信息安全領域認證介紹

對於從事IT信息工作的幾大認證介紹，希望能幫助有關人員解決考證問題。
一：CISA（國際註冊信息系統審計師）
1、認證介紹
      自1978年以來，由信息系統審計與控制協會（ISACA®）發起的註冊信息系統審計師（CISA） 認證計劃已經成爲涵蓋信息系統審計、控制與安全等專業領域的全球公認的標準。
      CISA 推廣與評價的專業技術和實務是在該領域中取得成功的基石。擁有CISA 資格證書說明持證人具備的實踐能力和專業程度。隨着對信息系統審計、控制與安全專業人士需求的增長，CISA 已成爲全球範圍內個人與公司機構不可或缺的認證。CISA 資格證書代表持證人有卓越的能力服務於公司的信息系統審計、控制與安全領域。此外，它還爲持證人帶來相當的職業成就和經濟利益。
2、適合對象
      CISA認證適用於企業信息系統管理人員、IT管理人員、IT審計人員、或信息化諮詢顧問、信息安全廠商或服務提供商、和其他對信息系統審計感興趣的人員。
3、應試必備條件
      CISA 認證計劃爲信息系統審計、控制與安全職業領域中具有卓越技能與判斷力的個人提供評估與認證。若想獲得CISA認證，申請人需要：
    ◎順利通過CISA 的考試；
    ◎遵守信息系統審計與控制協會的《職業道德規範》 ，此規範已列入《Candidate’s Guide to the CISA Exam》中，供考生參考；
    ◎提供從事信息系統審計、控制與安全工作5 年以上經驗的證明。具有下列經驗者，可申請替代部分年限，並出示適當的證明：
       具備如下資歷者，可以申請替代(最長達)1 年的信息系統審計、控制與安全的工作經驗要求：
      • 滿1 年的非信息系統審計工作經驗，或
      • 滿1 年的信息系統工作經驗，和／或
      • 具有大專學歷（大學60 個學分或同等學歷）。
      • 擁有學士學位（大學120 個學分或同等學歷）者，可以替代2 年信息系統審計、控制與安全工作經驗。
      •2 年相關領域（計算機科學、會計、信息系統審計等）大學專職講師經驗可以替代1 年信息系統審計、控制與安全工作經驗。無最高可替代年限限制（即6 年大學講師經驗可以替代3 年信息系統審計、控制與安全工作的經驗）。
       專業經驗必須在申請前的10 年之內獲得，或在第一次通過考試之日的前5 年之內。認證申請必須在通過CISA 考試的5 年之內提出。所有專業經驗都必須由原僱主獨立地簽字確認。
      值得說明的是，很多人在具備所要求的經驗之前就參加CISA考試。儘管在所有要求的資歷未達到之前不會被授予CISA證書，但這種作法是可以接受並值得鼓勵的。
4、ISACA介紹
      信息系統審計與控制協會（ISACA）創始於1967年，當時它是由從事同類職業的人所組成的小團體——計算機系統的審計和控制對他們各自機構的運作都 變得愈發關鍵——因此他們聚集 起來討論制定信息集中化資源和本領域指導準則的必要性。在1969年，這個團體正式組建爲 EDP 審計師協會。在1976年，這個協會成立一項教育基金來開展大規模的研究工作，以拓展信息 產業管理與控制領域的知識與價值。
      今天，ISACA在全球有四萬七千多名成員，他們的組成非常具有多元性。這些成員在140多個 國家內生活和工作，並涵蓋衆多專業信息技術的相關職業，比如信息系統審計師、顧問、教 導員、信息系統安全專家、管理者、首席信息官和內部審計師等。有些職業是本領域內新興 的，其他爲中級管理人員，另外還有許多人擔任最高級的職位。他們幾乎遍及所有行業，包 括財政金融、公共會計、政府與公共部門、公用事業和製造業。這種多元性使衆多成員能夠 相互學習，並在許多專業問題上廣泛交流彼此的觀點。該特點一直被認爲是ISACA的強勢之一 。
      ISACA的另一個強勢就是它的分會網絡。ISACA 的分會遍佈世界60 多個國家，可提供成員教育、資源共享、支持、專業網絡，以及其他由當地分會提供的諸多 利益。
