CISSP之路开篇杂言.doc

J0ker的CISSP之路开篇杂言2011年9月22日14:21J0ker的CISSP之路今天离通过ISC2的Endorsement审批差不多有一个月，一直没有写点东西总结一下备考和考试之中的点点滴滴，自己想想，还是应该写点东西，也当是对自己努力过的一点纪念 ：） J0ker觉得自己能一次通过CISSP的考试是相当幸运的，虽然CISSP仍然比较偏重技术方面的考核，但安全管理方面的知识占了整个考试相当大的份额，而且考试考核的范围之广，可以用令人发指来形容。 不过还好，毕竟过了，在ISC2的官方站点上查过，截至今年4月31号，国内的CISSP只有371人，加上5月和6月两次考试的通过者，估计也在400之内（每次考试只有20多人，只有一半多的通过率），算起来J0ker还是Top500 : P 现在打算在IT行业里面有较好的发展，一两个认证也是必不可少的，虽然从业经验同样是很宝贵的，许多认证本身的参加考试资格就需要有多少多少年的经验，这种认证必然会使持证者的自身价值上有不小的提升。但不可否认，因为国内认证机构或者代理机构的鱼龙混杂，导致不少原来含金量挺高的认证近年来大大贬值，不过认证的学习和考试过程，认真学习的参与者肯定能受益不少。对应届的毕业生来说，持有初级的技术认证也要比其他竞争者在选择工作上要更有竞争力，尤其是在现在招聘单位都要求求职者有工作经验的情况下。 之前和安全频道的编辑Joe讨论过出一个安全认证的专题，但J0ker一直静不下心来好好总结。最近事情比较少，所以J0ker打算用一个系列的文章，给大家介绍下CISSP相关的知识，也和大家交流下备考过程的心得，顺便也通过CISSP的课程体系，给大家介绍一下信息安全的体系和组成。写在前面：J0ker的CISSP之路将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望J0ker的CISSP之路能给大家都带来帮助。最后你们的支持就是我不断努力向前的动力：）正文 作为J0ker的CISSP之路系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看CISSP认证的颁发机构（ISC）2：（ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证：SSCP（System Security Certificated Practitioner）认证系统安全实践者CAP（Certification and Accreditation Professional）认证和评估专家CISSP (Certificated Information System Security Professional) 认证信息系统安全专家CISSP的升级版本CISSP-ISSAP(Information System Security Architecture Professional) 信息系统安全架构专家CISSP-ISSMP（Information System Security Management Professional）信息系统安全管理专家CISSP-ISSEP（Information System Security Engineering Professional）信息系统安全工程专家（ISC）2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是url/url （ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于（ISC）2较为低端的SSCP和CAP认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。 CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。 CISSP认证的考核范围包括10个方向，称为CBK（CommonBodyofKnowledge）以下按首字母排序：1、AccessControl访问控制2、ApplicationSecurity应用安全（包括开发）3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划4、Cryptography信息加密5、InformationSecurityandRiskManagement信息安全和风险管理6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查7、OperationsSecurity操作安全8、Physical（Environment）Security物理（环境）安全9、SecurityArchitectureandDesign安全架构和设计10、TelecommunicationandNetworkSecurity通讯和网络安全 CISSP认证以考察考生对信息安全技术掌握的全面程度而著称，这10个CBK里面几乎全部包含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难，排除语言的原因之外（CISSP试题是全英文的），几年安全从业经验再加上考前抽时间认真复习，一次通过考试的几率还是挺大的。