CISSPCISA认证介绍汇总

《CISSPCISA认证介绍汇总》由会员分享，可在线阅读，更多相关《CISSPCISA认证介绍汇总（10页珍藏版）》请在金锄头文库上搜索。

1、CISSP认证考试认证：CISSP认证1、CISSP认证介绍下一代信息安全领导者必备的IT安全认证CISSP(Certified Information Systems Security Professional) “(ISC) 注册信息系统安全师”认证是信息安全领域最被全球广泛认可的IT安全认证，一直以来被誉为业界的“金牌标准”。CISSP 认证不仅是对个人信息安全专业知识的客观评估，也是全球公认的个人成就标准。CISSP 持证人员是确保组织运营环境安全，定义组织安全架构、设计、管理和/或控制措施的信息安全保障专业人士，CISSP 持证者堪称名副其实的、可信赖的安全顾问。CISSP 认证将确

2、保信息安全领导者拥有可靠地构建及管理组织的安全态势所必备的广泛知识、技能与经验。CISSP 是信息安全行业首个符合ISO/IEC 17024 国际标准严格要求的认证。如果您打算在信息安全这一当今最为瞩目的行业领域里成就一番事业，获得CISSP认证理应成为您下一个职业目标。个人信息安全专业知识、技能与经验的证明CISSP 认证考试测试专业人员在(ISC)CISSP CBK八大知识领域所具备的能力与水平，涵盖风险管理、云计算、移动安全、应用开发安全等关键安全议题。 CISSP 应考人员必须在八大知识领域的两个或以上范畴，拥有至少5年全职工作经验。 CISSP 考试对考生的综合素质要求较高、知识面广

3、、信息量大、考试时间长、与实务和经验紧密结合，这些是CISSP 考试不同于其它认证考试的突出特点。CISSP 持证人员通常在所任职公司担任以下工作职务： 首席信息安全官 信息安全总监 信息技术总监/经理 安全经理 安全顾问 安全审计师 安全架构师 安全分析师 安全系统工程师 网络架构师CISSP CBK八大知识领域：（2015年4月15日执行）CISSP 知识领域基于 (ISC) CBK 内包含的各种信息安全议题，并每年更新一次，以反映全球最新的行业最佳实践。 安全与风险管理（安全、风险、合规、法律、法规、业务连续性） 资产安全（保护资产的安全性） 安全工程（安全工程与管理） 通信与网络安全（

4、设计和保护网络安全） 身份与访问管理（访问控制和身份管理） 安全评估与测试（设计、执行和分析安全测试） 安全运营（基本概念、调查、事件管理、灾难恢复） 软件开发安全（理解、应用、和实施软件安全）2015年度SC杂志各项大奖于美国时间2015年4月21日揭晓： (ISC) CISSP 认证连续两年蝉联“最佳专业认证计划奖”，这也是自2006年以来 (ISC) “金牌标准”认证 CISSP 第六次荣获此项殊荣。2、为什么要成为CISSP？拥有CISSP 认证对于个人的好处 展示信息安全领域的专业应用知识 声明自己对本行业的郑重承诺 在同行中脱颖而出，在全球人力市场上拥有更高的声誉和竞争力 享受(I

5、SC) 会员专属权益，如扩大业内人士的人际网络和增进互动交流 据全球信息安全人力研究表明，信息安全认证从业人员的薪水比非认证从业人员平均高出25%。 满足政府和企业对于信息安全认证的特定要求拥有CISSP 认证人才对于企业的好处 (ISC) 证书获国际广泛认可，可提升企业在全球市场上的整体竞争力 提高企业的信誉，使供应商和承包商更有信心与企业合作 使员工掌握一种通用语言，避免对业界公认的条款和行为准则产生歧义 证明企业在业内的多年经验与行业承诺 持证员工必须持续进修，获得足够持续专业教育（CPE）学分，以确保其技能与时俱进 确保企业遵守政府规定或行业规范 满足服务提供商或分包商对于资格认证的特

6、定要求3、如何获得 CISSP 认证获得所需工作经验需证明您在 (ISC)CISSPCBK规定的八大知识域之中的两个或以上范畴，拥有至少五年从事信息安全行业的全职工作经验，或具备学士学位且在CISSP CBK规定的八大知识域中的二个或以上范畴拥有四年的全职工作经验。如果未达到年限要求，您仍可以参加考试，先成为(ISC) 准会员，直到满足所要求的工作经验后再申请认证。备考 可选择性利用以下教育工具帮助学习 CISSP CBK，包括： 考试大纲 CBK知识域预览网播 官方教材 studISCope自我测评 自定学习进度的在线学习eLearning 官方培训研讨会注册考试 请登陆www.isc2.o

7、rg/certification-register-now安排考试日期 交纳考试费通过考试以700分或以上分数通过CISSP 认证考试。请登陆www.isc2.org/exam-scoring-faqs阅读更多关于考试评分的常见问题。完成荐证流程当您获得成功通过考试的通知时，从考试日起9个月内需完成以下荐证手续： 填写荐证申请表 ( Application Endorsement Form ) 同意遵守(ISC) 职业道德规范 ( Code of Ethics ) 获得另一名(ISC) 认证会员的签名荐证完成以上步骤并提交申请表，方能最终获得证书。 请登录www.isc2.org/endors

