信息安全專業(yè)是21世紀(jì)新出現(xiàn)的專業(yè)領(lǐng)域，在國際范圍來看，出現(xiàn)大量的信息安全相關(guān)職務(wù)需求，在近期的職業(yè)分析報(bào)道中可以發(fā)現(xiàn)，無論國際和國內(nèi)在未來很長的一段時(shí)間內(nèi)信息安全人才炙手可熱。
IT領(lǐng)域獲得資質(zhì)證書是求職者有效的證明自己掌握相關(guān)知識(shí)水平和經(jīng)驗(yàn)?zāi)芰Φ淖罴淹緩剑梢允沟们舐氄咴诩ち业母偁幹姓紦?jù)優(yōu)勢地位。CISSP資質(zhì)可以證明持有者具備了符合國際標(biāo)準(zhǔn)要求的信息安全知識(shí)水平和經(jīng)驗(yàn)?zāi)芰?，具備專業(yè)可信度，這是其他廠商類證書所無法比擬的。CISSP資質(zhì)為企業(yè)和組織提供尋找專業(yè)人員的憑證依據(jù)，目前已經(jīng)得到了全世界廣泛的認(rèn)可。
CISSP是Certification for Information System Security Professional（國際注冊信息系統(tǒng)安全師）的縮寫，是代表信息系統(tǒng)安全從業(yè)人員最高水平的國際證書，被業(yè)界稱為“信息安全中無可置疑的冠軍資質(zhì)”。
什么是CISSP？
CISSP（國際注冊信息系統(tǒng)安全師）由(ISC)2－International Information Systems Security Certification Consortium（國際信息系統(tǒng)安全認(rèn)證聯(lián)盟）組織與管理。
獲得該資質(zhì)的主要對(duì)象為信息系統(tǒng)安全專業(yè)人員，包括各大企業(yè)、電信、銀行證券業(yè)、系統(tǒng)集成與服務(wù)供應(yīng)商、電子商務(wù)和電子政務(wù)的信息安全專業(yè)人員。主要從事信息系統(tǒng)安全相關(guān)的咨詢和管理工作，主要的職務(wù)為CIO、CSO（Chief Security Officer，首席安全官）、咨詢顧問師、安全維護(hù)管理員和安全培訓(xùn)講師等。目前在很多國際公司的職位說明書上已經(jīng)明確要求應(yīng)聘者需要具備CISSP等相關(guān)資質(zhì)，而在國內(nèi)，金融、電信等企業(yè)也紛紛要求從事信息安全工作的員工獲得CISSP資質(zhì)。
(ISC)2成立于1989年，總部設(shè)在北美，是一個(gè)獨(dú)立的、全球性的、非盈利的組織。聯(lián)盟多個(gè)專業(yè)組織、大學(xué)、政府機(jī)構(gòu)和專業(yè)人士共同組成，其工作目標(biāo)為開發(fā)和維護(hù)一個(gè)關(guān)于信息安全的公共知識(shí)體系（Common Body of Knowledge），依照一套國際性的信息安全標(biāo)準(zhǔn)來組織信息系統(tǒng)安全師（CISSP）的考試和認(rèn)證工作，并通過持續(xù)教育來確保證書的實(shí)效性。
CISSP在中國的發(fā)展
CISSP在國內(nèi)的就業(yè)情況與前景
(ISC)2于1995年在加拿大多倫市多舉辦第一次公開CISSP考試，截至2002年12月底全球有60多個(gè)國家的13,397人獲得了CISSP證書。亞洲是除美國本土外擁有CISSP最多的地區(qū)，目前在亞洲地區(qū)又以香港、新加坡和韓國為主。
2002年1月，(ISC)2在香港成立辦事機(jī)構(gòu)，中國大陸地區(qū)在2002年5、9、11月分別于深圳、上海、北京舉辦三次CISSP考試，加上參加海外考試的情況，目前大陸地區(qū)約有60余名CISSP，其中60%就職于安全廠商和咨詢服務(wù)提供商，30％主要為集成與軟件開發(fā)商，這種集中的情況主要是由于早期參加CISSP考試的人員多數(shù)為安全從業(yè)人員導(dǎo)致。
隨著CISSP被更多的人認(rèn)知，CISSP的分布也將逐漸趨于平均，其中像銀行、證券、電信、IT服務(wù)提供商、政府和教育部門等行業(yè)用戶的CISSP的持有者將會(huì)大量的增加。
獲得CISSP資質(zhì)只是一個(gè)起步，只是代表您掌握了信息安全領(lǐng)域的專業(yè)知識(shí)。CISSP在某種程度上可以看做是加入專業(yè)安全人士的俱樂部的會(huì)員證，大家有交流的共同語言和行為方式，作為專業(yè)人士，需要把握安全的發(fā)展動(dòng)態(tài)，不斷學(xué)習(xí)和充實(shí)自己，并且將所掌握的專業(yè)經(jīng)驗(yàn)應(yīng)用到實(shí)際工作中。
CISSP考試及資質(zhì)的獲得與保持
CISSP報(bào)考要求
申請(qǐng)CISSP資質(zhì)必須滿足以下幾個(gè)條件：
1、 報(bào)考者必須具備至少4年的工作經(jīng)驗(yàn)，若擁有大學(xué)本科學(xué)歷，需要3年工作經(jīng)驗(yàn)即可。工作經(jīng)驗(yàn)應(yīng)為(ISC)2在公共知識(shí)體系（CBK）規(guī)定的10個(gè)知識(shí)域中的一個(gè)或多個(gè)范疇；