用一个最恰当的句子来形容CISSP的考试，就是“Onemilewide，Oneinchdeep“，考试范围之广和试题的难易程度可见一斑。 但试题的简单并不说明CISSP的试题可以轻松搞定，因为，即使没有语言障碍，考前也经过充分的复习，拿到试卷后考生会发现CISSP的考试将是一场严峻的考验在6个小时内，考生需要完成250道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于CISSP考试使用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不是4选1，而只能凭感觉在2个相似答案中选其一。 每次CISSP考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上还是因为CISSP考试考察的范围太广。尽管如此，J0ker依然相信，即使他们没有通过CISSP的考试，但通过学习CISSP的课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵经验。在上一篇文章Whats CISSP里，J0ker简单介绍了CISSP及认证机构（ISC）2的背景。相对于知道CISSP或者（ISC）2这两个抽象的概念，读者肯定对为什么要获得CISSP认证、获得CISSP有什么好处和 CISSP主要从事什么工作这样的问题更感兴趣，J0ker将在本文中结合自己的经历给读者解答一下。第一个问题，为什么要获得CISSP呢？ 信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在IT技术领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验，保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如：1、 适应市场中越来越热的对信息安全人才的需求2、 增加对信息安全的知识和概念的理解3、 为当前的工作增加信息安全的理念4、 在日益激烈的职场竞争中增强自身优势5、 在薪水增长和职务提升上更有优势 J0ker是2004年听朋友（国内最早的CISSP之一）说起CISSP是国际上最权威的信息安全认证，也觉得应该要提升一下自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到今年才考。之前一直认为CISSP只是单纯的技术认证，但接触上之后才发现，CISSP其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，J0ker在学习CISSP的过程中受益颇多，不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识，同时好好的补充了其他七个CBK的知识，也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP，本身就是一个对学习者安全知识体系进行完善的过程，相信其他CISSP或学习过CISSP的读者也有相似的体会。OK，我们转到下一个问题，CISSP都从事什么工作？ 先说说国外的情况，以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后， CISSP会进入企业管理高层，管理整个企业的信息安全或IT，头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。 国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2官方站点上的Member Directory功能中查询。 