CISSP+CISA認證介紹

1、CISSP認證考試認證：CISSP認證1、CISSP認證介紹下一代信息安全領導者必備的IT安全認證CISSP® (Certified Information Systems Security Professional) “(ISC)²® 注冊信息系統(tǒng)安全師”  認證是信息安全領域最被全球廣泛認可的IT安全認證，一直以來被譽為業(yè)界的“金牌標準”。CISSP 認證不僅是對個人信息安全專業(yè)知識的客觀評估，也是全球公認的個人成就標準。CISSP 持證人員是確保組織運營環(huán)境安全，定義組織安全架構、設計、管理和/或控制措施的信息安全保障專業(yè)人士，

2、CISSP 持證者堪稱名副其實的、可信賴的安全顧問。CISSP 認證將確保信息安全領導者擁有可靠地構建及管理組織的安全態(tài)勢所必備的廣泛知識、技能與經驗。CISSP 是信息安全行業(yè)首個符合ISO/IEC 17024 國際標準嚴格要求的認證。如果您打算在信息安全這一當今最為矚目的行業(yè)領域里成就一番事業(yè)，獲得CISSP認證理應成為您下一個職業(yè)目標。個人信息安全專業(yè)知識、技能與經驗的證明CISSP 認證考試測試專業(yè)人員在(ISC)²CISSP CBK®八大知識領域所具備的能力與水平，涵蓋風險管理、云計算、移動安全、應用開發(fā)安全等關鍵安全議題。 CISSP 應考人員必須在八大知識領域

3、的兩個或以上范疇，擁有至少5年全職工作經驗。 CISSP 考試對考生的綜合素質要求較高、知識面廣、信息量大、考試時間長、與實務和經驗緊密結合，這些是CISSP 考試不同于其它認證考試的突出特點。CISSP 持證人員通常在所任職公司擔任以下工作職務：§ 首席信息安全官§ 信息安全總監(jiān)§ 信息技術總監(jiān)/經理§ 安全經理§ 安全顧問§ 安全審計師§ 安全架構師§ 安全分析師§ 安全系統(tǒng)工程師§ 網絡架構師CISSP CBK 八大知識領域： （2015年4月15日執(zhí)行）CISSP 知

4、識領域基于 (ISC)² CBK 內包含的各種信息安全議題，并每年更新一次，以反映全球最新的行業(yè)最佳實踐。 § 安全與風險管理 （安全、風險、合規(guī)、法律、法規(guī)、業(yè)務連續(xù)性）§ 資產安全 （保護資產的安全性）§ 安全工程 （安全工程與管理）§ 通信與網絡安全 （設計和保護網絡安全）§ 身份與訪問管理 （訪問控制和身份管理）§ 安全評估與測試  （設計、執(zhí)行和分析安全測試）§ 安全運營 （基本概念、調查、事件管理、災難恢復）

5、67; 軟件開發(fā)安全 （理解、應用、和實施軟件安全）2015年度SC雜志各項大獎于美國時間2015年4月21日揭曉： (ISC)² CISSP 認證連續(xù)兩年蟬聯(lián)“最佳專業(yè)認證計劃獎”，這也是自2006年以來 (ISC)² “金牌標準”認證 CISSP 第六次榮獲此項殊榮。2、為什么要成為CISSP？擁有CISSP 認證對于個人的好處§ 展示信息安全領域的專業(yè)應用知識§ 聲明自己對本行業(yè)的鄭重承諾§ 在同行中脫穎而出，在全球人力市場上擁有更高的聲譽和競爭力§ 享受(ISC)² 會員專屬權益，如擴大業(yè)內人士的人際網絡和