      在ISACA創立的三十年來，它已成爲一個爲信息管理、控制、安全和審計專業設定規範的全球 性組織。它的信息系統審計和信息系統控制標準爲全球執業者所遵從。它的研究工作針對那 些挑戰其重要原則的疑難專業事項。它的國際信息系統審計師（CISA）認證得到全球的公認 ，並有三萬多名專業人員得到認證。國際信息安全經理（CISM）認證特別針對信息安全管理 的審計事務。它出版了領先於信息控制領域的技術性期刊，即《信息系統控制期刊》 （Information Systems Control Journal）。它舉辦一系列國際性會議，並且把焦點集中於 信息系統保障、控制、安全和信息 技術管理專業的技術與管理主題上。ISACA與其附屬的信息技術管理機構領導着信息技術控制 界，並在不斷變化的國際環境下爲其執業者提供信息技術專業所需的要素，保證他們得到良好的服務。
5、證書榮譽
   ◎專業頂尖的標誌
   獲得CISA 認證有助於確立你作爲一名合格的信息系統審計、控制和安全專業人才的聲譽。不論你是希望提高你的工作表現還是得到職務升遷，擁有CISA 資格證書都會使你擁有他人無法企及的競爭優勢。
   ◎僱主渴求的人才
   由於CISA 持證人能夠熟練掌握當今需要的最先進的技能，僱主更願意僱用和留住那些達到並能夠維持資格證書所要求水平的人才。對於僱主而言，CISA 認證確保其僱員擁有勝任當前工作所必需的最新教育與實踐經驗。
   ◎全球的認可
   也許本認證對於你當前的工作並不是絕對必需的 ，然而越來越多的機構希望員工得到CISA 認證。爲了確保你在全球職業市場上的成功，選擇一個建立在全球認可的技術實務基礎上的認證是至關重要的。CISA 就是這種認證。CISA 作爲信息系統審計、控制與安全專業人員的資格證書，受到全世界信息系統審計、控制和安 全行業的廣泛認可。
二：CISSP（國際註冊信息系統安全專家）
一、CISSP介紹       
    CISSP是（Certification forInformation System Security　Pro Fessional信息系統安全認證專家）的縮寫，一種反映信息系統安全從業人員水平的證書，CISSP可以證明證書持有者具備了符合國際標準要求的信息 安全知識和經驗能力，目前已經得到了全世界廣泛的認可，CISSP（Certified Information System Security Professional信息系統安全認證專業人員）是一種反映信息系統安全從業人員資質水平的證書，它可爲從事信息安全領域工作的人士提高專業資歷提供 新的機會和更大便利。CISSP認證考試由（ISC）2組織與管理，參加CISSP認證的人員需要遵守CISSP 道德規範（Code　of　Ethics），同時要有在信息系統安全通用知識框架（CBK）的十個領域之中的一個或一個以上領域中具有最少3年的直接工作 經驗。
參考網址:
http://www.cissps.com/  　　
http://www.gocertify.com        
http://nsfiner.suyao.com                
二、CISSP認證機構（ISC）2介紹
（ISC）2是信息安全領域的頂級認證機構之一，成立於1989年，到現在已經給超過120個國家的五萬多名安全專家授予了相關認證。（ISC）2目前提供如下6種認證：
SSCP（SystemSecurityCertificatedPractitioner）認證系統安全實踐者
CAP（CertificationandAccreditationProfessional）認證和評估專家
CISSP(CertificatedInformationSystemSecurityProfessional) 認證信息系統安全專家
CISSP的升級版本
CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系統安全架構專家
CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系統安全管理專家
CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系統安全工程專家
（ISC）2同時也向公衆提供信息安全方面的教育和諮詢服務。
