觀點

國外資安社群報導—(ISC)2

2009 / 09 / 10
王婉伶
國外資安社群報導—(ISC)2
由(ISC)2主導的CISSP證照,是國內資安界內最廣為人知的專家認證資格,(ISC)2的社群網站除了提供CISSP之外,還有許多更進階的證照考試,提供給國內有志資安從業人員一個多元的『升學方案』。

  國際資訊安全認證聯盟((ISC)2,The International Information Systems Security Certification Consortium)成立於1989年,總部設立在美國,並於歐洲倫敦、亞洲香港及東京設有辦事處,為全球資訊系統安全從業人員提供CBK( Common Body of Knowledge)的非營利組織。1992年開始提供認證考試,其提供的認證標準受國際所認同。截至目前為止,全世界超過100個國家,約有40,000名資訊安全專家取得(ISC)2所發之認證。

(ISC)2所提供證照種類

  (ISC)2除了CISSP之外,還提供有SSCP、ISSAP、ISSEP及ISSMP等認證。CISSP是目前被廣為接受且推崇的資訊安全領域的專家證照,若欲參加考試,必須具備幾項條件:4年或以上資訊安全方面的專業工作經驗,或具備大學學位且3年以上工作經驗、通過長達6小時250個單選題的嚴格考試、同意遵守(ISC)2的專業守則、得到另一位CISSP或相等資格之專業人士的推薦等。若是未擁有足夠專業經驗的資訊安全從業人員,亦可在通過考試後成為(ISC)2的Associate (準成員),5年內累積足夠的專業經驗,得到審核及推薦後也可成為正式的CISSP。

  CISSP的考試範圍為1 0 個domain,即安全管理實務(Security Management Practices ) 、資訊安全系統架構及模式( Security Architecture and Models)、存取控制系統及方法論(Access Control Systems and Methodology)、實體安全(Physical Security)、作業安全(Operations Security)、密碼學(Cryptography)、法律犯罪調查及道德守則(Law, Investigations, and Ethics ) 、電信及網路安全(Telecommunications, Network, and Internet Security)、企業永續經營計劃(Business Continuity Planning ) 、應用系統發展安全( Application Development Security)等,取得700分或以上者即表示通過考試,通過考試後再經過驗證,即可取得CISSP證照資格。

  取得證照後,每3年須累積120分的持續教育積分(CPE, Continuing Professional Education),才可繼續保有CISSP證照,而此教育積分可藉由讀書、發表論文、參加研討會或投稿雜誌等方式來取得。

  CISSP在資安界是非常具有公信力且知名的專業證照,此認證目前已取得美國國家標準學會(American National Standards Institute) 承認,並成為資訊安全 ISO/IEC 17024標準。因為(ISC)2對於該認證的考試及核發要求極高,所以為確保該證照持有人在資安界持續充實個人技術並努力發展,且該人員擁有所需之技術水準與經驗,能有效地處理及執行企業的資訊安全系統及政策,因此證照持有人必須每3年重新認證1次,如此才可以保有證照資格。(ISC)2如此嚴格把關的目的,不外乎是希望CISSP認證能成為資訊安全認證的標竿。

  SSCP與CISSP最大的不同-即SSCP為初級認證,不要求具備有相關的工作經驗,即可參加考試;而ISSAP、ISSEP、ISSMP則屬於進階認證,必須取得CISSP認證後,並持續從事資訊安全相關工作、研究兩年者方有認證資格。ISSAP,資訊系統安全架構專家要專精存取控制系統與方法論、電信通訊與網路安全、密碼學、需求分析/安全標準/參考指引、BCP 與 DRP 的技術領域、及實體安全整合;ISSEP,資訊安全工程專家,需專精系統安全工程、了解Certification 與 Accreditation 的差異、科技管理、以及美國政府資訊確保相關的法律規範;ISSMP,資訊系統安全管理專家,需了解企業安全管理實務、企業安全發展規劃、法規的安全需求、了解BCP、DRP與COOP(Continuity of Operations Planning),及法律、調查、電腦鑑識和資訊倫理等。