6、增進互動交流§ 據全球信息安全人力研究表明，信息安全認證從業(yè)人員的薪水比非認證從業(yè)人員平均高出25%。§ 滿足政府和企業(yè)對于信息安全認證的特定要求擁有CISSP 認證人才對于企業(yè)的好處§ (ISC)² 證書獲國際廣泛認可，可提升企業(yè)在全球市場上的整體競爭力§ 提高企業(yè)的信譽，使供應商和承包商更有信心與企業(yè)合作§ 使員工掌握一種通用語言，避免對業(yè)界公認的條款和行為準則產生歧義§ 證明企業(yè)在業(yè)內的多年經驗與行業(yè)承諾§ 持證員工必須持續(xù)進修，獲得足夠持續(xù)專業(yè)教育（CPE）學分，以確保其技能與時俱進§ 確保企業(yè)遵

7、守政府規(guī)定或行業(yè)規(guī)范§ 滿足服務提供商或分包商對于資格認證的特定要求3、如何獲得 CISSP 認證獲得所需工作經驗  需證明您在 (ISC)²® CISSP® CBK® 規(guī)定的八大知識域之中的兩個或以上范疇，擁有至少五年從事信息安全行業(yè)的全職工作經驗，或具備學士學位且在CISSP CBK規(guī)定的八大知識域中的二個或以上范疇擁有四年的全職工作經驗。如果未達到年限要求，您仍可以參加考試，先成為(ISC)² 準會員，直到滿足所要求的工作經驗后再申請認證。備考  可選擇性利用以下教育工

8、具幫助學習 CISSP CBK，包括：§ 考試大綱§ CBK知識域預覽網播§ 官方教材§ studISCope自我測評§ 自定學習進度的在線學習eLearning§ 官方培訓研討會注冊考試§ 請登陸 /certification-register-now安排考試日期§ 交納考試費通過考試  以700分或以上分數通過CISSP 認證考試。請登陸/exam-scoring-faqs 閱讀更多關于考試評分的常見問題。完成薦證流程

9、60; 當您獲得成功通過考試的通知時，從考試日起9個月內需完成以下薦證手續(xù)：§ 填寫薦證申請表 ( Application Endorsement Form )§ 同意遵守(ISC)² 職業(yè)道德規(guī)范 ( Code of Ethics )§ 獲得另一名(ISC)² 認證會員的簽名薦證完成以上步驟并提交申請表，方能最終獲得證書。 請登錄/endorsement閱讀指南及下載申請表維持資格證書有效性  每三年需要重新進行認證以保持證書有效性。持證者在獲得證書后須每年至少獲得40個持續(xù)專業(yè)教育 (C

10、PE) 學分, 每三年累積獲得120個持續(xù)專業(yè)教育 (CPE)學分。 如果未達到 CPE 學分要求，CISSP 持證者必須重新考取認證。另外 CISSP 持證者需支付85美元的年費(AMF)。4、CISSP 專項加強認證隨著信息安全的不斷演化，秉承 CISSP® 的原有理念，(ISC)²® 發(fā)現有必要制定一些專項認證以滿足會員的特定需求。因此，我們將資格認證進一步拓展，推出了 CISSP 專項加強認證 （CISSP Concentrations），為 CISSP 持證人員在職業(yè)生涯中開創(chuàng)更多新機遇，認可 CISSP 持證者具有的某些專項才能，適

11、用于大型企業(yè)中對職位要求更高的高端人才。§ 信息系統(tǒng)安全架構專家 （CISSP-ISSAP®）§ 信息系統(tǒng)安全工程專家 （CISSP-ISSEP®）§ 信息系統(tǒng)安全管理專家（CISSP-ISSMP®）要獲得 CISSP-ISSAP, CISSP-ISSEP 或 CISSP-ISSMP 認證， CISSP 持證者必須在保持其證書有效性的基礎上，通過相應的專項考試。 每一專業(yè)領域認證均有其相應的 CBK 知識域。5、CISSP準會員(ISC)²® CISSP® 準會員您無需在業(yè)內花幾年時間

