CISSP認證可以作為遵從標準的入門
過去的5年里,涌現出了很多國家性和地區性的規則、標準,這些標準大大改變了安全行業的面貌。在美國,很多法律(比如Sarbanes-Oxley法案、HIPAA法案、GLBA法案)和數據安全侵害方面的法律(像加利福尼亞州的SB-1386),還有《聯邦信息安全管理法案》(FISMA)都已經將一些安全措施的采用作為遵從標準的一個方面,而不僅僅是一個避免最壞安全情況出現的方法。
雖然PCI數據安全標準不是政府規定要遵守的規則,但是它已經被幾個大的信用卡品牌所肯定,被稱作非常成功的“隱私”標準。遵從PCI 數據安全標準已經成為商業領域最基本的事情,如果一個企業想繼續處理信用卡數據而不想被罰款和制裁的話,那么它就得遵從這個標準。
很多安全工作人員——不管是老手還是新手——經常發現他們自己在遵從規則標準的過程中才知道安全和規則標準存在沖突。然而,當遵從標準能對公司信息安全進程起到推動作用的時候,CISSP認證常常起到了幫助信息安全從業者的作用。
CISSP公共知識體系
信息系統安全專業人員認證(簡稱CISSP),由國際信息系統安全認證協會((ISC)2)頒發,目的是為考察從業者的專業資格提供一個客觀的標準。CISSP的公共知識體系(CBK)定義了CISSP報考者需要掌握的基礎知識。這個公共知識體系包含了10個類別,CISSP的報考者應該熟悉它們,從而通過嚴格的CISSP認證考試。
類別如下:
1. 訪問控制
2. 電信和網絡安全
3. 信息安全和風險管理
4. 應用安全
5. 加密技術
6. 安全架構和設計
7. 操作安全
8. 業務連續性和災難恢復規劃
9. 法律、規則標準、遵從和調查
10. 物理層(環境)安全
當然,安全標準涉及了所有的這10個方面。比如,“法律、規則標準、遵從和調查”,幾年前還叫做“法律,調查和道德規范”。這個變化強有力的證明了安全的一個主要方面跟遵守法律和遵從規則標準有關。在這個類別中,CISSP投考者不僅需要對美國的信息安全相關的標準有所理解,還要對世界上其他地方的有所了解。
另外的類別也已經開始涉及標準。比如,崗位輪換、義務和責任的分離、安全事件的處理等都是安全標準的重要內容;而這些內容包含在“操作安全”類別里面。類似的,“物理安全”類別涵蓋了邊界安全防衛和設備保護,很多安全標準都包含這些內容。
“安全架構和設計”涉及了用來建立訪問控制政策和模型的安全模型。在這個規章管理的時代,這個話題被討論的幾率比過去要頻繁的多。“電信和網絡安全”涵蓋了所有的數據通信保護技術和實踐。在Internet時代,這個類別將被充分的實踐。CBK中其他的類別同樣涉及了被一個或多個安全法律要求的內容。
CISSP對標準的互補作用
CISSP認證的重點集中在安全技術和管理上,但是在標準和遵從標準領域中,該認證的效用要薄弱許多,因為這兩個方面在一定程度上被人們從安全本身中剝離了。而這些方面包含在安全治理和管理中,屬于“信息安全和風險管理”這一類。
一個富有治理和管理經驗的CISSP認證人員很容易理解當下所實施的安全規則標準,尤其是那些比較規范的規則標準,比如HIPAA 和 PCI。CISSP公共知識體系事實上已經涵蓋了所有的安全技術領域,這將幫助CISSP認證人員知道怎樣去執行具體的規則標準。
然而,還有一些跟遵從標準相關的內容,CISSP認證并沒有為其報考者準備。比如商業控制開發、內部審計、規則標準的解釋和應用等,這些在CISSP認證中幾乎看不到。其他的認證如注冊信息系統審計員認證(CISA),則專注于控制和內部審計方面。
【編輯推薦】
