CISSP备考白皮书

1、 it management training leader: security &service国际注册信息系统安全专家cissp 备考白皮书盛 科上海信息化培训中心2009年9月目 录一、 有关 cissp 和 cissp 培训 1、 cissp 含金量有多高？薪资水平怎么样？就业形式怎么样？ 2、 cissp 培训是技术类培训还是管理类培训？3、 cissp 培训是网络安全相关的培训，我又不做网络安全，有必要考吗？据说，cissp 很多概念，内容很浅，我工作很多年了/我已经是高层职位了/我自认为技术经验非常丰富/我从来都不相信认证，我考 cissp 有什么用？ 4、 拿到 cissp 资

2、质之后，薪水能有多高？5、 拿到 cissp 资质之后，sitc 上海信息化培训中心会帮我推荐工作吗？ 二、 cissp 考试复习 1、 参加培训之后就一定能通过考试吗？2、 我需要复习多长时间才能通过考试？3、 复习应该看哪本教材？可以在 sitc 购买吗？ 4、 需要做题目吗？ 三、 考试报名 1、如何报名 cissp 考试及付费？2、报名 cissp 考试后没有发票怎么办？3、sitc 上海信息化培训中心可以帮忙报名考试吗？ 4、cissp 认证经验要求如何？ 5、工作时间不够 4/5 年可以报名吗？ 6、怎样的工作经验才算 cissp 报名表格中的“相关工作经验”？四、 cissp 考

3、试 1、考试形式是怎样的？ 2、考试成绩怎样才算通过？ 3、考场在哪里？在 sitc 上海信息化培训中心吗？ 4、考试的时候可以带字典吗？ 5、考场里可以吃东西吗？ 五、 资质取得及维护 1、我考试通过了，接下来该怎么办？ 2、endorsement 该找谁签署？ 3、我的个人简历怎么写？ 4、(isc)会找相关的人核查我的简历吗？ 5、cpe 积分怎样取得和提交？ 六、 上海信息化培训中心培训课程cissp证书样例上海信息化培训中心一、有关 cissp 和 cissp 培训q：cissp 含金量有多高？薪资水平怎么样？就业形式怎么样？ a：cissp全称：certified informat

4、ion systems security professional，国际注册信息系统安全专家，是全球普遍认可的信息安全从业人员最高水平专业资质，由国际信息系统安全认证联盟(isc：international information systems security certification consortium)发起并认证。cbk（common body of knowledge）共通知识体是获得 cissp 认证所必修的十个知识领域，考生须认识各个范畴的原则、实务及运作，完全掌握这十个领域的知识并理解各个领域的相互关系才有可能通过考试。全球有超过 10 万人报考，近 4 万人取得该资质，中

5、国截止 09 年初为 500 人左右。美国 cissp 平均年薪 8.3 万美元，中国目前 cissp 获得者原本便处于 it 行业中薪酬较高的职位，获得资质之后得到升职、加薪或通过跳槽达到更高薪酬水平。cissp 目前在全球范围内都属紧缺人才，持有 cissp 认证移民时可获 10 分加分。在中国，各大公司招聘核心人才时都把具备该资质做为首要条件。有种极端说法：见过 ccie 失业，但你见过 cissp 失业吗？q：cissp 培训是技术类培训还是管理类培训？ a：cissp 内容既涵盖技术，比如通信与网络、访问控制等领域；也涵盖管理，比如安全管理实务等，但是不涵盖任何技术细节或具体厂商产品

6、。信息安全三分技术七分管理，技术与管理之分已日趋模糊，二者密不可分。q：cissp 培训是网络安全相关的培训，我又不做网络安全，有必要考吗？ a：首先，cissp 是信息安全培训，而不是网络安全培训。信息安全包括技术和管理等许多领域，不仅仅针对网络。其次，信息安全已超越 it 范畴，是保障组织业务持续有效运行、同其它业务部门一样产生效益的重要领域，网络安全工作者需要关注，整个 it 部门乃至业务部门也都有义务参与信息安全学习。q：据说，cissp很多概念，内容很浅，我工作很多年了/我已经是高层职位了/我自认为技术经验非常丰富/我从来都不相信认证，我考 cissp 有什么用？ a：cissp 是