  值得一提的是 CISSP 對於法律部分都以美國的法規為主,並不適合本地使用,但卻可成為各國在制訂相關法規的有力參考依據。

結論

  CISSP是國內較為人所熟知的資安專家的認證,(ISC)2的網站提供給想要獲取證照的資安相關從業人員相當詳細的資訊。在台灣,目前1年有4次的考試,比起先進的國家,台灣擁有證照的人數尚為數不多,但在資安漸成為顯學的今日,資安的證照資格漸漸受到重視,若要將資安的觀念擴散到各層級,CISSP可協助想要跨進資安領域的人員,做為最全盤的了解。

資安專家CISSP經驗談

我們採訪了擁有CISSP證照的資安專家,讓有興趣的讀者從專家的經驗中,更加了解如何擁有CISSP專業證照!

Q:編輯部 A:方家慶

Q:就從要如何參加CISSP考試開始吧!需要什麼資格呢?

A: 就報名(ISC)2的考試!考試的資格主要是要有一定的工作經驗、4年全職在資安領域的工作經驗,資安領域可以把他想CISSP考試的10個domain!或3年的全職在資安領域的工作經驗及大學相關學歷、2年全職在資安領域的工作經驗及研究所相關學歷等,不過研究所的學歷他有指定學校。

Q:例如什麼學校?

A: 都是美國的學校居多, 如波士頓大學、史丹福大學的Information Security系所。

Q:那有其它國家嗎?

A:沒有!

Q: 相關學歷是指一定要唸Information Security嗎?還是唸資訊相關科系就算?

A: 大學的話沒有強調,你只要是大學畢業加上資安領域全職工作經驗!研究所就一定要他指定的學校的information security學位!然後還要同意他的CISSP Code of Ethics,大概考試的資格就是這樣。

Q:那如何準備考試?如怎麼蒐集資料?怎麼唸?

A: 一般建議是有兩本參考書CISSP All-in-One Exam Guide及The CISSP Prep Guide。CISSP將整個範圍切成10個domain。

Q:這二本參考書籍都是試題的練習嗎?

A:算是參考書,不過他每章節的後面都有練習題!

Q:除了參考書之外還有沒有任何輔助教材?

A: 老實講書還挺多的,不過因為我手邊有這兩本,就以這兩本為主!那其他的資料就上網找!http://www.cccure.org ,這個是我個人蠻推薦的網站,有考試的人的心得、還有題庫!

Q:你大概花了多少時間準備呀?

A:認真準備的話,差不多一個月吧!

Q:那考上了要如何維護資格呢?

A: CISSP每3年就要重新re-certification,每年要繳85美元的年費!他有個制度-CPE,如果說你集滿120點CPE,re-certification就不用重新考試!

Q:什麼是CPE?

A:Continuing Professional Education

Q:要怎麼集點數?

A: 他有分蠻多類型的。比如說你去上資安相關的教育訓練,如SANS。或是你去外頭講課、看書、寫書都可以。不過每個CPE都有不同的規定!你只是提供你買書的資訊,如收據等,就可以賺到5點CPE,不過這類的CPE一年上限是10點。那如果你真的看完整本書,而且寫心得就可以另外賺5點CPE。

Q:那參加研討會呢?只要提出證明也可以換點數喔?

A: 參加研討會不用提出證明,寫出會議名稱、在哪、多久時間的訊息就可以。

Q:有上限規定嗎?看來好像還蠻容易達到的耶!

A: 有些種類的CPE有上限的規定,有些沒有。研討會的沒有。不過CISSP submit CPE之後(ISC)2會先確認OK,才承認CISSP own這個CPE。

Q:剛剛有提到Code of Ethics...包含那些條款呀?

A: 主要就是要考試的人乖乖的,不要做壞事之類的!可參考https://www.ISC2.org/cgi-bin/content.cgi?category=12

Q: 考取CISSP證照後,有什麼實質上的獲得?

A: 因為CISSP跟SANS的走向不太一樣,SANS比較實作,所以對我們的工作幫助比較大!CISSP主要比較偏管理。對資安領域有整體且更深入的認識!