（ISC）2提供的6種認證中，知名度最高和持有者人數最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人數最多的是美 國，現有30385名，中國大陸有371名。因爲CISSP的升級版本ISSAP和ISSMP要求考試的報名者必須是CISSP，而且有一定的相關領域工 作經驗要求，所以在國內除了香港18名臺灣4名持有者之外，大陸還沒有持有者。至於（ISC）2較爲低端的SSCP和CAP認證，由於其定位和考覈內容的 原因，在國際上的接受程度不高，所以除了美加兩國外，其他國家的持有者都很少。
CISSP認證是國際上最權威、最受認可的信息安全認證，它同時也是信息安全領域第一個通過ISO17024:2003標準的認證。CISSP主要的認證 對象爲在企業處於中高層:CISO(ChiefInformationSecurityOfficer)、 CSO(ChiefSecurityOfficer)或高級安全工程師的信息安全專家。
三、爲什麼要獲的CISSP認證
   信息安全是一個相對的概念，在安全威脅很低的情況下，安全專家通常是被人們所遺忘的對象。但隨着信息技術的發展，當年只有精通系統和網絡底層，推動技術 進步的高手才能被稱爲***，現在隨便一個會用網絡的再隨便找些***工具也自稱爲***，技術門檻的降低和對技術的追求轉化爲對金錢的追逐——越來越多的*** 事件、惡意軟件的傳播、還有時不時出現在媒體上的高智商犯罪等就是這些所謂“後起之秀”的傑作。面對越來越嚴重的安全威脅，不單在IT技術領域，在各行業 的企業組織都越來越意識到信息安全的重要性，但單純依靠技術方案來並不能解決如何保護企業信息資產的問題，所以市場對專業的信息安全人才的需求也在隨之大 大增加。而CISSP則可以證明持有者掌握國際公認的信息安全知識和標準、並擁有豐富的安全從業經驗，保持CISSP認證的有效性還可以顯示持有者對信息 安全的發展和技術進步有很高的熱情，並願意爲信息安全貢獻自己的一份力量。此外，獲得CISSP認證還有其他的好處，比如：
1、 適應市場中越來越熱的對信息安全人才的需求
2、 增加對信息安全的知識和概念的理解
3、 爲當前的工作增加信息安全的理念
4、 在日益激烈的職場競爭中增強自身優勢
5、 在薪水增長和職務提升上更有優勢
    2004年（國內最早的CISSP之一）說起CISSP是國際上最權威的信息安全認證，CISSP其實是涵蓋了信息安全的各個方面，着重突出了信息安全是 由技術和管理構成的整體這一觀點，不單鞏固了和自己工作相關的Access Control、Operation Security 和Telecommunication & Network Security 三個CBK的知識，同時好好的補充了其他七個CBK的知識，也對CISSP認證所強調的整體安全和管理高於技術兩個觀點有了深刻的體會。學習CISSP， 本身就是一個對學習者安全知識體系進行完善的過程。
CISSP都從事什麼工作？
國外的情況，以美國爲例，剛拿到CISSP認證的人，在企業中大多從事安全管理員、安全產品的開發或安全服務的具體執行工作，頭銜一般就是 Security Administrator、Security Analyst或Security Engineer。隨着工作經驗的增加，CISSP會漸漸脫離具體的技術工作，轉而從事更偏重管理、處於企業中層的工作，比如安全產品開發團隊或安全服務 團隊的領導、安全諮詢、安全培訓講師和安全部門經理等，頭銜則變爲Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最後， CISSP會進入企業管理高層，管理整個企業的信息安全或IT，頭銜則變爲Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。
國內的情況稍有不同，除了少部分CISSP做的是安全產品/服務的售前/售後和安全工程師外，有相當一部分CISSP是從事安全諮詢、培訓方面的工作，更 多的是處於企業中高層管理的位置，讀者如果有興趣瞭解更詳細的情況的話，可以從(ISC)2官方站點上的Member Directory功能中查詢。
最後說說大家最感興趣的CISSP薪水問題，在此就借用（ISC）2 2006年度的官方報告來說一下，CISSP薪水水平的分佈成金字塔型，職務越高薪水越高，人數也越少。還是以美國爲例，2006年CISSP的平均年收入爲：
IT Administrator： $45000-$55000
