觀點

資訊安全人員現在流行什麼證照?

2005 / 11 / 04
口述 / 許偉健 整理 / 卓長熹
資訊安全人員現在流行什麼證照?

而現在有哪些公認的國際證照能幫助資訊安全人員更進階適合的對象?差異是在哪?以下將針對目前六個在資安界最流行並為國際認可的證照,提供讀者參考。
CISM
國際電腦稽核協會(ISACA)在2002年推出一個新的證照,國際資訊安全管理師證照 (CISM,the Certified Information Security Manager),主要對象是以在資訊安全領域,具設計、監督或評估等管理責任和經驗的經理人為主。
CISM證照推出的時間僅約兩年,每年一次考試在2003年12月前,為了鼓勵資訊安全經理認識和拿取證照,推出不受考試條例規範的方案,只要有相關資安管理經驗,通過ISACA審查後,亦可申請換取CISM證照。唯目前只有以考試方式拿取,拿取證照者人數並不多;低標是75分,但通過考試只是基本門檻,還需具備一些其他相關經驗的條件去申請才能拿取,如需具備五年的資訊安全經驗,其中兩年為一般的資安相關經驗,三年為經理或管理層級的資安經驗;或是擁有CISSP(Certified Information Systems Security Professional)或CISA(國際電腦稽核師,Certified Information Systems Auditor)證照者亦可相抵前者兩年一般的資安相關經驗。此認證的取得不易,從2002年至目前經考試後申請成功者僅三位。
CISM的內容著重於5 domain,包括1.建立和維持資訊安全架構以符合企業組織的安全目標與符合法令;2.風險管理機制的建立;3.對資訊安全管理架構提供計畫的設計、開發和管理;4.資訊安全管理的實施;5.對災難的回覆與處理能力等。

CISA
CISA認證是由國際電腦稽核協會發起,1978 年開始發行,並有中文考試方式進行,在國內考試人口較多,主要是以在資訊系統審計、控管與安全專業稽核的人員為對象,內容包括1.資訊系統負責稽核流程;2.資訊系統的管理、計畫與組織;3.資訊技術基礎設施與操作實務;4.資訊資產的保護;5.業務持續計畫(BCP)與災難恢復(DRP);6.應用系統開發、獲得、實施與維護;7.業務處理流程評價與風險管理等範圍,偏重於稽核層面。

CISSP
CISSP 認證是1992年開始發行,是(ISC)2組織針對資訊安全相關人員所發的證照,認證涵蓋的專業領域範圍十分廣泛,對資訊安全的管理和運作提供10個領域的基本管理及運作方法,包括1.資料存取控制系統及方法;2.應用系統發展安全;3.BCP及DRP4.密碼學;5.法律犯罪調查及道德守則;6.作業安全;7.實體安全;8.資訊安全系統架構及模式;9.安全管理實務;10.資料通訊及網路安全。CISSP的範圍和BS7799的涵蓋範圍有些類似,但BS7799較理論性,傾向於要『做什麼』可達到其認證的10 domain,而CISSP則傾向於要『如何做』的實務運作方法。
(ISC)2目前又延伸出三個對領域及對象更專精的證照,分別如下。
ISSMP (Information Systems Security Management Professional),針對資訊安全具管理背景者;主要內容是確認對整個企業的資訊安全管理、系統開發有相當程度認知、整個IT的營運是否符合公司需求及政策、BCP和DRP、法律、電腦犯罪鑑定。
ISSAP( Information Systems Security Architecture Professional),針對資訊安全的架構具調整、規劃之責及有技術背景的人,例如網路設計或是技術安全的建置等會影響到資訊安全者;主要目的是要確認相關人員對存取控制、電訊安全、網路安全、密碼學、資訊安的標準、BCP與DRP及實體安全等更深入之技術層面。
ISSEP( Information Systems Security Engineering Professional),針對資訊安全的系統工程師所發行的證照,內容包括系統安全工程、證明和檢定、技術管理、美國資訊相關法律四個項目。
ISSMP 的BCP與DRP內容著重在架構領域,而ISSAP的BCP與DRP是著重在計畫的擬定層面。以軟體工程為例,其中分析師考的是ISSAP,程式設計師考的是ISSEP,而負責管理者則是ISSMP。

