对于从事IT信息工作的几大认证介绍,希望能帮助有关人员解决考证问题。
一:CISA(国际注册信息系统审计师)
1、认证介绍
      自1978年以来,由信息系统审计与控制协会(ISACA®)发起的注册信息系统审计师(CISA) 认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的全球公认的标准。
      CISA 推广与评价的专业技术和实务是在该领域中取得成功的基石。拥有CISA 资格证书说明持证人具备的实践能力和专业程度。随着对信息系统审计、控制与安全专业人士需求的增长,CISA 已成为全球范围内个人与公司机构不可或缺的认证。CISA 资格证书代表持证人有卓越的能力服务于公司的信息系统审计、控制与安全领域。此外,它还为持证人带来相当的职业成就和经济利益。
2、适合对象
      CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。
3、应试必备条件
      CISA 认证计划为信息系统审计、控制与安全职业领域中具有卓越技能与判断力的个人提供评估与认证。若想获得CISA认证,申请人需要:
    ◎顺利通过CISA 的考试;
    ◎遵守信息系统审计与控制协会的《职业道德规范》 ,此规范已列入《Candidate’s Guide to the CISA Exam》中,供考生参考;
    ◎提供从事信息系统审计、控制与安全工作5 年以上经验的证明。具有下列经验者,可申请替代部分年限,并出示适当的证明:
       具备如下资历者,可以申请替代(最长达)1 年的信息系统审计、控制与安全的工作经验要求:
      • 满1 年的非信息系统审计工作经验,或
      • 满1 年的信息系统工作经验,和/或
      • 具有大专学历(大学60 个学分或同等学历)。
      • 拥有学士学位(大学120 个学分或同等学历)者,可以替代2 年信息系统审计、控制与安全工作经验。
      •2 年相关领域(计算机科学、会计、信息系统审计等)大学专职讲师经验可以替代1 年信息系统审计、控制与安全工作经验。无最高可替代年限限制(即6 年大学讲师经验可以替代3 年信息系统审计、控制与安全工作的经验)。
       专业经验必须在申请前的10 年之内获得,或在第一次通过考试之日的前5 年之内。认证申请必须在通过CISA 考试的5 年之内提出。所有专业经验都必须由原雇主独立地签字确认。
      值得说明的是,很多人在具备所要求的经验之前就参加CISA考试。尽管在所有要求的资历未达到之前不会被授予CISA证书,但这种作法是可以接受并值得鼓励的。
4、ISACA介绍
      信息系统审计与控制协会(ISACA)创始于1967年,当时它是由从事同类职业的人所组成的小团体——计算机系统的审计和控制对他们各自机构的运作都 变得愈发关键——因此他们聚集 起来讨论制定信息集中化资源和本领域指导准则的必要性。在1969年,这个团体正式组建为 EDP 审计师协会。在1976年,这个协会成立一项教育基金来开展大规模的研究工作,以拓展信息 产业管理与控制领域的知识与价值。
      今天,ISACA在全球有四万七千多名成员,他们的组成非常具有多元性。这些成员在140多个 国家内生活和工作,并涵盖众多专业信息技术的相关职业,比如信息系统审计师、顾问、教 导员、信息系统安全专家、管理者、首席信息官和内部审计师等。有些职业是本领域内新兴 的,其他为中级管理人员,另外还有许多人担任最高级的职位。他们几乎遍及所有行业,包 括财政金融、公共会计、政府与公共部门、公用事业和制造业。这种多元性使众多成员能够 相互学习,并在许多专业问题上广泛交流彼此的观点。该特点一直被认为是ISACA的强势之一 。
      ISACA的另一个强势就是它的分会网络。ISACA 的分会遍布世界60 多个国家,可提供成员教育、资源共享、支持、专业网络,以及其他由当地分会提供的诸多 利益。
      在ISACA创立的三十年来,它已成为一个为信息管理、控制、安全和审计专业设定规范的全球 性组织。它的信息系统审计和信息系统控制标准为全球执业者所遵从。它的研究工作针对那 些挑战其重要原则的疑难专业事项。它的国际信息系统审计师(CISA)认证得到全球的公认 ,并有三万多名专业人员得到认证。国际信息安全经理(CISM)认证特别针对信息安全管理 的审计事务。它出版了领先于信息控制领域的技术性期刊,即《信息系统控制期刊》 (Information Systems Control Journal)。它举办一系列国际性会议,并且把焦点集中于 信息系统保障、控制、安全和信息 技术管理专业的技术与管理主题上。ISACA与其附属的信息技术管理机构领导着信息技术控制 界,并在不断变化的国际环境下为其执业者提供信息技术专业所需的要素,保证他们得到良好的服务。
5、证书荣誉
   ◎专业顶尖的标志
   获得CISA 认证有助于确立你作为一名合格的信息系统审计、控制和安全专业人才的声誉。不论你是希望提高你的工作表现还是得到职务升迁,拥有CISA 资格证书都会使你拥有他人无法企及的竞争优势。
   ◎雇主渴求的人才
   由于CISA 持证人能够熟练掌握当今需要的最先进的技能,雇主更愿意雇用和留住那些达到并能够维持资格证书所要求水平的人才。对于雇主而言,CISA 认证确保其雇员拥有胜任当前工作所必需的最新教育与实践经验。
   ◎全球的认可
   也许本认证对于你当前的工作并不是绝对必需的 ,然而越来越多的机构希望员工得到CISA 认证。为了确保你在全球职业市场上的成功,选择一个建立在全球认可的技术实务基础上的认证是至关重要的。CISA 就是这种认证。CISA 作为信息系统审计、控制与安全专业人员的资格证书,受到全世界信息系统审计、控制和安 全行业的广泛认可。