12、來證明自己在信息安全方面的專業(yè)才能。成為 (ISC)² 準會員，您已置身于一個信譽卓著的組織中，將贏得雇主和同行對您專業(yè)知識的贊同參加條件準會員身份適合于在行業(yè)某些關鍵領域知識豐富但缺少實際工作經驗的情況。 您可以參加 CISSP 考試，同意遵守 (ISC)² 道德規(guī)范，但要獲得 CISSP 證書，您仍需具備規(guī)定年限的從業(yè)經驗，提供證明并由 (ISC)² 認證會員為您薦證。如果您正在努力考取此證書，您將從考試通過日起有最多六年時間去獲得所規(guī)定的五年從業(yè)經驗。 另外每年需繳納35美元年費 (AMF) 并獲得20個持續(xù)專業(yè)教育 (CPE) 學分，以保持資格有效性。6、

13、CISSP八大知識域CISSP® (ISC)²® CBK® 知識域涵蓋信息安全專業(yè)人士普遍關注的各種信息安全關鍵性議題，并每年更新一次，以反映全球最新的最佳實踐。同時建立了一個信息安全概念和原理的通用框架，以供探討、辯論、解決業(yè)內難題。 CISSP CBK包含以下八大知識域：（2015年4月15日起實施）1）安全與風險管理關鍵知識域：§ A. 理解并應用保密性、完整性和可用性的概念、應用安全治理原則§ B. 合規(guī)、理解與信息安全有關的法律和法規(guī)問題§ C. 理解專業(yè)人員道德品質

14、7; D. 開發(fā)并實施文件化的安全策略、標準、規(guī)程和指南§ E. 理解業(yè)務連續(xù)性要求§ F. 個人安全策略§ G. 理解并應用威脅建模§ H. 建立并管理信息安全教育、意識和培訓 2）資產安全關鍵知識域：§ A. 信息及支持性資產的分級（例如敏感性和關鍵性）§ B. 確定并維持資產責任人（例如數據責任人、系統(tǒng)責任人、業(yè)務/使命責任人）§ C. 隱私保護§ D. 確保適當的保存§ E. 確定數據安全控制（例如存儲的數據、傳輸的數據）§ F. 建立處置要求（例如敏感信息的標記、存儲、分發(fā)）

15、 3）安全工程關鍵知識域：§ A. 使用安全設計原則的工程過程的實施和管理§ B. 理解安全模型的基礎概念、基于系統(tǒng)安全評價模型選擇控制和對策§ C. 理解信息系統(tǒng)的安全能力（例如存儲保護、虛擬化、可信平臺模塊、界面、容錯）§ D. 評估并減緩安全架構、設計和解決元素的脆弱性、評估并減緩基于Web（例如XML、OWASP）的脆弱性§ E. 評估并減緩移動系統(tǒng)的脆弱性、評估并減緩嵌入設備和網絡物理系統(tǒng)（例如物聯(lián)網）的脆弱性§ F. 應用密碼§ G. 在場所和設施的設計中應用安全原則、設計并實施物理安全 4）

16、通信與網絡安全關鍵知識域：§ A. 在網絡架構（例如IP和非IP協(xié)議）中應用安全設計原則§ B. 安全網絡組件§ C. 設計并建立安全通信渠道§ D. 防護或減緩網絡攻擊 5）身份與訪問管理關鍵知識域：§ A. 資產的物理和邏輯訪問控制§ B. 人員和設備的身份和鑒證管理§ C. 作為一項服務整合身份（例如云身份）§ D. 整合第三方身份服務§ E. 實施并管理授權機制§ F. 防護或減緩訪問控制攻擊§ G. 管理身份和訪問配置生命周期 6）安全評估與測試關鍵知識域

17、：§ A. 設計并驗證評估和測試戰(zhàn)略§ B. 管理安全控制測試§ C. 收集安全過程數據（例如管理和運行控制）§ D. 分析并報告測試輸出（例如自動化手段、手工手段）§ E. 實施內部和第三方審核 7）安全運營關鍵知識域：§ A. 理解并支持調查、理解調查類型的要求§ B. 理解并應用基礎的安全運營的概念、實施日志和監(jiān)視活動§ C. 資源配置安全、使用資源保護技術§ D. 實施事件管理、運行并保持預防措施§ E. 實施并支持補丁和脆弱性管理§ F. 參與并理解變更管理過程（例