CISM、CISA和CISSP的差異
發行的組織不同,內容的面向則不同。(ISC)2組織(發行CISSP)的建立是立基於在資訊安全,而ISACA(發行CISM與CISA) 組織是立基於稽核的部分,其中CISM著重在經營管理有別於CISA著重在稽核。在考試的內容部分,CISSP偏向理論性的題目,而CISM偏向實務經驗的問題。

結語
申請證照的主要目的,一是自我專業度的肯定,二是經由準備的過程更進階學習,再則現在客戶對委外公司或人員的證照要求也日益嚴格,因此透過自修或是參加課程訓練,取得認證是對專業晉級很好的方式;也是雇主在選擇和評估人才時一個衡量的基礎。
而受訪者強調,拿到證照不代表我們的工作能力很強,它是對資訊安全人員的基本肯定,更重要的還有實務上的經驗累積和不斷的進修和學習。

本文受訪者 許偉健,得到CISSP及CISM證照,現任資誠會計師事務所價值管理服務部協理(曾任職於英國Schroders Investment Bank, Security Analyst / Cazenove Investment Bank, Access Control Manager / Bank of Scotland, Security Consultant)

證照表:

證照類別 : CISM
發行組織; 國際電腦稽核協會(ISACA) 參考網址:http://www. isaca.org
對象:具資訊安全管理責任和經驗的經理人
考試內容;
1.建立和維持資訊安全架構以符合企業組織的安全目標以及符合法令
2.風險管理機之的建立
3.對資訊安全管理架構提供計劃的設計、開發和管理
4.資訊安全管理的實施
5.對災難的回復與處理能力。
費用;會員:2005/2/2
前US$335元
2005/3/30
前US$385元
非會員:
2005/2/2前
US$455元
2005/3/31
前US$505元


證照類別 :CISA
發行組織; 國際電腦稽核協會 (ISACA)
對象: 資訊系統審計、控管與安全的專業稽核人員
考試內容;
1.資訊系統稽核流程
2.資訊系統的管理、計畫與組織
3.資訊技術基礎設施與操作實務
4.資訊資產的保護
5.業務持續計畫(BCP)與災難恢復(DRP)
6.應用系統開發、獲得、實施與維護
7.業務處理流程評價與風險管理等範圍的稽核層面。
費用;會員:
2005/2/4前
US$325元
2005/3/31前
US$375元
非會員:
2005/2/4前
US$445元
200/3/31前
US$495元


證照類別 :CISSP
發行組織; (ISC)2 參考網址:https://www. isc2.org
對象: 資訊安全相關人員
考試內容;
1.資料存取控制系統及方法
2.應用系統發展安全
3.企業永續計畫(BCP)及災害復原計畫(DRP)
4.密碼學
5.法律犯罪調查及道德守則
6.作業安全
7.實體安全
8.資訊安全系統架構及模式
9.安全管理實務
10.資料通訊及網路安全
費用;US$450元



證照類別 :ISSMP
發行組織; (ISC)2
對象: 對資訊安全具管理背景者
考試內容;
1.確認對整個企業的資訊安全管理
2.系統開發有相當程度的認知
3.整個IT的營運是否符合公司需求及政策
4.BCP和DRP
5.法律
6.電腦犯罪鑑定
費用;US$450元

證照類別 :ISSAP
發行組織; (ISC)2
對象: 資訊安全的架構具調整規劃之責、有技術背景的人
考試內容;
1.確認相關人員之存取控制
2.電訊安全
3.網路安全
4.密碼學
5.資訊安的標準
6.BCP和DRP
7.實體安全
費用;US$450元

證照類別 :ISSAP
發行組織; (ISC)2
對象: 資訊安全的系統工程師
考試內容;
1.系統安全工程
2.證明和檢定
3.技術管理
4.美國資訊相關法律
費用;US$450元