二:CISSP(国际注册信息系统安全专家)
一、CISSP介绍       
    CISSP是(Certification forInformation System Security Pro Fessional信息系统安全认证专家)的缩写,一种反映信息系统安全从业人员水平的证书,CISSP可以证明证书持有者具备了符合国际标准要求的信息 安全知识和经验能力,目前已经得到了全世界广泛的认可,CISSP(Certified Information System Security Professional信息系统安全认证专业人员)是一种反映信息系统安全从业人员资质水平的证书,它可为从事信息安全领域工作的人士提高专业资历提供 新的机会和更大便利。CISSP认证考试由(ISC)2组织与管理,参加CISSP认证的人员需要遵守CISSP 道德规范(Code of Ethics),同时要有在信息系统安全通用知识框架(CBK)的十个领域之中的一个或一个以上领域中具有最少3年的直接工作 经验。
参考网址:
http://www.cissps.com/    
http://www.gocertify.com        
http://nsfiner.suyao.com                
二、CISSP认证机构(ISC)2介绍
(ISC)2是信息安全领域的顶级认证机构之一,成立于1989年,到现在已经给超过120个国家的五万多名安全专家授予了相关认证。(ISC)2目前提供如下6种认证:
SSCP(SystemSecurityCertificatedPractitioner)认证系统安全实践者
CAP(CertificationandAccreditationProfessional)认证和评估专家
CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家
CISSP的升级版本
CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家
CISSP-ISSMP(InformationSystemSecurityManagementProfessional)信息系统安全管理专家
CISSP-ISSEP(InformationSystemSecurityEngineeringProfessional)信息系统安全工程专家
(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。
(ISC)2提供的6种认证中,知名度最高和持有者人数最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人数最多的是美 国,现有30385名,中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP,而且有一定的相关领域工 作经验要求,所以在国内除了香港18名台湾4名持有者之外,大陆还没有持有者。至于(ISC)2较为低端的SSCP和CAP认证,由于其定位和考核内容的 原因,在国际上的接受程度不高,所以除了美加两国外,其他国家的持有者都很少。
CISSP认证是国际上最权威、最受认可的信息安全认证,它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证 对象为在企业处于中高层:CISO(ChiefInformationSecurityOfficer)、 CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。
三、为什么要获的CISSP认证
   信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象。但随着信息技术的发展,当年只有精通系统和网络底层,推动技术 进步的高手才能被称为***,现在随便一个会用网络的再随便找些***工具也自称为***,技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的*** 事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁,不单在IT技术领域,在各行业 的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,所以市场对专业的信息安全人才的需求也在随之大 大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验,保持CISSP认证的有效性还可以显示持有者对信息 安全的发展和技术进步有很高的热情,并愿意为信息安全贡献自己的一份力量。此外,获得CISSP认证还有其他的好处,比如:
1、 适应市场中越来越热的对信息安全人才的需求
2、 增加对信息安全的知识和概念的理解
3、 为当前的工作增加信息安全的理念
4、 在日益激烈的职场竞争中增强自身优势
5、 在薪水增长和职务提升上更有优势
    2004年(国内最早的CISSP之一)说起CISSP是国际上最权威的信息安全认证,CISSP其实是涵盖了信息安全的各个方面,着重突出了信息安全是 由技术和管理构成的整体这一观点,不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识,同时好好的补充了其他七个CBK的知识,也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP, 本身就是一个对学习者安全知识体系进行完善的过程。
CISSP都从事什么工作?