18、如版本控制、基線、安全影響分析）§ G. 實施恢復戰(zhàn)略、實施災難恢復過程、測試災難恢復計劃、參與業(yè)務連續(xù)性計劃和演練§ H. 實施并管理物理安全、參與解決個人安全問題 8）軟件開發(fā)安全關鍵知識域：§ A. 在軟件開發(fā)生命周期中應用安全§ B. 在開發(fā)環(huán)境中加強安全控制§ C. 評估軟件安全的有效性§ D. 評估獲取軟件的安全影響CISA認證1、CISA認證介紹注冊信息系統(tǒng)審計師，是指一批專家級的人士，既通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理和安全，又熟悉經濟管理的核心要義，能夠利用規(guī)范和先進的審計技術，對信息系統(tǒng)的

19、安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。21世紀是信息化的時代，生產、交易和管理都離不開信息流和對信息流的管制，管理人員在面對傳統(tǒng)經營風險和財務風險的同時，必須隨時面對信息風險對企業(yè)生存和發(fā)展的挑戰(zhàn)，人們不難想象，假如銀行的存貸款數據庫被黑客破壞，假如證券交易所的信息系統(tǒng)突然崩潰，假如企業(yè)ERP系統(tǒng)中的應收帳款模塊產生混亂，假如倉庫的自動訂貨和發(fā)貨系統(tǒng)無法修復，我們面對的將不單單是損失，而是破產、混亂和崩潰！順應時代要求，信息系統(tǒng)審計師將在信息化社會中，為各單位筑起一道信息安全的壁壘。目前國際上，信息系統(tǒng)審計與控制協(xié)會ISACA（Information System Audit an

20、d Control Association）是唯一有權授予國際信息系統(tǒng)審計師資格的跨國界、跨行業(yè)專業(yè)機構，該協(xié)會成立于1969年，最初稱為EDP審計師聯(lián)合會，總部在美國的芝加哥。目前在世界上100多個國家設有160多個分會，現有會員兩萬多人。注冊信息系統(tǒng)審計師CISA（Certified Information System Auditor）資格由ISACA授予，是信息系統(tǒng)審計領域的唯一職業(yè)資格，受到全世界的廣泛認可。由于信息技術的國際性，國際信息系統(tǒng)審計師資格在世界任何一個國家的使用都不會受到任何制約。2、CISA認證機構介紹1978年以來，由信息系統(tǒng)審計與控制協(xié)會（ISACA®）

21、發(fā)起的注冊信息系統(tǒng)審計師（CISA）認證計劃已經成為涵蓋信息系統(tǒng)審計、控制與安全等專業(yè)領域的全球公認的標準；官方網站：/ （ISACA®）主要針對個人的認證有：CISA、CISM、COBIT等認證。3、CISA考試涉及的領域信息系統(tǒng)審計流程 (14%)遵照IT審計標準提供審計服務，以幫助組織保護和控制其信息系統(tǒng)。IT治理和管理 (14%)用以確保具備必要的領導層、組織結構及流程來實現相關目標和支持組織戰(zhàn)略。信息系統(tǒng)購置、開發(fā)與實施(19%)用以確保信息系統(tǒng)的購置、開發(fā)、測試和實施實務符合組織的戰(zhàn)略與目標。信息系統(tǒng)的操作、維護與支持 (2

