FineArt News

資安新知

資安與專業兼顧,CISSP 認證是個好選擇

為何要考CISSP ?

CISSP (Certified Information Systems Security Professional) 是 (ISC) 這個非營利組織所推行的資安認證。目的是提供資安從業人員在資訊安全領域上,不同範疇專業能力水平。擁有所需要的技術水準與經驗,能有效地處理及執行企業的資訊安全系統及政策。

有別於其他一般的IT 認證,CISSP 是中立的,跟產品或廠牌無關。大家所熟知的 MCSE、CCNP... 等,都是針對廠牌或產品所設計的證照;適用於ISP/ISV 服務供應商的專業從業人員,而CISSP 範疇則是較為廣泛,不侷限在特定產品上。

這個認證對實務經驗也有一定程度的要求,考試的題目中會穿插一些實驗性題目;也有部分是實務經驗題。因為在實際工作上所面臨到的問題,並非一定有標準答案可以依循。從業人員的專業知識與工作經驗,決定了解決方案內容。所以經驗不同,答案可能不同;不是標準答案,而是Best Practices。

 

取得此證照的條件必須滿足:

  • 擁有五年或以上資訊安全方面的專業經驗,並且於十個CISSP CBK® 範圍中具有二個或多個領域的專業經驗;具備大學學位或/ 及持有(ISC)2® 認可之證書者,可抵免最多一年之工作經驗。
  • 通過6 小時、設有250 題選擇題的英文筆試,考試概括CISSP CBK® ( 資訊安全通識體系)所規定的十大領域。
  • 同意及遵守(ISC)2® 的專業守則。
  • 未擁有足夠專業經驗的資訊安全人員,可報考(ISC)2 的CISSP® Associate( 準會員),六年內累積足夠的專業經驗,得到審核及推薦後可正式成為CISSP®。

( 詳情參考 https://www.isc2.org/cissp-how-to-certify.aspx)


所以也有一定資歷規定與難度。當通過考試之後,必須提交工作資歷,讓(ISC)2 審查。他們審查時也會抽驗資歷內容,如果對提供的資歷內容有疑慮,會要求考生( 在(ISC)2 叫做Candidate) 提出書面說明。

隨後還有推薦函;由現任有效CISSP 推薦或考生的CSO/CEO 推薦。這些都過關之後,不是就此高枕無憂。為了有效維持此證照,還有年度積分要維護。

CPE( 持續教育積分)

  1. CISSP 可在三年內取得120 分CPE,否則須重新參加考試。
  2. 每年至少需取得20 分CPE,累積三年共120 分CPE。

(CPE 規定參考https://www.isc2.org/maintaining-your-credential.aspx)

這麼多的嚴格規定,除了維持此證照的公正及公信力,也是為了讓取得者持續維持在工作上的經驗與專業知識。

雖然說有證照不代表工作能力,但是起碼是一個可信的門檻。企業在任用資安專業人員時,也是個有效的參考。

對個人而言,除了求職需要的門檻之外,更要能把所學知識應用在工作上,才能發揮價值。

從考CISSP 這整個過程來看,Candidate 經歷的這些考驗;除了專業知識外,也經歷了工作上所要面臨的技能。例如決心、工作規劃、持續精進、思考分析,這些特質也可提供雇主參考。 

 

資安專業能力與CISSP 有何關係 ?

CISSP 所包含的知識領域比較廣,(ISC)2 稱為CBK (Common Body of Knowledge),分成十大領域:

  • Domain 1: Access Control
  • Domain 2: Telecommunications and Network Security
  • Domain 3: Information Security Governance and Risk Management
  • Domain 4: Software development Security
  • Domain 5: Cryptography
  • Domain 6: Security Architecture and Design
  • Domain 7: Security Operations
  • Domain 8: Business Continuity and Disaster Recovery Planning
  • Domain 9: Legal, regulations, Investigations, and Compliance
  • Domain 10: Physical (Environmental) Security

可以看的出來與一般產品證照的差異;產品證照無法獲得安全政策與稽核方面的觀念;另外在實體安全方面,除非你是消防相關產業,不然一般IT 很少會接觸這方面的知識。政府法規、業界標準也有涉獵,CISSP 正好補足了這些方面的基本需求。

企業的IT 環境裡,不論是網路或作業系統甚至硬體建設,都是資訊安全防護的一環。由於CISSP包含的知識領域廣而不深,要實際解決資安問題必須從實體做起;資安人員除了具備資安證照,還要擁有基礎的產品證照,才會發揮原本應有的效用。

 

為何企業需要各種專業人員執行資安政策?

現今資安事件日趨複雜,很多的威脅不單單以一種手法達成,而是綜合多種技巧實現。專業資安團隊在處理事件時會分析事件起源,界定受害範圍,以減少企業的損失及縮短回復時間,重建客戶對企業的信賴。

就處理一般資安事件為例,流程大致包括;

  1. 事件分析
  2. 記錄鑑識
  3. 活動行為分析
  4. 受害範圍
  5. 修補及復原

就前三項而言,需要類似CHFI 的專業知識技能。除此之外,要能夠執行事件記錄分析,先要有記錄。所以在分析資安事件之前,必先建置資安系統,考慮各種層面防護。這時需要的是資安系統規劃分析的專業人員。資安系統日常維護、政策review 檢討修正、稽核系統運作,也需要有相關專業的人員。

資安證照也有不同分類領域,建立資安團隊時,可依需要選擇

  1. 稽核類 : CISA,GIAC
  2. 管理類 : CISM,BS7799 LA / 27001 LA
  3. 技術類 : CEH,CHFI
  4. 個資類 : CIPP,BS10012

如果是系統服務提供商ISP,擁有認證資格的資安團隊,才能提供較專業優質的服務給客戶;如果是乙方,選擇具資格的ISP,也是對將來的資安維運品質的一種保障。