類證照區分為資訊安全、專案管理,以及IT服務管理等3大類。 由於IT管理在實作上,往往要有相當程度的工作經驗才得以勝任,因此許多管理類別的證照都有資格限制,具備一定的條件後才能參加證照考試。舉例來說,像是CISSP要求參與這項認證的人員,必須具備5年的相關工作經歷,還要在考試通過後的3年取得120分的進修點數,以及得到相關領域的第3方人士推薦始有取得證照的資格;專案管理類別的PMP證照要求人員要具備4,500到7,500小時不等的專案管理實作經驗,以及在PMI(Project Management Institute,專案管理學會)原廠認可的機構(教育訓練中心,或者是顧問公司)接受至少35小時的課程;ITIL在這方面的限制較不嚴格,但也要求應考者至少要上過課程之後,才有資格參加考試。

取得管理類證照後,可以做什麼?
有別於CCNA、MCSE等證照以增加工作上的技能為主,考取證照之後多半仍然在原有的領域繼續工作,不過多數人取得管理類證照之後,工作的角色上也會出現很大轉變。 以資安類CISSP證照來說,也許就會有機會成為資安顧問,輔導企業執行資安相關計畫,或者稽核目前所採行的資安政策是否得宜,有無任何地方需要改進之處。而且在工作上,有許多時候已經不是專攻在某項技術,或者是某項產品,而是從整體面向規畫資訊安全。以CISSP為例,在準備階段,就有10項學科必須吸收學習,以備日後工作上的不時之需。

專案管理也是時下很熱門的管理類證照,它的應用範圍很廣,許多行業都有這方面的需求,而不限定在IT工作的領域,取得證照者,可以成為顧問,或者是專案經理,為企業規畫專案執行的流程,提高執行上的效率。

IT服務管理類的證照,其目的多半是從資訊部門的角度出發,協助企業改服務品質為主,ITIL是這個領域中頗具代表性的一張證照,其下依照需求不同,還可以區分成3種不同等級的子證照,在臺灣,以ITIL Foundation和ITIL Service Manager和ITIL Service Manager,其中ITIL Foundation適合企業內部員工取得,直接將所學應用在周遭的工作環境;如果是擁有ITIL Service Manager,則可以更上一層樓,以資訊部門主管,或者是顧問的角色指導企業應該要如何做。

不同證照之間整合運用,可發揮加乘效果
乍看之下,這些證照看似沒有關連,彼此之間好像是各自獨立的,但是對於企業來說,現有的問題,也許不是單靠一張證照的所提供的知識就可以從容應付的,所以才會有第2、第3……甚至是更多其它證照的需求,彼此之間可以達到相輔相成,發揮更好的效果。

CISSPF考試經驗交往

第壹步:回顧考點
  回顧官方的專家經歷要求,特別要註意變化的要求,這於2003年1月1號生效。從前,(ISC)² 要求應考者必須在至少在(ISC)² 通用知識框架(CBK)的10個信息安全領域中的壹個裏有至少3年的專家經歷。現在如果妳能附加壹個4年的大學學位,3年的經歷就足夠了;如果沒有學位,妳就必須具有4年的安全專家經歷。那麽什麽是 “專家”經歷呢? (ISC)² 提供了壹個非常清楚的藍圖,來表示它看待經驗的指導方針。事實上,它還說明了它不需要的。我唯壹額外的建議是,要記住這CBK中的安全領域範圍是非常廣泛的。這就導致了如果妳僅僅在壹個領域擁有管理和專家才能,那麽妳會發現達到考試的經驗要求是相當難的。
  
  妳在人力資源管理部門工作嗎?我敢打賭妳執行了預先雇傭政策,這要求妳發揚CBK中的安全管理實踐和操作安全領域中的要點。妳是個執行和保持合同信息機密性的律師嗎?或者妳考慮版權、專利權和商標?如果是這樣,妳可能需要滿足法律、調查&道德規範和安全管理實踐這2個領域的需求。作為壹個IT專業人員,妳或許會開展訪問控制策略和服務器恢復策略,甚至還可能為系統做適當的物理或邏輯安全決策。總之,只要妳做出決定,和其他人的決定相逆,那麽妳可能需要具備(ISC)²的網站上所描述的經驗需求。
  