7、“专家”课程，包括信息安全共十个领域的知识，其宗旨是建立起全面的知识体系，培养有相关工作经验、知识和才能的人才，并不在于培养某个方面的技术专家。具备 cissp 知识是成为信息安全专家的必要非充分条件。我已经工作很多年了这是一个知识飞速更新的时代，it 行业尤其如此，工作多年的人固然有经验沉淀，但实时充实自己的头脑未偿不是件坏事。更何况，竞争激烈，当更多年轻人持有cissp证书时，您也该考虑给自己的职业前途增添几个有分量的筹码了。我已经是高层职位了为了通向更高层的职位，考一个 cissp 认证吧！我自认为技术经验非常丰富通常大家在自己所专注的领域都具备相当的知识和经验，但cissp包含很多个领

8、域，全面学习其它知识有助于提高自身综合素质，技术型向管理型转变，管理型亦有机会了解技术知识。我从来都不相信认证但是别人相信，你的上司，人事部，猎头公司，他们都相信认证资质是一个人能力的强有力的证明。q：拿到 cissp 资质之后，薪水能有多高？ a：据调查，取得 cissp 资质后，平均薪水可增长 50%，当然就具体的人而言，情况各不相同，关键要看个人能力和运气等因素。q：拿到 cissp 资质之后，sitc上海信息化培训中心会帮我推荐工作吗？ a：sitc 欢迎业内精英加入校友圈子相互交流，相互推荐，sitc 员工也乐于为朋友推荐工作，但是我们不对任何个人或公司就人事方面负任何责任。二、ci

9、ssp 考试复习q、参加培训之后就一定能通过考试吗？ a：cissp 是一个难度相对较大的国际认证考试，全球考试通过率在30%左右，需要通过一段时间的认真学习、复习方能顺利通过，我们的三段式培训可以帮助您更高效率的复习，建立知识体系，充满信心的迎考。但并不是说参加培训就一定能通过考试，关键因素还是您的自身努力。从历史来看，我们的培训学员考试通过率在 70%左右，07 年全年通过率为 13/17，08 年为 11/15。q、我需要复习多长时间才能通过考试？ a:从我们的经验来看，一般拥有 4 年左右工作经验的从业者，2-3个月左右的复习时间配合高质量的培训课程或者自行复习3-6个月左右是比较合适

10、的。具体而言还要看您的基础、努力程度、学习能力。q、复习应该看哪本教材？可以在 sitc 购买吗？ a：目 前 比 较 流 行 和 实 用 的 参 考 书 目 如 ： cissp认 证 考 试 指 南 ， cissp certification all-in-one exam guide ，cissp exam cram book ，handbook of information security management ， the cissp prep guide。sitc 为培训学员提供这些资料和大量练习题库，但不单独出售。q、需要做题目吗？ a：练习和模拟考试对于备考的意义是不言自明的。q

11、、sitc 上海信息化培训中心有没有题库？ a：我们为培训学员提供大量题库。三、考试报名q、如何报名 cissp 考试及付费？ a：2009 年 cissp 中国大陆的考试日期目前已经在 isc2 官方网站上公布，具体：北京：3 月 14 日、 5 月 23 日、 9 月 12 日、 12 月 12 日 上海：3 月 28 日、 6 月 27 日、 11 月 7 日 报名时间：9：00am-3:00pm (报到和开考时间以注册后所收到的 admission document 为准）考试地点：上海交通大学信息安全学院（张江）北京清华大学网络中心考试费用：标准注册费： usd 599提前优惠注册费