最后说说大家最感兴趣的CISSP薪水问题，因为国内CISSP薪水的总体情况J0ker也不是很了解，在此就借用（ISC）2 2006年度的官方报告来说一下，CISSP薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，2006年CISSP的平均年收入为：IT Administrator： $45000-$55000Information Security Administrator：$75000Security Analyst/Engineer：$80000Manager， Information Security : $100000CISO, CSO ：$150000 及以上另外，国内和国外相同的一点是，拿到CISSP认证之后通常待遇都会有所提升。 在上一篇文章Why CISSP里，J0ker介绍了为什么要获得CISSP认证和CISSP的职业发展情况。那需要通过怎样的流程才能成为一个CISSP？J0ker打算在从本文开始的3个文章中，从参加CISSP认证考试的条件及报名流程、CISSP考试的过程和应注意的问题和CISSP考试通过后的取得认证的手续及CISSP认证的维护这三个方面来向大家介绍。一、参加CISSP认证考试的条件： 根据（ISC）2目前的CISSP考试需求，考试的报名者需要具备信息安全领域涉及1个或以上CBK的4年工作经验，注意这个工作经验指的是信息安全领域的全职工作经验，兼职的不能算，(ISC2)认可的工作经验，指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。如果报名者有本科及以上学历或拥有（ISC）2认可的认证证书，工作经验的要求可以降为3年，但报名者只能通过学历或认证证书减少1年的工作经验要求，并不能同时使用学历和认证证书以减少工作经验要求为2年。 (ISC)2认可的可以减少1年工作经验的证书中，常见的有MCSE、CISA、CISM及一些比较少见的安全认证，有兴趣的读者可以从(ISC)2的官方站点上url/cgi-bin/content.cgi?page=1016/url 获得更详细的列表。如果读者对CISSP认证很有兴趣，但工作经验又达不到（ISC）2的要求，怎么办？ 不要气馁，（ISC）2专门为这种情况的考试者设立了一个称为“Associate of (ISC)2”的头衔，考试者在通过CISSP考试，在实际工作中积累足够年限的工作经验，便可向(ISC)2申请升级为正式的CISSP。 不过要注意的是，(ISC)2在五月份修改了CISSP认证考试对报名者的工作经验要求，从2007年的10月1日开始，原来的4年全职工作经验要求增加到5年，工作中要涉及到的CBK数目的要求则从至少一个增加为至少两个。报名者依然可以通过学历和认证证书来减少1年的工作经验要求，认证证书列表和年限放宽的限制和原来一样。 CISSP认证考试的报名者在填写报名表之前，还需要同意(ISC)2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议，还有最重要的，(ISC)2的CISSP道德准则(Code of Ethic)。另外，报名者在填写报名表时，还需要回答4个关于是否有犯罪记录背景的问题。 相信大家在以上的工作经验要求和个人背景要求都没有问题，CISSP的道德守则就是要求CISSP有诚实的品质，大家按自己的真实情况进行填写即可。二、CISSP认证考试的报名流程： 目前CISSP考试在中国有三个考点，北京的清华大学网络研究中心、上海的交大信息安全学院和广州的软银数码港酒店，大家可以根据自己的方便程度来选择考点。 CISSP考证只能由报名者自己向（ISC）2报名，(ISC)2并没有提供代理报名的方式，这一点请大家注意。目前(ISC)2提供2种CISSP考试的报名方式，在线报名和离线邮件/传真报名。前者适合上网方便、有信用卡的报名者，后者则比较适合没有信用卡的报名者。在线报名的网址是：url/cgi-bin/cissp_register.cgi?examdateid=2877/url 离线报名方式需要报名者到（ISC）2网站上下载报名表，按表上要求填写后邮寄或传真到表格上所写明的地址。亚洲区域的报名者使用以下地址的报名表：url/download/ExamRegistrationFormAsia.pdf/url J0ker在这里要提一下，因为邮寄或传真有可能有延时，所以建议报名者尽量采用在线报名的方式注册CISSP考试。 报名者在选择报名方式的同时也选择了考试费的支付方式，如果是在线报名方式，报名者需要用信用卡支付，请确保信用卡的可用额度足以支付报名费用，使用支持RMB和美元的双币信用卡即可，比如招商银行的信用卡。另外，没有信用卡的报名者还可以请别人代为支付，按在线报名表格的要求填写信用卡信息就可以了，但听有的朋友说请别人用某些银行的信用卡代为支付的时候，会因为（ISC）2提供的支付回执上写的是报名者的名字而非信用卡主人的名字，从而导致支付失败。