  
第二步:註冊考試
  如果妳覺得妳達到了考試的要求,具備了參加考試的資格,那麽妳需要在線註冊妳的考試地點和日期,在 (ISC)²的考試預定頁面 提交請求並預約考試。確定妳選擇的時間還允許妳有壹定時間準備考試。依賴於妳準備考試的方法—看書自學、上機培訓或者是教師引導的教室培訓—妳可以在任何地方花7天到8個月的時間準備考試。這門考試現在需要450美元(3個星期的高級註冊)或是550美元(沒有高級註冊)。妳應該會在2天內收到確認郵件從而完成在線註冊過程。很多參加過CISSP培訓課程的學生反映,常常收不到確認信件,所以如果沒有收到郵件也不要害怕,自己聯系 (ISC)² 完成註冊吧。
  
第三步:準備考試
  妳需要得到1000分中的700分才可以通過考試。考試問題難度也許不壹致,所以很難確定答對多少題能通過考試。妳需要努力的學習並準備應對嚴格的6個小時的考驗。這是以前參加過考試的學生的意見。購買並慘考了壹下KillTest考古題網有關的CISSP題庫,雖然題庫數目偏多,但都是從CISSP題庫中抽取出來。覆蓋率96%以上,確保了我通過的概率。
  
  Chuck Hede是MicroFinancial的系統操作主管,他說CISSP 考試並不適合剛剛踏入某個崗位的人,而適合有寬闊背景的IT專業人員。“考試結束後,只有壹個詞能形容我的感受:耗盡精力”Hede說:“我必須絞盡腦汁的去回答壹些問題,其中有壹些很少見的問題,讓我有感到疑惑。”
  
  第四步:完成認證
  壹旦妳完成了考試,(ISC)² 應該會在21天內用電子郵件通知妳是否通過考試。如果妳通過了,妳會被邀請提交壹個 (ISC)²提供的認可表單來完成認證過程。
  
  
  認證的專家是行業的先驅
  
  隨著計算機犯罪事件的快速增長,妳有壹個機會迎接改進所有方面安全管理和執行的挑戰。完成和保持CISSP這樣的認證表現了妳在信息安全行業裏義務和參與的深度。當然,CISSP非常難學,但是要是它太簡單了,誰都能擁有它。如果妳計劃成為信息安全領域的專家,也許是時候該搏壹搏的時候了。

CISSP信息概述

CISSP-起源
成立於1989年中期,總部設在北美,是壹個獨立的,非盈利性的組織,目的為管理信息安全專業認證人員。它從1992年開始推廣CISSP的認證考試,並且很快得到了國際的高度認可。目前(ISC)2在全球各地舉辦CISSP考試,但在中國,僅在北京、上海、廣州三地設有考點,雖然CISSP僅僅剛剛登陸中國,但勢必成為近年內的熱門認證。很多大型國際企業都在近幾年內設立了具有決策和管理權限的信息總監,並將信息安全部門的規劃提到的議程上,具有CISSP認證的專業人士往往在就職這樣的重要職位有得天獨厚的優勢。在國內號稱“網絡博士後”的CCIE(Cisco Certified Internet Export),思科系統認證的互聯網專家)也開始關註這個領域,並已經有部分CCIE專家們開始轉向同時持有CCIE&CISSP雙證書。

CISSP-條件
想要通過CISSP認證考試,必須具備以下幾個條件:
1.遵守(ISC)2的規章制度(詳細內容可以參考 www.isc2.org)。
2.在信息系統安全CBK(Common Body of Knowledge)規定的10個考試領域中最少2個範圍的專業經驗5年3、每3年需要重新認證,需要妳在3年內獲得120個Continuing Professional Education (CPE)信用分。只有具備了以上三個條件,妳才能有資格參加CISSP的認證考試,是不是很苛刻呢?但門檻越高,意味著妳將獲得的能力也越高,付出和收獲總是成正比的。

另外,從2002年6月1日起,(ISC)2把取得CISSP的過程劃分為兩個步驟:認證和考試。通過考試之後,還必須取得第三方的認可才可以最終獲得CISSP證書,第三方可以是參考者的雇主、或者是其他已獲得認證的專業人士。這壹舉措增加了獲得CISSP的難度,但也更明確了CISSP和其他安全認證的區別,保持了CISSP的權威性。

CISSP-報考要求
報考者必須具備至少五年的工作經驗,擁有大學本科學歷,需要四年工作經驗,研究生學歷仍需四年工作經驗。工作經驗應為CBK規定的10個知識域中的壹個或多個範疇簽署並承諾遵守(ISC)2制定的職業守則(CodeofEthics)支付599美元的報考費用,確定報考地點,參加長達6小時的CISSP考試