12、：usd 549（必须于考试日 16 天前注册并付款）网上注册：登陆网上报名付费或者下载报名表邮寄给表格中亚太分会地址。q、报名 cissp 考试后没有发票怎么办？ a：(isc)不能提供国内的标准发票，可以提供 invoice 。需要走公司报销流程的，sitc 可以为学员提供代报名服务，并开具培训发票，注册优惠期收取rmb4200元费用，非优惠期收取rmb4500元费用。q、sitc 上海信息化培训中心可以帮忙报名考试吗？ a：sitc 可以协助学员cissp考试报名，报名费用自理。q、cissp 认证经验要求如何？ a：自 2007 年 10 月 1 日起，ciss

13、p 认证要求：于10个 cissp cbk（信息安全通讯体系）范围中，拥有最少 2 个范围的专业经验 5 年；或者4年的有关专业经验及拥有学士资格或(isc) 认可的证书。q、工作时间不够 4/5 年可以报名吗？ a：可以，您通过考试即可成为 associate of cissp（准会员），当您满足工作时间要求即可成为 cissp。q、怎样的工作经验才算 cissp 报名表格中的“相关工作经验”？ a：信息安全领域与 cissp10 个 cbk 相关的工作经验均可，具体由(isc) 确定。四、cissp 考试q、考试形式是怎样的？ a：考生必须在六个小时内完成 250 道英文单项选择题。q、考

14、试成绩怎样才算通过？ a：按加权形式计分，答对 70%算通过。q、考场在哪里？在 sitc 上海信息化培训中心吗？ a：上海信息化培训中心作为上海 cissp 考场举办过 12 次考试，但目前随着考试人数增加，考场一般为院校。上海的考场一般在上海交通大学信息安全工程学院张江校区。北京的考场一般在清华大学网络中心。q、考试的时候可以带字典吗？ a：任何非专业性纸质字典均可。但建议您首先通过词汇关，cissp 考试时间比较紧张，花费太多时间查字典是不现实的。q、考场里可以吃东西吗？ a：cissp 考试时间较长，是允许自带食品如饮料、巧克力等的。五、资质取得及维护q、我考试通过了，接下来该怎么办？

15、 a：通过考试的考生将收到来自(isc)邮件，考生需按要求填写电邮附件中的“背书表格”，并由一名符合条件的第三者签注赞同他/她的申请。从 07 年 10 月 1 日开始，可以替 cissp 考生签注的人士包括另一位 cissp、或具有任何一类执照、认证或委任的专业人士。考生将“背书表格” 连同自己的简历一同邮寄或回传给(isc)，经审核后将会颁发正式的 cissp 证书。q、endorsement 该找谁签署？ a：另一位 cissp、或具有 sscp、cap 等其他执照、认证或委任的专业人士，sitc将可以为通过考试的培训学员推荐老师、校友为其签署。q、我的个人简历怎么写？ a：真实反映您的

16、个人资历符合(isc)u20250x员及成为cissp 的要求即可。q、(isc)会找相关的人核查我的简历吗？ a：随机抽查核实,比例约为 5%。q、cpe 积分怎样取得和提交？ a：培训：cissp 参加培训、讲座等，每小时可获得1个cpe；安全会议：cissp 参加安全会议，每小时可获得1个cpe；大学课程：cissp 参加大学课程学习并通过，每学期可以获得11.5个cpe；出版安全论文或书籍：cissp 可以通过出版安全书籍获得 40个cpe，或出版安全文章获得10个cpe，以此种方式3年内最多获得40个cpe；提供安全培训：cissp进行安全讲座、授课每小时可以获得4个cpe，以此种方

17、式每年内最多获得80个cpe；服务于安全专业组织的管理层：cissp 每年可以通过服务获得10个cpe，但以此种方式最多可以获得20个cpe；自学：cissp可以通过自学取得cpe，以此种方式3年内最多获得40个cpe；阅读安全书籍：cissp可以通过阅读信息安全书籍的方式获得10个cpe，但每年只有一本书被承认；志愿工作：cissp可以通过(isc)志愿者的方式获取cpe，分数和具体的活动由(isc) 确定；其他：若 cissp 希望以其他的方式获得cpe，但必须提交给(isc) 认证委员会批准。以会员身份登陆，提交到(isc) 即可。六、上海信息化培训中心培训课程上海信息化培训中心曾作为考