J0ker报名也遇到的这种情况，支付回执上写的就是J0ker的名字而不是信用卡主人的名字，但支付是成功的，当时用的就是招行的信用卡。对于没有信用卡的报名者来说，还有一种方法可以付款，那就是到银行去购买一张汇票（Draft），填写好相关信息后和打印出来填写好的报名表一块邮寄到(ISC)2香港办事处就可以了，不过这种方法会比较耗时。 CISSP考试的报名费在预定考试15天之前支付为499美元，15天之内为599美元。如果报名者因为各种原因需要取消或改时间考试，则需要最少比考试提前15天用书面通知（ISC）2，并且还要支付100美元的退考费或改时间考试费。如果某一次考试的报名人数超过了考场可以容纳的最大人数，(ISC)2会根据报名费的到达顺序按先到先得的原则安排考试。三、最后J0ker带大家简单走一下CISSP考试在线报名的流程进入(ISC)2的官方站点 打开(ISC)2考试预约页面，地址为：url/cgi/exam_schedule.cgi/url 在出现的页面上可以按照考试的城市、国家或月份进行查询，我们选国家为China，搜索列出当前年份将在中国进行的CISSP考试，然后在随后的两个页面中选择考试的时间（Register）及考试的类型（CISSP） 下一个页面就是（ISC）2的考试收费规则、保密协议和道德准则，请报名者先仔细阅读，同意的话按底下的“Iagree”按钮继续报名表填写： 第一栏的Personal Information和第二栏的Business Information就是报名者的个人信息、联系信息，按规定填写即可。 有2个细节需要注意一下，第一个是姓名填写的地方，Title就填Mr、Miss之类的，Last Name填名，Family Name填姓，报名者不用担心倒过来写在考试时会遇到麻烦，监考官手上的名单的考试者名字顺序是对的。另外一个细节是Business Information的最底一行有选择Home Address或Business Address的选项，这个选项决定（ISC）2按哪个地址和报名者进行E-mail的联系和证书的寄送，请报名者确保填写的地址有效。 接着就是报名者的背景信息，第三项是上面说过的是否有犯罪背景和报名者是否曾经持有CISSP认证，第四项是报名者的工作经验和学历，按实际情况填写即可。不过要注意CBK的填写是多少个月从事什么CBK的工作，总CBK工作的时长应该满足（ISC）2所规定的CISSP考试的工作经验需求。 再下来就是考试地点选择和信用卡付款信息，选好考试时间和地点、试卷语言、支付币种，再根据信用卡信息填妥，检查一遍。确认无误之后，就可以点击页面最下方的”Sumit“提交报名表格和支付考试费。注意不要多次点击提交按钮或重复提交表单，否则就会造成多次支付。 提交成功后，页面会重定向到一个支付回执页面，上面是报名者信息、支付款项和考试协议，最好用网页另存为将它保存下来。报名者还需要将它打印出来，签上自己的名字，考试时需要给监考官看，以证明报名者同意考试协议。 另外，交易成功后，(ISC)2会发送一个Order Confirmation邮件，确认报名者已经交款成功。在第二天(ISC)2还会发送一个Admission Letter，里面就是报名者的准考证，上面有考号、考场位置、考试时间等内容，报名者也需要把它打印出来保存好，考试时同样需要带到考场。至此，CISSP考试的报名即告完成。 在上一篇文章Why CISSP里，J0ker介绍了为什么要获得CISSP认证和CISSP的职业发展情况。那需要通过怎样的流程才能成为一个CISSP？J0ker打算在从本文开始的3个文章中，从参加CISSP认证考试的条件及报名流程、CISSP考试的过程和应注意的问题和CISSP考试通过后的取得认证的手续及CISSP认证的维护这三个方面来向大家介绍。一、参加CISSP认证考试的条件： 根据（ISC）2目前的CISSP考试需求，考试的报名者需要具备信息安全领域涉及1个或以上CBK的4年工作经验，注意这个工作经验指的是信息安全领域的全职工作经验，兼职的不能算，(ISC2)认可的工作经验，指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。如果报名者有本科及以上学历或拥有（ISC）2认可的认证证书，工作经验的要求可以降为3年，但报名者只能通过学历或认证证书减少1年的工作经验要求，并不能同时使用学历和认证证书以减少工作经验要求为2年。 (ISC)2认可的可以减少1年工作经验的证书中，常见的有MCSE、CISA、CISM及一些比较少见的安全认证，有兴趣的读者可以从(ISC)2的官方站点上url/cgi-bin/content.cgi?page=1016/url 获得更详细的列表。