8、ement阅读指南及下载申请表维持资格证书有效性每三年需要重新进行认证以保持证书有效性。持证者在获得证书后须每年至少获得40个持续专业教育 (CPE) 学分, 每三年累积获得120个持续专业教育 (CPE)学分。 如果未达到 CPE 学分要求，CISSP 持证者必须重新考取认证。另外 CISSP 持证者需支付85美元的年费(AMF)。4、CISSP 专项加强认证随着信息安全的不断演化，秉承 CISSP的原有理念，(ISC)发现有必要制定一些专项认证以满足会员的特定需求。因此，我们将资格认证进一步拓展，推出了 CISSP 专项加强认证 （CISSP Concentrations），为 CISSP

9、 持证人员在职业生涯中开创更多新机遇，认可 CISSP 持证者具有的某些专项才能，适用于大型企业中对职位要求更高的高端人才。 信息系统安全架构专家 （CISSP-ISSAP） 信息系统安全工程专家 （CISSP-ISSEP） 信息系统安全管理专家（CISSP-ISSMP）要获得 CISSP-ISSAP, CISSP-ISSEP 或 CISSP-ISSMP 认证， CISSP 持证者必须在保持其证书有效性的基础上，通过相应的专项考试。 每一专业领域认证均有其相应的 CBK 知识域。5、CISSP准会员(ISC)CISSP准会员您无需在业内花几年时间来证明自己在信息安全方面的专业才能。成为 (IS

10、C) 准会员，您已置身于一个信誉卓著的组织中，将赢得雇主和同行对您专业知识的赞同参加条件准会员身份适合于在行业某些关键领域知识丰富但缺少实际工作经验的情况。 您可以参加 CISSP 考试，同意遵守 (ISC) 道德规范，但要获得 CISSP 证书，您仍需具备规定年限的从业经验，提供证明并由 (ISC) 认证会员为您荐证。如果您正在努力考取此证书，您将从考试通过日起有最多六年时间去获得所规定的五年从业经验。 另外每年需缴纳35美元年费 (AMF) 并获得20个持续专业教育 (CPE) 学分，以保持资格有效性。6、CISSP八大知识域CISSP(ISC)CBK知识域涵盖信息安全专业人士普遍关注的各

11、种信息安全关键性议题，并每年更新一次，以反映全球最新的最佳实践。同时建立了一个信息安全概念和原理的通用框架，以供探讨、辩论、解决业内难题。CISSP CBK包含以下八大知识域：（2015年4月15日起实施）1）安全与风险管理关键知识域： A. 理解并应用保密性、完整性和可用性的概念、应用安全治理原则 B. 合规、理解与信息安全有关的法律和法规问题 C. 理解专业人员道德品质 D. 开发并实施文件化的安全策略、标准、规程和指南 E. 理解业务连续性要求 F. 个人安全策略 G. 理解并应用威胁建模 H. 建立并管理信息安全教育、意识和培训2）资产安全关键知识域： A. 信息及支持性资产的分级（例

12、如敏感性和关键性） B. 确定并维持资产责任人（例如数据责任人、系统责任人、业务/使命责任人） C. 隐私保护 D. 确保适当的保存 E. 确定数据安全控制（例如存储的数据、传输的数据） F. 建立处置要求（例如敏感信息的标记、存储、分发）3）安全工程关键知识域： A. 使用安全设计原则的工程过程的实施和管理 B. 理解安全模型的基础概念、基于系统安全评价模型选择控制和对策 C. 理解信息系统的安全能力（例如存储保护、虚拟化、可信平台模块、界面、容错） D. 评估并减缓安全架构、设计和解决元素的脆弱性、评估并减缓基于Web（例如XML、OWASP）的脆弱性 E. 评估并减缓移动系统的脆弱性、评

13、估并减缓嵌入设备和网络物理系统（例如物联网）的脆弱性 F. 应用密码 G. 在场所和设施的设计中应用安全原则、设计并实施物理安全4）通信与网络安全关键知识域： A. 在网络架构（例如IP和非IP协议）中应用安全设计原则 B. 安全网络组件 C. 设计并建立安全通信渠道 D. 防护或减缓网络攻击5）身份与访问管理关键知识域： A. 资产的物理和逻辑访问控制 B. 人员和设备的身份和鉴证管理 C. 作为一项服务整合身份（例如云身份） D. 整合第三方身份服务 E. 实施并管理授权机制 F. 防护或减缓访问控制攻击 G. 管理身份和访问配置生命周期6）安全评估与测试关键知识域： A. 设计并验证评估

14、和测试战略 B. 管理安全控制测试 C. 收集安全过程数据（例如管理和运行控制） D. 分析并报告测试输出（例如自动化手段、手工手段） E. 实施内部和第三方审核7）安全运营关键知识域： A. 理解并支持调查、理解调查类型的要求 B. 理解并应用基础的安全运营的概念、实施日志和监视活动 C. 资源配置安全、使用资源保护技术 D. 实施事件管理、运行并保持预防措施 E. 实施并支持补丁和脆弱性管理 F. 参与并理解变更管理过程（例如版本控制、基线、安全影响分析） G. 实施恢复战略、实施灾难恢复过程、测试灾难恢复计划、参与业务连续性计划和演练 H. 实施并管理物理安全、参与解决个人安全问题8）软

15、件开发安全关键知识域： A. 在软件开发生命周期中应用安全 B. 在开发环境中加强安全控制 C. 评估软件安全的有效性 D. 评估获取软件的安全影响CISA认证1、CISA认证介绍注册信息系统审计师，是指一批专家级的人士，既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。21世纪是信息化的时代，生产、交易和管理都离不开信息流和对信息流的管制，管理人员在面对传统经营风险和财务风险的同时，必须随时面对信息风险对企业生存和发展的挑战，人们不难想象，假如银行的存贷款数据库被黑客破坏，假如证券交