資訊安全人才需求殷切 CISSP將成CISO基本條件

隨著資訊安全的重要性逐漸獲得政府與企業的重視，對於資訊安全人員的需求也日益增加，但是如何來評估資訊安全人員的能力，卻不是透過現有的教育體制所能夠實現的。目前國際間最重視的資安證照有好幾種，其中CISSP則是其中最難考到的一種證照，這個證照是由(ISC)2這一家國際知名的資訊系統安全認證核准組織所核發的，目前在台灣僅有百餘人擁有這張證書，可說是得之不易。究竟CISSP的主要屬性為何？(ISC)2在台灣的未來發展有哪些計畫？相信透過(ISC)2教育服務副總裁Kevin Henry與亞太區認證服務總監宋德嘉的解釋，會讓您有更深入的認識。
CISSP是CISO的必修學分
當前的資訊安全認證的種類不少，但絕大部分都是跟廠商的產品有關，只是為了證明獲證者對於該類產品的專業度，比較偏向技術類型，但CISSP的定位並不相同，(ISC)2教育服務副總裁Kevin Henry表示：「CISSP的考試範圍相當廣，從安全管理、法律調查、實體安全、企業持續經營與災難復原計畫，到電腦系統與安全架構及密碼學等，考試的項目非常廣泛，涵蓋一位CIO所應該了解的各項事務，除了技術面的東西外，也有相當多管理面的知識。」整體來說，CISSP的認證不是產品面向的，考試範圍更為全面性，難度相對也比較高。
目前台灣僅有百餘位通過CISSP，相較於鄰近的香港有超過1200位，新加坡、韓國均接近700位（美國則有超過2萬名CISSP），台灣通過CISSP的人數可說是少的可憐，Kevin Henry表示：「政府的支持對於CISSP的推廣有決定性的影響力，許多國家或企業在標案中會要求投標者必須有多少位通過CISSP的人員，新加坡政府甚至協助考試者支付CISSP的考照費用，有了國家的支持，CISSP的推廣自然會較快一些。」
為何CISSP能夠獲得眾多國家的支持呢？Kevin Henry表示：「(ISC)2是非營利性組織，其頒發的證照的嚴謹性與公正性，已經是世界公認的『黃金標準』，對於已經取得證書者，也有一套稽核制度規範擁證者必須持續取得相關的學分，來確保其後續的證照資格，這使得CISSP不會隨著時間而影響到其價值。」CISSP規定每三年會再評估一次證照的資格，在期間擁證者必須參加資安相關的研討會或參與授課超過120小時（不得是因為工作所必須教授的重複性課程），否則便得重考，以確保CISSP能夠跟上變化快速的資訊社會需求。

台灣CISSP將落實本土化
目前台灣通過CISSP的人數雖然還不多，但這也代表著台灣會是個很有潛力的市場，(ISC)2亞太區核准服務總監宋德嘉表示：「(ISC)2在台灣與KPMG合作，委請KPMG資訊風險管理部協助做CISSP的推廣宣傳、培訓／考試時間與場地的安排等工作，在培訓的師資與講義上目前也已經展開本土化的作業，未來連考題也將進行本土化，以降低學習與考試上的障礙。」
由於以往CISSP證照在國內的推廣力度還不夠，加上政府與企業也沒有嚴格要求企業內部必須有人擁有這些證照，使得CISSP證照在國內的推廣略嫌延遲，不過這種現象已經有改進的跡象，此外，由於CISSP的考照難度不低，以及培訓與考照的費用也不便宜，在(ISC)2落實本土化的培訓與考試方案之後，將會有助於CISSP在國內的推廣。

2005年是「資訊安全專業人員年」
(ISC)2在紐約市舉行的InfoSecurity 2005上宣佈，命名2005年是「資訊安全專業人員年」，將會舉辦為期一年的活動，分別在美國各大城市（紐約、華盛頓、底特律、達拉斯、波士頓…）、多倫多、倫敦、香港等地舉辦研討會，全球性地宣導社會對於資訊安全人員的需求殷切，鼓勵各企業提升資訊安全員工的專業性，並表揚資訊安全專業人員對於全球社會資訊安全的貢獻。Kevin Henry表示：「『人』是資安問題中最重要的元素，無論是提升資安專業人員的能力，還是提升社會大眾對於資安的重視，都是(ISC)2要努力的方向，將透過各種研討會與展覽，來持續宣導資訊安全的概念。」宋德嘉也認為：「亞洲是資訊安全人員需求發展最快的地區，透過資安證照的推廣，將有助於提高管理層與社會大眾對資安的認知。」
根據(ISC)2與IDC的一項針對全球資訊安全業的調查報告顯示，目前全球資訊安全從業員接近130萬，比2003年增長了14.5%，到2008年的年複合增長率約有13.7%，預計於2008年全球資訊安全從業人員將達到210萬，其中亞太地區將以18.3%的全球最高增長率快速增長，預計在2008年將多達72.76萬人，成長相當迅速，對於資訊安全專業人員的需求量也將會出現短缺的情形，相信這對有志從事資安工作的朋友是一大利多，而擁有一張專業資格的證書，也將會是您所需要努力的方向。

(ISC)2簡介
國際信息系統安全核准聯盟(ISC)2是一家致力為全球資訊系統安全從業員提供基於其共通知識體CBK認證的國際領先非牟利組織，(ISC)2成立於1989年，已在106個國家為27,000多人提供資訊安全專家培訓及資格認證。(ISC)2主要進行兩種資格認證：資訊系統安全認證專家（Certified Information Systems Security Professional (CISSP)）和系統安全認證從業人員（Systems Security Certified Practitioner (SSCP)）。(ISC)2是首家符合ISO/IEC 17024全球人才認證標準的資訊安全認證機構。欲了解更多有關(ISC)2與相關活動的詳情，請瀏覽網站：www.isc2.org。
台灣地區請瀏覽網站：www.kpmgsecurity.com.tw。