如果读者对CISSP认证很有兴趣，但工作经验又达不到（ISC）2的要求，怎么办？ 不要气馁，（ISC）2专门为这种情况的考试者设立了一个称为“Associate of (ISC)2”的头衔，考试者在通过CISSP考试，在实际工作中积累足够年限的工作经验，便可向(ISC)2申请升级为正式的CISSP。 不过要注意的是，(ISC)2在五月份修改了CISSP认证考试对报名者的工作经验要求，从2007年的10月1日开始，原来的4年全职工作经验要求增加到5年，工作中要涉及到的CBK数目的要求则从至少一个增加为至少两个。报名者依然可以通过学历和认证证书来减少1年的工作经验要求，认证证书列表和年限放宽的限制和原来一样。 CISSP认证考试的报名者在填写报名表之前，还需要同意(ISC)2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议，还有最重要的，(ISC)2的CISSP道德准则(Code of Ethic)。另外，报名者在填写报名表时，还需要回答4个关于是否有犯罪记录背景的问题。 相信大家在以上的工作经验要求和个人背景要求都没有问题，CISSP的道德守则就是要求CISSP有诚实的品质，大家按自己的真实情况进行填写即可。二、CISSP认证考试的报名流程： 目前CISSP考试在中国有三个考点，北京的清华大学网络研究中心、上海的交大信息安全学院和广州的软银数码港酒店，大家可以根据自己的方便程度来选择考点。 CISSP考证只能由报名者自己向（ISC）2报名，(ISC)2并没有提供代理报名的方式，这一点请大家注意。目前(ISC)2提供2种CISSP考试的报名方式，在线报名和离线邮件/传真报名。前者适合上网方便、有信用卡的报名者，后者则比较适合没有信用卡的报名者。在线报名的网址是：url/cgi-bin/cissp_register.cgi?examdateid=2877/url 离线报名方式需要报名者到（ISC）2网站上下载报名表，按表上要求填写后邮寄或传真到表格上所写明的地址。亚洲区域的报名者使用以下地址的报名表：url/download/ExamRegistrationFormAsia.pdf/url J0ker在这里要提一下，因为邮寄或传真有可能有延时，所以建议报名者尽量采用在线报名的方式注册CISSP考试。 报名者在选择报名方式的同时也选择了考试费的支付方式，如果是在线报名方式，报名者需要用信用卡支付，请确保信用卡的可用额度足以支付报名费用，使用支持RMB和美元的双币信用卡即可，比如招商银行的信用卡。另外，没有信用卡的报名者还可以请别人代为支付，按在线报名表格的要求填写信用卡信息就可以了，但听有的朋友说请别人用某些银行的信用卡代为支付的时候，会因为（ISC）2提供的支付回执上写的是报名者的名字而非信用卡主人的名字，从而导致支付失败。J0ker报名也遇到的这种情况，支付回执上写的就是J0ker的名字而不是信用卡主人的名字，但支付是成功的，当时用的就是招行的信用卡。对于没有信用卡的报名者来说，还有一种方法可以付款，那就是到银行去购买一张汇票（Draft），填写好相关信息后和打印出来填写好的报名表一块邮寄到(ISC)2香港办事处就可以了，不过这种方法会比较耗时。 CISSP考试的报名费在预定考试15天之前支付为499美元，15天之内为599美元。如果报名者因为各种原因需要取消或改时间考试，则需要最少比考试提前15天用书面通知（ISC）2，并且还要支付100美元的退考费或改时间考试费。如果某一次考试的报名人数超过了考场可以容纳的最大人数，(ISC)2会根据报名费的到达顺序按先到先得的原则安排考试。三、最后J0ker带大家简单走一下CISSP考试在线报名的流程进入(ISC)2的官方站点 打开(ISC)2考试预约页面，地址为：url/cgi/exam_schedule.cgi/url 在出现的页面上可以按照考试的城市、国家或月份进行查询，我们选国家为China，搜索列出当前年份将在中国进行的CISSP考试，然后在随后的两个页面中选择考试的时间（Register）及考试的类型（CISSP） 下一个页面就是（ISC）2的考试收费规则、保密协议和道德准则，请报名者先仔细阅读，同意的话按底下的“Iagree”按钮继续报名表填写： 第一栏的Personal Information和第二栏的Business Information就是报名者的个人信息、联系信息，按规定填写即可。 有2个细节需要注意一下，第一个是姓名填写的地方，Title就填Mr、Miss之类的，Last Name填名，Family Name填姓，报名者不用担心倒过来写在考试时会遇到麻烦，监考官手上的名单的考试者名字顺序是对的。