Information Security Administrator：$75000
Security Analyst/Engineer：$80000
Manager， Information Security :  $100000
CISO, CSO ：$150000 及以上
另外，國內和國外相同的一點是，拿到CISSP認證之後通常待遇都會有所提升。
四、參考條件               
參加CISSP認證考試，必須具備以下幾個條件：
CISSP的道德守則就是要求CISSP有誠實的品質，大家按自己的真實情況進行填寫即可。
a、遵守（ISC）2的規章制度（詳細內容可以參考www.isc2.org）。
b、在信息系統安全CBK（Common Body of Knowledge）規定的10個考試領域中的一個或多箇中工作3年以上。你可以是信息安全相關領域的從業者、審計員、諮詢者、客戶、投資商或教師，要求 你在工作中直接應用信息系統安全知識。3年的實際工作可以是累加的。
c、每3年需要重新認證，需要你在3年內獲得120個Continuing Professional Education （CPE）信用分。
d、關於英語：對於非英語國家的考試，CISSP的考試是允許考生攜帶不含夾帶或標註的字典。根據筆者的觀察，國內考生未能通過考試的很大一部分原因 在於英語基礎薄弱，一方面未能準確理解題目，另一方面造成做題速度慢而影響水平的發揮。雖然在某些考試時允許使用無存儲功能的電子翻譯器（如文曲星），但 紮實的英語基礎和豐富的專業英語詞彙是順利通過考試的一個重要條件。如果讀者對CISSP認證很有興趣，但工作經驗又達不到（ISC）2的要求，怎麼辦？ 不要氣餒，（ISC）2專門爲這種情況的考試者設立了一個稱爲“Associate of (ISC)2”的頭銜，考試者在通過CISSP考試，在實際工作中積累足夠年限的工作經驗，便可向(ISC)2申請升級爲正式的CISSP。
     e、不過要注意ISC)2 在五月份修改了CISSP認證考試對報名者的工作經驗要求，從2007年的10月1日開始，原來的4年全職工作經驗要求增加到5年，工作中要涉及到的 CBK數目的要求則從至少一個增加爲至少兩個。報名者依然可以通過學歷和認證證書來減少1年的工作經驗要求，認證證書列表和年限放寬的限制和原來一樣。
CISSP認證考試的報名者在填寫報名表之前，還需要同意(ISC)2的認證考試的付款、退款、重付款的規則和考試保密協議及試卷的版權協議，還有最重要 的，(ISC)2的CISSP道德準則(Code of Ethic)。另外，報名者在填寫報名表時，還需要回答4個關於是否有犯罪記錄背景的問題。
     f、從2002年6月1日起，（ISC）2把取得CISSP的過程劃分爲兩個步驟：認證和考試。通過考試之後，還必須取得第三方的認可纔可以最終獲 得CISSP證書，第三方可以是參考者的僱主、或者是其他已獲得認證的專業人士。這一舉措增加了獲得CISSP的難度，但也更明確了CISSP和其他安全 認證的區別，保持了CISSP的權威性。
三：CISP（國家註冊信息安全專業人員）
CISP：（Certified Information Security Professional）註冊信息安全專業人員，簡稱CISP，根據實際崗位工作需要，CISP分爲三類,分別是“註冊信息安全工程師”,英文爲 Certified Information Security Engineer（簡稱CISE）; “註冊信息安全管理人員”， 英文爲Certified Information Security  Officer(簡稱CISO)，“註冊信息安全審覈員” 英文爲Certified Information Security Auditor(簡稱CISA)。其中CISE主要從事信息安全技術開發服務工程建設等工作，CISO從事信息安全管理等相關工作，CISA從事信息系統 的安全性審覈或評估等工作。這三類註冊信息安全專業人員是有關信息安全企業，信息安全諮詢服務機構、信息安全測評認證機構（包含授權測評機構）、社會各組 織、團體、企事業有關信息系統（網絡）建設、運行和應用管理的技術部門（含標準化部門）必備的專業崗位人員，其基本職能是對信息系統的安全提供技術保障， 其所具備的專業資質和能力，系經中國信息安全產品測評認證中心實施國家認證