觀點

資訊安全人才需求殷切 CISSP將成CISO基本條件

2005 / 11 / 04
詹志文
資訊安全人才需求殷切  CISSP將成CISO基本條件

隨著資訊安全的重要性逐漸獲得政府與企業的重視,對於資訊安全人員的需求也日益增加,但是如何來評估資訊安全人員的能力,卻不是透過現有的教育體制所能夠實現的。目前國際間最重視的資安證照有好幾種,其中CISSP則是其中最難考到的一種證照,這個證照是由(ISC)2這一家國際知名的資訊系統安全認證核准組織所核發的,目前在台灣僅有百餘人擁有這張證書,可說是得之不易。究竟CISSP的主要屬性為何?(ISC)2在台灣的未來發展有哪些計畫?相信透過(ISC)2教育服務副總裁Kevin Henry與亞太區認證服務總監宋德嘉的解釋,會讓您有更深入的認識。
CISSP是CISO的必修學分
當前的資訊安全認證的種類不少,但絕大部分都是跟廠商的產品有關,只是為了證明獲證者對於該類產品的專業度,比較偏向技術類型,但CISSP的定位並不相同,(ISC)2教育服務副總裁Kevin Henry表示:「CISSP的考試範圍相當廣,從安全管理、法律調查、實體安全、企業持續經營與災難復原計畫,到電腦系統與安全架構及密碼學等,考試的項目非常廣泛,涵蓋一位CIO所應該了解的各項事務,除了技術面的東西外,也有相當多管理面的知識。」整體來說,CISSP的認證不是產品面向的,考試範圍更為全面性,難度相對也比較高。
目前台灣僅有百餘位通過CISSP,相較於鄰近的香港有超過1200位,新加坡、韓國均接近700位(美國則有超過2萬名CISSP),台灣通過CISSP的人數可說是少的可憐,Kevin Henry表示:「政府的支持對於CISSP的推廣有決定性的影響力,許多國家或企業在標案中會要求投標者必須有多少位通過CISSP的人員,新加坡政府甚至協助考試者支付CISSP的考照費用,有了國家的支持,CISSP的推廣自然會較快一些。」
為何CISSP能夠獲得眾多國家的支持呢?Kevin Henry表示:「(ISC)2是非營利性組織,其頒發的證照的嚴謹性與公正性,已經是世界公認的『黃金標準』,對於已經取得證書者,也有一套稽核制度規範擁證者必須持續取得相關的學分,來確保其後續的證照資格,這使得CISSP不會隨著時間而影響到其價值。」CISSP規定每三年會再評估一次證照的資格,在期間擁證者必須參加資安相關的研討會或參與授課超過120小時(不得是因為工作所必須教授的重複性課程),否則便得重考,以確保CISSP能夠跟上變化快速的資訊社會需求。

台灣CISSP將落實本土化
目前台灣通過CISSP的人數雖然還不多,但這也代表著台灣會是個很有潛力的市場,(ISC)2亞太區核准服務總監宋德嘉表示:「(ISC)2在台灣與KPMG合作,委請KPMG資訊風險管理部協助做CISSP的推廣宣傳、培訓/考試時間與場地的安排等工作,在培訓的師資與講義上目前也已經展開本土化的作業,未來連考題也將進行本土化,以降低學習與考試上的障礙。」
由於以往CISSP證照在國內的推廣力度還不夠,加上政府與企業也沒有嚴格要求企業內部必須有人擁有這些證照,使得CISSP證照在國內的推廣略嫌延遲,不過這種現象已經有改進的跡象,此外,由於CISSP的考照難度不低,以及培訓與考照的費用也不便宜,在(ISC)2落實本土化的培訓與考試方案之後,將會有助於CISSP在國內的推廣。

2005年是「資訊安全專業人員年」
(ISC)2在紐約市舉行的InfoSecurity 2005上宣佈,命名2005年是「資訊安全專業人員年」,將會舉辦為期一年的活動,分別在美國各大城市(紐約、華盛頓、底特律、達拉斯、波士頓…)、多倫多、倫敦、香港等地舉辦研討會,全球性地宣導社會對於資訊安全人員的需求殷切,鼓勵各企業提升資訊安全員工的專業性,並表揚資訊安全專業人員對於全球社會資訊安全的貢獻。Kevin Henry表示:「『人』是資安問題中最重要的元素,無論是提升資安專業人員的能力,還是提升社會大眾對於資安的重視,都是(ISC)2要努力的方向,將透過各種研討會與展覽,來持續宣導資訊安全的概念。」宋德嘉也認為:「亞洲是資訊安全人員需求發展最快的地區,透過資安證照的推廣,將有助於提高管理層與社會大眾對資安的認知。」
根據(ISC)2與IDC的一項針對全球資訊安全業的調查報告顯示,目前全球資訊安全從業員接近130萬,比2003年增長了14.5%,到2008年的年複合增長率約有13.7%,預計於2008年全球資訊安全從業人員將達到210萬,其中亞太地區將以18.3%的全球最高增長率快速增長,預計在2008年將多達72.76萬人,成長相當迅速,對於資訊安全專業人員的需求量也將會出現短缺的情形,相信這對有志從事資安工作的朋友是一大利多,而擁有一張專業資格的證書,也將會是您所需要努力的方向。

(ISC)2簡介
國際信息系統安全核准聯盟(ISC)2是一家致力為全球資訊系統安全從業員提供基於其共通知識體CBK認證的國際領先非牟利組織,(ISC)2成立於1989年,已在106個國家為27,000多人提供資訊安全專家培訓及資格認證。(ISC)2主要進行兩種資格認證:資訊系統安全認證專家(Certified Information Systems Security Professional (CISSP))和系統安全認證從業人員(Systems Security Certified Practitioner (SSCP))。(ISC)2是首家符合ISO/IEC 17024全球人才認證標準的資訊安全認證機構。欲了解更多有關(ISC)2與相關活動的詳情,請瀏覽網站:www.isc2.org。
台灣地區請瀏覽網站:www.kpmgsecurity.com.tw。