另外一个细节是Business Information的最底一行有选择Home Address或Business Address的选项，这个选项决定（ISC）2按哪个地址和报名者进行E-mail的联系和证书的寄送，请报名者确保填写的地址有效。 接着就是报名者的背景信息，第三项是上面说过的是否有犯罪背景和报名者是否曾经持有CISSP认证，第四项是报名者的工作经验和学历，按实际情况填写即可。不过要注意CBK的填写是多少个月从事什么CBK的工作，总CBK工作的时长应该满足（ISC）2所规定的CISSP考试的工作经验需求。 再下来就是考试地点选择和信用卡付款信息，选好考试时间和地点、试卷语言、支付币种，再根据信用卡信息填妥，检查一遍。确认无误之后，就可以点击页面最下方的”Sumit“提交报名表格和支付考试费。注意不要多次点击提交按钮或重复提交表单，否则就会造成多次支付。 提交成功后，页面会重定向到一个支付回执页面，上面是报名者信息、支付款项和考试协议，最好用网页另存为将它保存下来。报名者还需要将它打印出来，签上自己的名字，考试时需要给监考官看，以证明报名者同意考试协议。 另外，交易成功后，(ISC)2会发送一个Order Confirmation邮件，确认报名者已经交款成功。在第二天(ISC)2还会发送一个Admission Letter，里面就是报名者的准考证，上面有考号、考场位置、考试时间等内容，报名者也需要把它打印出来保存好，考试时同样需要带到考场。至此，CISSP考试的报名即告完成。 在上一篇文章How CISSP2中，J0ker向大家介绍了CISSP考试前的食住行和考试中要注意的问题。那么，成功通过CISSP考试之后还要通过什么手续才能拿到CISSP认证？获得CISSP认证之后如果保持认证？J0ker将在本文中为大家一一解答。收到考试成绩单 参加CISSP考试之后，考生大概要等2个星期才能收到（ISC）2用E-mail发来的考试成绩，通过的考生会收到一封祝贺信，并带有一个PDF附件（Endorsement表格），另外，信中还介绍了如何进行下一步手续的简单介绍。考生如果收到的是一封包含考试成绩和10个CBK评价的E-mail，则说明考生没有通过考试，而考生对10个CBK的掌握程度与评价的分值成反比。没有通过的考生也不要气馁，可以针对(ISC)2考试结果邮件中的CBK评价，有重点的再次进行复习，Good Luck!背景证明Endorsement (ISC)2为了保证CISSP认证的可信性，采用了第三方确认的方式对通过CISSP考试的考生进行专业知识和工作经验进行确认，这个流程称为背景证明，也是常说的Endorsement，（ISC）2会把Endorsement表格随CISSP考试的结果邮件一起发送给通过考试的考生。(ISC)2规定Endorsement的签署人必须持有(ISC)2认可的认证，比如CISSP、CCIE、MCSE、BS7799LA等，或者必须是考生所在单位的高层领导（通常是CTO、CEO，部门经理级别的不可以），这样签署的Endorsement才会被(ISC)2所接受。需要注意的是，从2007年9月开始，(ISC)2修改了对Endorsement签署人的要求，要求签署人必须持有(ISC)2系列认证（CISSP/SSCP），这样签署的Endorsement才会被(ISC)2所接受的。J0ker认为，（ISC）2提高Endorsement的签署人要求，更有利于控制新进CISSP的质量，防止出现现在国内某些认证泛滥和贬值的情况，另外，由(ISC)2认证持有者来做Endorsement的签署人，也能更好的根据CBK来对考生的经验进行二次确认。准备好英文简历 除了Endorsement之外，通过CISSP考试的考生还需要准备一份个人的英文简历，按照常规的简历写法来写就可以。不过要注意一下工作经历的写法，应该在工作经历里面的每一个项目后面说明该项目涉及到哪些CBK，比如，CBK: Access control 这样写就可以了。准备好英文简历后，考生要将英文简历和Endorsement表格交给自己的Endorsement签署人，让签署人填好Endorsement表格并签名。考生可以用电子邮件或传真的方式将材料送达(ISC)2的审核负责人，如果是采用电子邮件方式，可以将材料准备好后扫描成PDF文档，再通过电子邮件发送到A，不过要注意只能由Endorsement的签署人来发送这两份材料，考生自己发是无效的。如果是采用传真方式，只需把材料传真到(ISC)2香港办事处即可。J0ker建议考生尽量选用电子邮件的方式来发送审核材料，这样处理的速度会比较快，也可以防止因为传真引起的审核材料丢失。