18、场举办过12次cissp 考试，紧贴行业内最权威的国际认证考试指南cbk，组织复旦、交大信息安全专业讲师和业内资深人士共同开发，根据行业发展随时更新的讲义，结合丰富的国际最佳实践案例授课，帮助您梳理日常工作知识经验，增长信息安全管理技能，建立信息安全领域全面的知识体系，加入国内cissp小组，融入精英团体，迈出成为领域精英的重要一步。同时通过培训做好参加cissp国际认证考试的第一步复习，今后可随时参加考试通过认证。 特别针对 cissp 备考者设计的三段式教学，完美切合最佳的备考准备时间表，复习初期为期5天的课堂教学，详细讲解 10个cbk 重点内容，帮您建立体系化的知识结构，全面掌握信息安

19、全领域核心知识。同时，提供给您最流行实用的资料和题库。接下来新问题和疑惑开始出现，在线辅导在恰当好处的时间开始，讲师答疑让您茅塞顿开。考前1个星期，返回教室进行考前冲刺，核心知识的再次梳理确保您信心百倍走入考场。而高素质学员间的交流也定可让您受益匪浅。 上海信息化培训中心 声明：本q&a经课程顾问整理，主观部分仅代表个人观点，客观部分仅供参考，考生请以 官方消息为准！2009年9月 国际注册信息系统安全专家课程cissp（certified information system security professional，国际注册信息安全专家）是国际公认的最权威的信息

20、安全专业人员资质，由国际信息系统安全认证协会 (isc)2组织和管理，符合资格人员通过考试后将被授予cissp认证证书，以表明其具备了符合国际标准要求的信息安全知识和经验能力。cissp内容涵盖通信和网安全、风险管理、合规和调查、业务连续性和灾难恢复、运作安全、访问控制、应用安全、物理环境安全、安全结构与设计、密码学等十大领域，综合信息安全管理和技术，帮您建立全面系统的信息安全知识体系，更好地管理并控制it运营的风险，为业务部门的正常运作保驾护航。由于各国法律、行业要求和组织自身发展的需要，近几年来，越来越多的组织内部设立了具有决策和管理权限的信息安全总监，并成立相应的信息安全部门，具有cis

21、sp认证的专业人士是这些部门招聘信息安全高级人才时的首选。特别是在过去十年期间，信息安全入侵攻击已经由黑客个人行为演变为有组织犯罪集团支持的一项核心业务。信息安全入侵攻击无论从质上和量上都是快速增长，各级政府和企业组织为了应对这一严峻形势，无不加大对信息安全部门的投入，信息安全的职位一直是稳定增加，越来越多的公司要求自己和合作伙伴的员工拥有cissp这使得本来就在全球范围内都属稀缺的cissp人才更加紧缺。目前，中国大陆取得该资质的人不到500人，分布在各大it相关企业及电信、金融、大型制造业、服务业等行业中高层。sitc上海信息化培训中心简介上海信息化培训中心（简称sitc）是由上海发展改革

22、委和上海信息委核准组建的信息化促进机构，自1998年开始一直致力于it管理国际最佳实践和标准在国内的推广,专业从事it管理高端培训及国际认证考试工作，“推进国际it管理最佳实践，服务全国信息化建设，创建世界级it经理智慧空间”。上海信息化培训中心与多家国际权威机构开展了双向紧密合作，在信息安全管理领域是国际信息系统安全认证联盟（isc2）、国际信息系统审计和控制协会（isaca）以及国际四大认证机构之一挪威船级社（dnv）和德国莱茵（tuv）集团的合作伙伴。sitc，全球五百强公司信赖和选择的培训合作伙伴！ 课程价值企业部门： it相关企业：作为信息技术产品和服务提供商，it企业的cissp持