国外的情况,以美国为例,刚拿到CISSP认证的人,在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作,头衔一般就是 Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加,CISSP会渐渐脱离具体的技术工作,转而从事更偏重管理、处于企业中层的工作,比如安全产品开发团队或安全服务 团队的领导、安全咨询、安全培训讲师和安全部门经理等,头衔则变为Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后, CISSP会进入企业管理高层,管理整个企业的信息安全或IT,头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。
国内的情况稍有不同,除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外,有相当一部分CISSP是从事安全咨询、培训方面的工作,更 多的是处于企业中高层管理的位置,读者如果有兴趣了解更详细的情况的话,可以从(ISC)2官方站点上的Member Directory功能中查询。
最后说说大家最感兴趣的CISSP薪水问题,在此就借用(ISC)2 2006年度的官方报告来说一下,CISSP薪水水平的分布成金字塔型,职务越高薪水越高,人数也越少。还是以美国为例,2006年CISSP的平均年收入为:
IT Administrator: $45000-$55000
Information Security Administrator:$75000
Security Analyst/Engineer:$80000
Manager, Information Security :  $100000
CISO, CSO :$150000 及以上
另外,国内和国外相同的一点是,拿到CISSP认证之后通常待遇都会有所提升。
四、参考条件               
参加CISSP认证考试,必须具备以下几个条件:
CISSP的道德守则就是要求CISSP有诚实的品质,大家按自己的真实情况进行填写即可。
a、遵守(ISC)2的规章制度(详细内容可以参考www.isc2.org)。
b、在信息系统安全CBK(Common Body of Knowledge)规定的10个考试领域中的一个或多个中工作3年以上。你可以是信息安全相关领域的从业者、审计员、咨询者、客户、投资商或教师,要求 你在工作中直接应用信息系统安全知识。3年的实际工作可以是累加的。
c、每3年需要重新认证,需要你在3年内获得120个Continuing Professional Education (CPE)信用分。
d、关于英语:对于非英语国家的考试,CISSP的考试是允许考生携带不含夹带或标注的字典。根据笔者的观察,国内考生未能通过考试的很大一部分原因 在于英语基础薄弱,一方面未能准确理解题目,另一方面造成做题速度慢而影响水平的发挥。虽然在某些考试时允许使用无存储功能的电子翻译器(如文曲星),但 扎实的英语基础和丰富的专业英语词汇是顺利通过考试的一个重要条件。如果读者对CISSP认证很有兴趣,但工作经验又达不到(ISC)2的要求,怎么办? 不要气馁,(ISC)2专门为这种情况的考试者设立了一个称为“Associate of (ISC)2”的头衔,考试者在通过CISSP考试,在实际工作中积累足够年限的工作经验,便可向(ISC)2申请升级为正式的CISSP。
     e、不过要注意信息安全领域认证介绍-编程知识网ISC)2 在五月份修改了CISSP认证考试对报名者的工作经验要求,从2007年的10月1日开始,原来的4年全职工作经验要求增加到5年,工作中要涉及到的 CBK数目的要求则从至少一个增加为至少两个。报名者依然可以通过学历和认证证书来减少1年的工作经验要求,认证证书列表和年限放宽的限制和原来一样。
CISSP认证考试的报名者在填写报名表之前,还需要同意(ISC)2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议,还有最重要 的,(ISC)2的CISSP道德准则(Code of Ethic)。另外,报名者在填写报名表时,还需要回答4个关于是否有犯罪记录背景的问题。
     f、从2002年6月1日起,(ISC)2把取得CISSP的过程划分为两个步骤:认证和考试。通过考试之后,还必须取得第三方的认可才可以最终获 得CISSP证书,第三方可以是参考者的雇主、或者是其他已获得认证的专业人士。这一举措增加了获得CISSP的难度,但也更明确了CISSP和其他安全 认证的区别,保持了CISSP的权威性。
三:CISP(国家注册信息安全专业人员)
CISP:(Certified Information Security Professional)注册信息安全专业人员,简称CISP,根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为 Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”, 英文为Certified Information Security  Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统 的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组 织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障, 其所具备的专业资质和能力,系经中国信息安全产品测评认证中心实施国家认证

转载于:https://blog.51cto.com/wuenlong/785164