CISSP

信息網絡安全在網絡帝國中的熱度正在急劇上升其所向披靡的能力幾乎控制了整個行業的發展方向。CISSP（Certified Information Systems Security Professional，信息系統安全認證專業人員）認證是目前信息安全領域內最權威、專業、系統的認證。就連在國內號稱“網絡博士後”的CCIE也陸續轉向這個領域。

CISSP（Certified Information Systems Security Professional，信息系統安全認證專業人員）由國際信息系統安全認證機構（International Information Systems Security Certification Consortiurm，Inc以下簡稱(ISC)² ）組織和管理。該機構成立於1989年中期，總部設在北美。是一個獨立的，非盈利性的組織。目的為管理信息安全專業認證人員。它從1992年開始推廣CISSP的認證考試，並且很快得到了國際的高度認可。(ISC)² 在全球各地舉辦CISSP考試，符合考試資格的人員通過考試後授予CISSP認證證書。 ^[1] 

CISSP（Certification for Information System Security Professional）即國際註冊“信息安全師”，這一證書代表國際信息系統安全從業人員的權威認證，被業界稱為信息安全中的“冠軍資質”。由(ISC)² ——（International Information Systems Security Certification Consortium）國際信息系統安全認證聯盟組織與管理。

(ISC)² 成立於1989年，總部設在北美，是一個獨立的全球性非盈利組織。聯盟由多個專業組織、大學、政府機構和專業人士共同組成，其工作目標為開發和維護一個關於信息安全的公共知識體系。依照一套國際化信息安全標準來組織信息系統安全師考試和認證，並通過持續教育來確保證書的實效性。

1995年，加拿大多倫多市舉辦第一次公開CISSP考試。亞洲是除美國本土外擁有CISSP最多的地區，目前又以香港、新加坡和韓國為主。

2002年1月，CISSP考試在香港成立辦事機構。

2002年起，進入中國內地。並在2003年的3-11月期間在北京和上海組織了4次CISSP認證考試。2003年8月的考試中，中國共有25人蔘加、18人通過。 ^[4]  國內CISSP資格獲得者中60%就職於安全廠商和諮詢服務提供商，30%為集成與軟件開發商。

信息安全專業在未來很長一段時間內都將炙手可熱。(ISC)² 組織已經在香港、倫敦、東京和美國設有分支機構 ^[2]  。截至2022年1月1日，全球已有152632人獲得CISSP證書，其中中國3866人，中國香港1960人 ^[3]  。

早期參加CISSP考試的人員多數集中在信息安全從業人員。

隨着CISSP被更多的人認知，其分佈也將逐漸趨於平均，其中像銀行、證券、電信、IT服務提供商、政府和教育部門等行業用户的CISSP的持有者都將會大量增加。

許多跨國企業在招聘説明書上寫明，具備CISSP證書者優先；不少國內企業也紛紛提出相關要求。

國內CISSP資格獲得者的主要對象為信息系統安全專業人員，包括各大企業、電信、銀行證券業、系統集成與服務供應商、電子商務和電子政務的信息安全人員。如從事信息系統安全相關的諮詢或管理工作，其職務主要為CIO（首席信息官）、CSO（首席安全官）、諮詢顧問師、安全維護員和培訓講師等 ^[2]  。

在國外擁有CISSP證書資格的人具有非常高的地位，在國內擁有CISSP證書資格的人更是珍貴，作為行業內認可的一種比較規範，CISSP在某種程度上確定了一個國家的信息系統安全等級。

擁有CISSP證書的人在必須有非常豐富的網絡安全領域的工作經驗，因為報考CISSP必須至少擁有三年的工作經驗，目前已經改為四年。而且證書的發放還要跟申請人工作單位領導的協商，只有領導認可加上考試成績和工作經驗才可以獲得這個證書。這同時也是擁有CISSP證書資格的人讓業主放心的重要原因之一。 ^[1] 

CISSP考試題目來自(ISC)²的題庫，每次考試都會根據當前信息領域安全的熱點有所側重。CISSP考試題目的範圍很廣，要求考生對信息安全所覆蓋的各個知識點都有所瞭解。它的最大挑戰就在於每個考生須對安全領域的10個範疇都熟悉。

CISSP資質有效期為3年，3年後可重新參加考試進行再認證，但(ISC)²支持持續專業教育積分計劃，CISSP持有者在3年內獲得120個持續專業教育（CPE）積分，同時每年交納年度維護費用，便可保持其CISSP資質。積分獲得方式包括進行信息安全教育，或出版相關著作等 ^[2]  。

對於CISSP考試來説，(ISC)²把CISSP通用知識框架（CBK）作為CISSP的考察範圍。考試形式為：250道多項選擇試題，6個小時的考試時間，純英文語種。

考試的申請有多種方式，但是不管用什麼方式，申請人必須具備以下條件：

1：遵守(ISC)²的規章制度。

2：在信息系統安全CBK（Common Body of Knowledge）

規定的10個考試領域中任一領域工作4年以上：申請人可以是信息安全相關領域的從業者、審計員、諮詢者、客户、投資商或教師，要求申請人在工作中直接應用信息系統安全知識。4年的實際工作經驗是可以累計的。

3：每3年需要重新認證，需要在3年內獲得120個Continuing Professional Education（CPE）信用分。

考試地點：在國內，考試地點不定，機會較少。可以在北京，也可以在上海考試。但是有時間限制，也可以到香港去考試。

·存取控制系統和存取控制方法

·應用及系統開發安全

·業務持續性計劃（BCP）與系統恢復（DRP）

·密碼術

·安全法規、安全調查及安全道德

·運行安全·實體安全

·安全體系結構與安全模型

·安全管理實踐

·通信及網絡安全。 ^[1]