【專家主場】「資安真經」の國際專業證書CISSP篇
上兩集同大家介紹過 HKUSPACE 的資訊保安皇牌課程,以及香港科技專上書院舉辦的全港第一個 CyberSecurity 網絡保安(榮譽)理學士課程,回想以往未有這兩個課程前,要在網絡安全行業中突圍而出,考取國際資訊保安專業證書,便是成為資訊保安顧問的唯一出路。而在芸芸眾多的資訊保安專業認證書中,CISSP 可以說是 Best of the Best,因為它是資訊保安行業首個符合 ISO/IEC 17024 國際標準的認證。
CISSP 歷史悠久
CISSP 的全名是 Certified Information Systems Security Professional,是由美國一間非牟利民間組織 (ISC)² 所提供的專業資訊保安認證。第一個 CISSP 的專業證書在 1994 發出,至今已有 25 年歷史。(ISC)² 的全名是 International Information System Security Certification Consortium,這個組織在全球擁有超過 140,000 名認證會員,觸及各層面的資訊安全工作,為認證會員提供廣泛的網絡和協作機會。
翻查官網資料,截稿前香港共有 1,773 個 CISSP 認證會員,亞太區的南韓及新加坡則各有 2,733及 2082 個,中國的數量更於 10 年內由 6 個大幅增加到二千多個,相信與引入簡體中文教材及考題有莫大關係。香港作為全球四大金融中心,CISSP 的認證會員數量實在有點強差人意。相反由於南韓政府大力投放資源在資訊安全領域,市場相當成熟,特別是早在幾年前,南韓部分大學已開辦 CyberSecurity 學士和碩士課程,內容涵蓋 CISSP 課程,所以人才輩出,足以媲美美國、俄羅斯和中國,從南韓的 CTF(Capture the Flag) 代表隊,經常在 DEFCON 和 HITCON 的 CTF 比賽中取得頭五位成績,可見一斑。
認證值多少錢?
以同一職位及相約年資比較,一般來說,考獲 CISSP 認證的員工,月薪大約會高 3000 到 5000 港元。而在美國,考獲 CISSP 認證及擁有五年相關工作經驗的資訊保安從業員,稅前年薪大約為 13 萬美元以上。
應考門檻高
CISSP 認證人員在行業中發揮的作用,是確保組織運營環境安全,為企業定義資訊保安架構、設計、管理和/或控制措施,責任重大,所以考獲認證的人必須具備構建及管理企業安全態勢的廣泛知識、技能與經驗。
應考 CISSP 的門檻也頗高,必須在下列八大知識領域其中兩個或以上範疇,擁有至少 5 年全職工作經驗,試題包含各種信息安全議題,並且每年更新一次,與業內最新動向同步。
- 安全與風險管理 (安全、風險、合規、法律、法規、業務連續性)
- 資產安全 (保護資產的安全性)
- 安全工程 (安全工程與管理)
- 通信與網絡安全 (設計和保護網絡安全)
- 身份與訪問管理 (訪問控制和身份管理)
- 安全評估與測試 (設計、執行和分析安全測試)
- 安全運營 (基本概念、調查、事件管理、災難恢復)
- 軟件開發安全 (理解、應用、和實施軟件安全)
改制增含金量
考試對考生的綜合素質要求較高、知識面廣、訊息量大、考試時間長、與實務和經驗緊密結合,簡單來說,CISSP 考試的特點就是——「難」。
未改制前,CISSP 的考試形式是考生必須在 6 小時內完成 250 條四選一的題目。每年會舉辦 5 次,全球各地區每次考試都會定在同一日,保持考試的公平性。前幾年主辦單位改制,授權考試中心以電腦替代筆試應考,結果可以馬上知道。而由去年開始,再改為 3 小時內完成 100 至 150 條 Computerized Adaptive Testing (CAT) 的選擇題; CAT 的考試是不能翻改已作答的題目,系統會根據你答案的對錯而決定下一題目的內容,如這題答錯了,下一題將會是同一知識領域的題目,直至應考者答對為止,考試的難度提高了不少。本長老曾跟 (ISC)² 亞太區負責人討論過新的 CAT 考試模式,他說改制原因是希望提升 CISSP 的含金量,以及與時並進,以配合現代網絡保安的需求。
上兩集同大家介紹過 HKUSPACE 的資訊保安皇牌課程,以及香港科技專上書院舉辦的全港第一個 CyberSecurity 網絡保安(榮譽)理學士課程,回想以往未有這兩個課程前,要在網絡安全行業中突圍而出,考取國際資訊保安專業證書,便是成為資訊保安顧問的唯一出路。而在芸芸眾多的資訊保安專業認證書中,CISSP 可以說是 Best of the Best,因為它是資訊保安行業首個符合 ISO/IEC 17024 國際標準的認證。