教育经历审核 (ISC)2每次还会随机抽取10%左右的通过者再做一下教育经历的审核，被挑选到的通过者会在所收到CISSP考试结果邮件中看到教育经历审核的要求和具体步骤。J0ker当时没有被抽中，后来问了一下曾经被要求进行审核的CISSP朋友，所谓的教育经历审核需要提供两份材料，其中一份是声明，声明被审核者确认所提供的所有材料都是真实无误的，另外一份资料是被审核者的学历证书复印件。被审核者准备好材料之后，可以将材料扫描编辑成PDF文档，发送到A，也可以将材料传真到(ISC)2香港办事处。 送出审核材料后，考生大概会在2到3天后收到（ISC）2的资格审核确认邮件，如果审核通过，大概2个星期后，考生就能收到（ISC）2用航空邮件发来的CISSP证书，成为CISSP中的一员。可能大家比较担心证书投递的问题，不用担心的，国内的邮局都有专门的翻译负责国外邮件的分发，只要在CISSP考试报名时填写地址信息正确，一般都能很快收到。如果考生收到了(ISC)2的资格审核确认邮件，却又在2至3个星期内没有收到CISSP证书，还可以向审核确认邮件里提供的E-mail地址发邮件询问，(ISC)2确认后会重新寄送CISSP证书的。随CISSP证书一块寄来的还有一个CISSP名片、一封(ISC)2的欢迎信，信上介绍了CISSP的(ISC)2的会员权利，并附带了(ISC)2网站的初始登陆密码。如何保持CISSP认证 （ISC）2规定，CISSP认证的持有周期只有3年，CISSP只有按时缴纳每年的会员费(AMF)，并在三年内赚取120 CPE（Continuing Professional Education，继续教育点数），才能在三年后更新所持有的CISSP认证。 CISSP的会员费是每年85美元，CISSP在(ISC)2网站上登陆自己账户之后便可查到自己下一次交会员费的时间，如果在该时间60天之内不缴纳会员费，就需要多交20美元的滞纳金。交会员费同样需要CISSP登陆自己账户后才能操作，在会员费信息下面有一个”PAY AMFs NOW“按钮，点击进入后，选择缴费币种、缴费年限、填好信用卡信息，验证无误后提交，便可完成会员费的缴纳过程。 (ISC)2对CISSP有120 CPE的要求是为了督促CISSP不断的提升自己的知识和经验，使自己能和技术的发展保持同步。规定只有CISSP本职工作之外的额外发展活动才能算CPE点数，而根据额外发展活动的不同，CPE的种类又分成A类和B类两种，A类CPE（Direct Information Security Activity）即是与CISSP 10个CBK直接相关的活动，而B类CPE(Professional Skills Activity)则是CISSP自身能力发展的活动，120个CPE中必须包含80个A类CPE和40个B类CPE。 120个CPE提交的最迟时间是3年周期之后的90天之内，如果CISSP在3年内不能赚够120个CPE，将会把取消CISSP资格，而在3年周期的最后6个月中提交的超过120的额外CPE点数，可以带到下一个3年周期。CISSP提交CPE的方法也需要登陆到自己的(ISC)2账户，然后使用”SUMIT CPEs NOW“ 功能进行CPE的提交，提交的CPE申请一般会在2到3天内得到通过并更新到CISSP的账户信息中。另外，（ISC）2还有随机抽查CISSP CPE的制度，如果CISSP被抽到要求审核CPE的话，则需要提供该CPE的有效证明材料，比如有CPE是CISSP自学某本安全方面的书籍，那(ISC)2会要求CISSP提供这本书的发票，因此提交CPE时，CISSP应保存好CPE的相关有效证明材料。CPE提交和CPE点数具体如何计算的资料，都可以在(ISC)2网站上找到，J0ker在此就不再详述。在J0ker的CISSP之路系列的前几篇文章里，J0ker向大家简要介绍了CISSP认证考试的基本情况，但对于想要进一步深入了解CISSP认证体系、或者想要获得一个CISSP认证的朋友来说，内容还是稍微简单了点。所以，从本文开始，J0ker将用大概15篇文章的篇幅，向大家详细的介绍CISSP认证考试的复习流程、各种复习资源和CISSP的10个CBK的内容，本文要介绍的即是CISSP认证考试的复习流程及资源。 J0ker先给大家说说CISSP考试的复习流程，和其他考试一样，CISSP考试的复习也需要循序渐进，不断巩固，由于CISSP考试的广度和深度”One Mile wide, One inch deep”，决定了复习的同时也是一个学习过程。因为要报考CISSP的朋友大多是各自单位的技术骨干和中高层管理，日常事务十分繁忙，所以复习的时间安排和计划对考试的成功显得无比重要。怎么制定复习计划 知己知彼，方可百战不殆。