22、3%)用以確保信息系統(tǒng)的操作、維護與支持流程符合組織的戰(zhàn)略與目標。信息資產的保護 (30%)用以確保組織的安全政策、標準、規(guī)程和控制能夠保證信息資產的機密性、完整性和可用性。4、CISA考試時間CISA每年有三次考試，分別在6月、9月和12月，具體時間為該月第二周的周六?？荚嚂r間在9:0013:00?？键c分別有：北京、上海、廣州、深圳、南京。9月份的考試在中國的考場只有三個：北京、上海、深圳。5、CISA考試認證的要求申請人必須：提供從事信息系統(tǒng)審計、控制、鑒證或安全工作 5年工作經驗的確認證明表。工作經驗必須在認證申請日之前的十年內，或最初通過考試之日起的五年內獲得。6、CISA考

23、試CISA考試考題為200道多項選擇題（以最佳選擇為正確答案），共計800分，450分通過。舉例來說：比例分數為800的代表滿分，所有問題全部回答正確；比例分數為200的是最低分數，表示只回答對了其中少數問題?？忌姆謹当仨氝_到450或更高才可以通過考試。450分代表由ISACA的CISA認證委員會所制定的最低的統(tǒng)一知識標準。7、CISA考試語言自2007年12月開始，ISACA開始有中文簡體試卷，考生在考試的時候可以在報名的時候根據自己喜歡或是熟悉的語言選擇試卷語言，如：簡體中文、繁體中文、英語、法語、德語、西班牙語、荷蘭語、意大利語、日語、韓語文和希伯來語這11種考試語言。8、ISACA會

24、員可以認證考試優(yōu)惠，是否必要？ISACA會員僅能節(jié)約150美金考試報名費用，從成本效益來看，如果只是為通過CISA認證，不建議加入。因為，入會費用包括三部分：1、ISACA會員年費，每年135美元，全日制學生會員年費25美元。首年年費因入會時間而異。元旦5月31日入會者全額繳納當年年費；6月1日8月6日入會者只繳納當年下半年的年費（即：全額年費的50%）；8月6日12月31日入會者全額繳納次年年費，獲贈當年的會員資格。2、本地分會年費，每年一繳。視申請人所處地理位置不同而異。目前中國大陸無ISACA分會，可就近加入香港分會或臺灣分會。香港分會年費70美元；臺灣分會年費50美元。3、入會手續(xù)費1

25、0美元，是一次性收取的費用。9、如何領取準考證？在CISA考試前2到3周，考生會收到來自 ISACA 的書面準考證以及電子準考證。準考證上標明了考試的日期、入場登記時間與考試地點、 當天日程安排以及參加 CISA 考試必須攜帶的材料?？忌梢詰{借打印的電子準考證或準考證原件進入考場。除非聯(lián)系信息發(fā)生變更，否則考生 不應在準考證上涂寫。 10、如果時間來不及，是否可以退款或緩考？可以退款或緩考。無法參加考試的申請人可以在指定日期前要求退還報名費，退款中將扣除$100的手續(xù)費?？荚噲竺咭部梢栽谥付ㄈ掌谇斑x擇 將考試日期延至以后考試日。緩考費用根據申請緩考時間不同而不同。學習資料以及相關稅款、郵資

26、、處理費或會員費不予退還或退換。考試報名費和會員費不可轉讓。 11、CISA考試是筆試還是機考？目前沒有采用計算機考試，仍然是筆試涂寫答題卡的方式。 12、CISA考試成績如何公布？考試日以后 5周內（原為8周）發(fā)布成績，考生將接到郵寄的正式考試成績通知。此外，如果考生在報名過程中注明同意，則我們還可以為考生 發(fā)送電子郵件，其中包含考生及格/不及格的情況以及考試得分。證書介紹：CISSP認證考試費用：599美金考試時間：6小時CISA認證考試費用：635美金考試時間：4小時2016年CISA官方認證考試費用一覽表考試時間考試地點考試費優(yōu)惠報名截止最終報名截止考試變更考試退款考試緩考會員非會員6月11北,上,廣,深,南4506352月104月84月8日之前不收費，4月9日至4月22日之間收取US$50，4月22日之后恕不受理4月8日之前收取US$100手續(xù)費，之后恕不退還任何費用4月22日之前收取US$50手續(xù)費。