CISSP之路开篇杂言.doc

J0ker的CISSP之路开篇杂言 20119月22日 14:21 ? ? J0ker的CISSP之路 ? 今天离通过ISC2的Endorsement审批差不多有一个月，一直没有写点东西总结一下备考和考试之中的点点滴滴，自己想想，还是应该写点东西，也当是对自己努力过的一点纪念 ：） J0ker觉得自己能一次通过CISSP的考试是相当幸运的，虽然CISSP仍然比较偏重技术方面的考核，但安全管理方面的知识占了整个考试相当大的份额，而且考试考核的范围之广，可以用令人发指来形容。。。 不过还好，毕竟过了，在ISC2的官方站点上查过，截至今年4月31号，国内的CISSP只有371人，加上5月和6月两次考试的通过者，估计也在400之内（每次考试只有20多人，只有一半多的通过率），算起来J0ker还是Top500 : P 现在打算在IT行业里面有较好的发展，一两个认证也是必不可少的，虽然从业经验同样是很宝贵的，许多认证本身的参加考试资格就需要有多少多少年的经验，这种认证必然会使持证者的自身价值上有不小的提升。但不可否认，因为国内认证机构或者代理机构的鱼龙混杂，导致不少原来含金量挺高的认证近年来大大贬值，不过认证的学习和考试过程，认真学习的参与者肯定能受益不少。对应届的毕业生来说，持有初级的技术认证也要比其他竞争者在选择工作上要更有竞争力，尤其是在现在招聘单位都要求求职者有工作经验的情况下。 之前和安全频道的编辑Joe讨论过出一个安全认证的专题，但J0ker一直静不下心来好好总结。。。最近事情比较少，所以J0ker打算用一个系列的文章，给大家介绍下CISSP相关的知识，也和大家交流下备考过程的心得，顺便也通过CISSP的课程体系，给大家介绍一下信息安全的体系和组成。 ? 写在前面：《J0ker的CISSP之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望《J0ker的CISSP之路》能给大家都带来帮助。最后你们的支持就是我不断努力向前的动力：） 正文 作为《J0ker的CISSP之路》系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看CISSP认证的颁发机构（ISC）2： ? （ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证： ? SSCP（System Security Certificated Practitioner）认证系统安全实践者 ? CAP（Certification and Accreditation Professional）认证和评估专家 ? CISSP (Certificated Information System Security Professional) 认证信息系统安全专家 ? CISSP的升级版本CISSP-ISSAP(Information System Security Architecture Professional) 信息系统安全架构专家 ? CISSP-ISSMP（Information System Security Management Professional）信息系统安全管理专家 ? CISSP-ISSEP（Information System Security Engineering Professional）信息系统安全工程专家 ? （ISC）2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是[url][/url] ? （ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于（ISC）2较为低端的SSCP和CAP认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。 ? CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的