2、 報(bào)考者必須簽署并承諾遵守(ISC)2制定的職業(yè)守則（Code of Ethics），如不加入黑客組織等；
3、 報(bào)考者必須支付450美元的報(bào)考費(fèi)用，并參加長達(dá)6小時(shí)的CISSP考試。
只有滿足上述條件且考試通過者方可申請(qǐng)CISSP資質(zhì)。由此可見，CISSP資質(zhì)是強(qiáng)調(diào)工作經(jīng)驗(yàn)和職業(yè)操守的專業(yè)認(rèn)證，并不適合初學(xué)者。
CISSP考試
CISSP考試的內(nèi)容覆蓋CBK的10個(gè)專業(yè)范疇，題目的范圍很廣但深度并不深。對(duì)于從事具體工作的專業(yè)人士，非常深入的掌握所有CBK覆蓋的知識(shí)是不現(xiàn)實(shí)的，并不要求考生是每個(gè)安全領(lǐng)域經(jīng)驗(yàn)豐富的專家，但應(yīng)該對(duì)信息安全所覆蓋的各個(gè)不同的知識(shí)點(diǎn)都必須了解。
CISSP的考試由250道單項(xiàng)選擇題構(gòu)成，目前只有英文試題，需要在6個(gè)小時(shí)內(nèi)（上午9時(shí)至下午3時(shí)）完成，一般來說沒有時(shí)間壓力。題目來自 (ISC)2的題庫，每次考試題目都會(huì)有所變化，根據(jù)筆者的經(jīng)驗(yàn)，每次考試的題目都會(huì)有所側(cè)重當(dāng)前的安全熱點(diǎn)問題。在250道題目中只有225道題目計(jì)分，其余的25道題目是用于調(diào)查的目的，但這些題目并不明確的標(biāo)注出來。通過成績一般是答對(duì)計(jì)分的225題中的70%。
考試的題型比較簡潔，題目的設(shè)置是與廠商或操作系統(tǒng)無關(guān)的，不會(huì)出現(xiàn)基于某種具體應(yīng)用（如Windows或UNIX）的問題。由于參加考試的前提是考生至少具備3年的工作經(jīng)驗(yàn)，所以考試題目重視的是考核考生是否具備專業(yè)的實(shí)際經(jīng)驗(yàn)。雖然書面知識(shí)對(duì)于理解理論、概念、標(biāo)準(zhǔn)和法規(guī)等非常重要，但不能取代處理實(shí)際問題的能力。
CISSP考試的最大挑戰(zhàn)就在于每個(gè)考生并非對(duì)于安全的10個(gè)范疇都熟悉。比如一個(gè)考生可能對(duì)安全測試和攻擊手法非常精通，但他不一定熟悉物理安全、密碼學(xué)或安全管理。為迎接考試而進(jìn)行的大量閱讀和學(xué)習(xí)，非常有助于拓展考生的安全知識(shí)領(lǐng)域，對(duì)此后的工作和對(duì)問題的理解都很有幫助。
專家提示
報(bào)名方法和考試地點(diǎn)
考生可以通過查詢(ISC)2的網(wǎng)站，確定考試的時(shí)間和地點(diǎn)，使用信用卡直接在網(wǎng)上交納報(bào)名費(fèi)。中國大陸的考生可以使用外幣卡網(wǎng)上支付，同時(shí)也可以向協(xié)辦考試的公司直接交納人民幣。
關(guān)于英語
根據(jù)筆者的觀察，國內(nèi)考生未能通過考試的很大一部分原因在于英語基礎(chǔ)薄弱，一方面未能準(zhǔn)確理解題目，另一方面造成做題速度慢而影響水平的發(fā)揮。雖然對(duì)于非英語國家的考試，CISSP的考試是允許考生攜帶普通字典，但扎實(shí)的英語基礎(chǔ)和豐富的專業(yè)英語詞匯是順利通過考試的一個(gè)重要條件。
學(xué)習(xí)方法
準(zhǔn)備CISSP考試有兩種學(xué)習(xí)方法：自學(xué)和培訓(xùn)。目前(ISC)2提供為期5天的密集式“CBK 回顧課程”（CBK Review Course），而筆者組織國內(nèi)CISSP和高校安全專業(yè)的教師開發(fā)了一套培訓(xùn)課程。應(yīng)該注意的是無論參加哪類培訓(xùn)，均只能作為一種輔助手段，通過考試還是需要考生的實(shí)踐經(jīng)驗(yàn)和大量、全面的閱讀和學(xué)習(xí)。
自學(xué)需要注意以下幾個(gè)方面：
l 資料：選擇恰當(dāng)?shù)膶W(xué)習(xí)資料，是進(jìn)行自學(xué)的基礎(chǔ)。
l 交流：交流是一種非常好的學(xué)習(xí)方法，通過考試的CISSP們有一個(gè)非常好的傳統(tǒng)，就是經(jīng)常會(huì)將自己的備考經(jīng)歷和心得與人分享。考生應(yīng)充分利用網(wǎng)上資源，如討論組、BBS和學(xué)習(xí)小組等。
l 練習(xí)：作一定數(shù)量的練習(xí)題，對(duì)于考生熟悉題型和評(píng)估學(xué)習(xí)效果都有幫助。
CISSP是一種較高門檻的專業(yè)資質(zhì)認(rèn)證，若考生不具備報(bào)考條件，可以先參加一些基礎(chǔ)課程的學(xué)習(xí)為佳。衷心的期望各位備考并有志成為CISSP的朋友真正成為各個(gè)行業(yè)中信息安全的中堅(jiān)力量，而非將獲得資質(zhì)認(rèn)證僅作為一種謀求高薪的途徑。