CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证,CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员,对从业人员的技术及知识积累进行测试。
本人与2022年4月底开始备考,在2022年9月初通过考试,分享一些备考经验供大家参考和记忆相关知识点。
0x01 简介
信息网络安全在网络帝国中的热度正在急剧上升其所向披靡的能力几乎控制了整个行业的发展方向。CISSP(Certified Information System Security Professional,信息系统安全认证专业人员)认证是目前信息安全领域内最权威、专业、系统的认证。就连在国内号称“网络博士后”的CCIE也陆续转向这个领域。
CISSP(Certified Information System Security Professional,信息系统安全认证专业人员)由国际信息系统安全认证机构(International Information Systems Security Certification Consortiurm,Inc以下简称(ISC)² )组织和管理。该机构成立于1989年中期,总部设在北美。是一个独立的,非盈利性的组织。目的为管理信息安全专业认证人员。它从1992年开始推广CISSP的认证考试,并且很快得到了国际的高度认可。(ISC)² 在全球各地举办CISSP考试,符合考试资格的人员通过考试后授予CISSP认证证书。
0x02 发展概况
CISSP(Certification for Information System Security Professional)即国际注册“信息安全师”,这一证书代表国际信息系统安全从业人员的权威认证,被业界称为信息安全中的“冠军资质”。由(ISC)² ——(International Information Systems Security Certification Consortium)国际信息系统安全认证联盟组织与管理。
(ISC)² 成立于1989年,总部设在北美,是一个独立的全球性非盈利组织。联盟由多个专业组织、大学、政府机构和专业人士共同组成,其工作目标为开发和维护一个关于信息安全的公共知识体系。依照一套国际化信息安全标准来组织信息系统安全师考试和认证,并通过持续教育来确保证书的实效性。
1995年,加拿大多伦多市举办第一次公开CISSP考试。亚洲是除美国本土外拥有CISSP最多的地区,目前又以香港、新加坡和韩国为主。
2002年1月,CISSP考试在香港成立办事机构。
2002年起,进入中国内地。并在2003年的3-11月期间在北京和上海组织了4次CISSP认证考试。2003年8月的考试中,中国共有25人参加、18人通过。 国内CISSP资格获得者中60%就职于安全厂商和咨询服务提供商,30%为集成与软件开发商。
信息安全专业在未来很长一段时间内都将炙手可热。(ISC)² 组织已经在香港、伦敦、东京和美国设有分支机构 。截至2022年7月,全球已有15万人获得CISSP证书,其中国4136人,中国香港1968人 。
目前国内持证人数:https://www.isc2.org/en/About/Member-Counts
0x03 证书价值
在国外拥有CISSP证书资格的人具有非常高的地位,在国内拥有CISSP证书资格的人更是珍贵,作为行业内认可的一种比较规范,CISSP在某种程度上确定了一个国家的信息系统安全等级。
拥有CISSP证书的人在必须有非常丰富的网络安全领域的工作经验,因为报考CISSP必须至少拥有三年的工作经验,目前已经改为四年。而且证书的发放还要跟申请人工作单位领导的协商,只有领导认可加上考试成绩和工作经验才可以获得这个证书。这同时也是拥有CISSP证书资格的人让业主放心的重要原因之一。
0x04 证书价值
CISSP考试题目来自(ISC)²的题库,每次考试都会根据当前信息领域安全的热点有所侧重。CISSP考试题目的范围很广,要求考生对信息安全所覆盖的各个知识点都有所了解。它的最大挑战就在于每个考生须对安全领域的10个范畴都熟悉。
CISSP资质有效期为3年,3年后可重新参加考试进行再认证,但(ISC)²支持持续专业教育积分计划,CISSP持有者在3年内获得120个持续专业教育(CPE)积分,同时每年交纳年度维护费用,便可保持其CISSP资质。积分获得方式包括进行信息安全教育,或出版相关著作等 。
对于CISSP考试来说,(ISC)²把CISSP通用知识框架(CBK)作为CISSP的考察范围。考试形式为:250道多项选择试题,6个小时的考试时间,纯英文语种(国内已经有简体中文版本)。
考试的申请有多种方式,但是不管用什么方式,申请人必须具备以下条件:
1:遵守(ISC)²的规章制度。
2:在信息系统安全CBK(Common Body of Knowledge)
规定的8个考试领域中任一领域工作4年以上:申请人可以是信息安全相关领域的从业者、审计员、咨询者、客户、投资商或教师,要求申请人在工作中直接应用信息系统安全知识。4年的实际工作经验是可以累计的。
3:每3年需要重新认证,需要在3年内获得120个Continuing Professional Education(CPE)信用分。
考试地点:在国内,考试地点不定,但是很多地方都有考点可随时提前预约:北京、沈阳、广州、上海黄埔、上海徐汇、河南、陕西均可提前网上预约。
0x05 考试内容相关
- CISSP的8考试领域(共分8个域):
- 安全与风险管理
- 资产安全
- 安全架构和工程
- 通信与网络安全
- 身份和访问管理
- 安全评估与测试
- 安全运营
- 软件开发安全
建议考生使用AIO_8th(中文)材料或CISSP官方学习指南第8版(中文OSG),本人学习期间使用得是中文OSG第八版完全足够。