考生应该先了解一下CISSP考试的10个CBK的组成和内容，根据自己的情况将掌握得较好、较差的CBK分别列到表里，并以此为根据安排各CBK复习的优先度。考生还需要根据自己空闲时间的多少，合理的进行分配，比如，如果有半年的准备时间的话，每天保证1到1个半小时复习即可，如果准备的时间较短，可以斟酌增加每天复习的时长。进行复习 制定好复习计划之后，考生便可每天按照计划好的优先度和时间安排进行复习。复习中有2个要点，其一复习贵在坚持，持续的复习可以保持考生对CISSP知识的掌握程度，三天打鱼，两天晒网只不过是在浪费时间；其二复习不可偏颇，考生应该对自己掌握较好的章节也进行全面复习，CISSP考试的广度往往出乎过分自信的考生意料之外。如何巩固复习效果 在CISSP考试的复习过程中做些模拟题是必须的，但因为CISSP考试出题相当灵活，如果考生想靠猜题、押题来通过CISSP考试，恐怕只会换来一个失败的结果。J0ker的建议是，CISSP考试说到底是考察考生的能力和经验，如果考生有条件的话，对掌握不好，平时也没有机会接触的内容自己做个模拟环境来实践一下，比如Telecommunication and Network security、Operational Security等CBK，都可以自己实验一下。另外，考生可以精选1到2个模拟题库，时不时对自己的复习情况进行检查，做错的题目应该记录起来，重新对涉及到的CBK内容进行复习。 CISSP考试复习中可以用到的资源：复习书籍 目前市面上CISSP考试复习的书籍不少，内容虽然大同小异，但写作风格写作水平是大不相同，有的追求语言生动易懂，有的则比较详细枯燥。考生如何选择适合自己的CISSP复习材料？J0ker觉得选择的标准应该由考生自身的语言水平、信息安全从业经验等来决定，在语言水平差不多的情况下，如果考生的从业经验较多，但对概念的把握上仍有欠缺，可以选择CISSP official guide解释概念较为详细的材料；如果考生平时主要从事咨询或管理类的工作，具体技术方面的经验不足，则可以选择CISSP All in One 3rd或者Pre guide 2nd这样的材料，它们生动的描述会使技术方面的难题变得容易理解；还可以准备一本Exam Cram的CISSP小书，出差或旅行时可以随手翻阅。在线资源 在准备CISSP考试时，考生同样有丰富的在线资源可以选择，不过首选的依然是(ISC)2的官方网站，考生可以从上面得到最新的考试通知、考试资源等，(ISC)2官方所提供的Resource Guide也包含了许多对CISSP考试很有用的在线资源、参考资料等。另外，国外的也有不少的在线资源可供选择，比如电子杂志、论坛、免费的在线视频等。模拟题库 模拟题库在CISSP考试的复习中可以起到查漏补缺的作用，也可以帮助考生熟悉CISSP考试的难度和出题方式，不过选择模拟题库也不是题越多越好，关键还是要看模拟题库的题量是否适中，出题的难度和问法是否和真实考试接近。J0ker认为，C上所提供的CISSP在线测试题库（1000题）和Acutaltest提供的CISSP模拟题库都比较好用，C的题较浅但覆盖知识点也较全，Acutaltest的题的问法更接近真实的CISSP考试。J0ker当时主要用的就是Acutaltest的题库，尽管在真实CISSP考试中找不到和Acutaltest题库相同的题目，但Acutaltest题贴近真实考题的特点使J0ker在考试能得以提高不小作答的速度和准确率。Where to ask 如果考生在复习CISSP知识的过程中遇到问题，可以选择论坛等在线途径向CISSP们请教，国外较好的是C的论坛，因为在的论坛上回答一定数量的问题可以得到CPE的奖励，CISSP们通常会比较乐意回答论坛上的问题。中文方面的资源可以选择国内的的论坛，上面同样有许多热心的CISSP会回答考生各方面问题，不仅仅是CISSP知识点，还包括CISSP考试的方方面面。J0ker也欢迎大家来询问CISSP方面的问题，J0ker会尽自己一份微薄之力为大家的CISSP历程提供尽可能多的帮助 : ) 在J0ker的CISSP之路系列的上一篇文章复习流程和资源里，J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源。从本文开始，J0ker将带大家进入CISSP考试的正式复习过程：2007年(ISC)2修改过CISSP考试的各CBK名称和内容，虽然新内容绝大部分和原来的CISSPCBK相同，但还是增加了一些新内容。J0ker手上只有比较老的CISSP Official Guide和CISSPAllin One3rd（J0ker准备考试时也是用这两本资料，对增加新内容的考试还可以应付），所以在本系列文章中依然沿用(ISC)2修改前