23、有者以卓越的能力向客户证明自己拥有完善的信息安全知识体系和丰富的行业经验，cissp的工作能力值得信赖。 跨国公司及大型国企：作为信息系统最集中的用户，跨国公司的cissp一方面参与信息化建设的过程，另一方面保护公司信息资产的安全，并做好业务连续性规划与灾难恢复计划。 电信、金融行业：高度依赖于信息技术的行业，业务的可持续运营及数据资产的安全性尤为关键。cissp综合信息安全管理、技术各个领域，为保护电信、金融行业的主要业务提供一道管理和技术的双重屏障。 咨询与管理顾问公司：信息技术的咨询业务成为咨询行业一股迅速崛起的力量。客户的要求不再是简单的设备配置、体系架构，而是考虑到如何控制并管理it

24、运营的风险，信息安全的控制尤为重要。具有cissp资质的顾问是值得客户信赖的顾问。个人收益： 信息安全领域从业者：紧贴行业内最权威的国际认证考试指南cbk，组织复旦、交大信息安全专业讲师和业内资深人士共同开发，根据行业发展随时更新的讲义，结合丰富的国际最佳实践案例授课，帮助您梳理日常工作知识经验，增长信息安全管理技能，建立信息安全领域全面的知识体系，加入国内cissp小组，融入精英团体，迈出成为领域精英的重要一步。同时通过培训做好参加cissp国际认证考试的第一步复习，今后可随时参加考试通过认证。 cissp备考者：特别针对cissp备考者设计的三段式教学，完美切合最佳的备考准备时间表，复习初

25、期为期5天的课堂教学，详细讲解10个cbk重点内容，帮助您建立体系化的知识结构，全面掌握信息安全领域核心知识。同时，提供给您最流行实用的资料和题库。接下来新问题和疑惑开始出现，在线辅导在恰当好处的时间开始，讲师答疑让您茅塞顿开。考前1个星期，返回教室进行考前冲刺，核心知识的再次梳理确保您信心百倍走入考场。而高素质学员间的交流也定可让您受益匪浅。课程回顾讲师风采 认真思考 积极交流 庆功蛋糕 合影留念课程安排第一阶段： 课堂教学 5天第二阶段： 在线辅导 2周 第三阶段： 考前冲刺 半天 选择sitc全面体系三大系列（it服务管理、信息安全管理、it管理体系标准）和三个层面（经理课程、实施课程、

26、基础课程），完善成熟的培训体系长期经验10年的专业高端培训经验，同行之最高通过率培训后70%以上的cissp考试通过率强大师资经验丰富拥有多项国际认证之专家一流环境上海华山路上寸土寸金之地英式花园洋房校友服务行业精英校友交际圈，精心策划组织的论坛研讨政府背景政府序列信息化促进机构，提供最佳服务，业内享有盛誉sitc助您提升it管理能力，获得权威认证，实现自我增值!现在就开始cissp学习联系人： 盛 科 联系电话6028email： shengk 传 真地址：上海市华山路1076号上海信息化培训中心 200050 （培训费用：8800元）

27、网站地址更多信息请参考：其它事项：小班授课，限额12人，为保障培训效果，建议参加培训的学员做适当预习准备 上海信息化培训中心2009年9月报 名 回 执 表 course no: sc03我要参加cissp国际注册信息系统安全专家考前辅导课程，请帮我预留席位姓名部门/职位e-mail移动电话素食是否是否公司名称tel地址邮编fax注：报名顺序以完成缴款顺序为准，可以提供企业内训！更多课程见： 国际认证it治理培训课程 cobit（control objectives for information and related technology）是由美国信息系统审计与控制学会isaca（info

28、rmation systems audit and control association）在1996年公布的一个it治理控制框架，目前已更新至4.1版，内容涵盖了it治理、cobit框架及资源、管理指南、审计指南、valure it，整个体系综合了itil、coso和bs7799等国际标准，是目前国际上公认的、最全面、最权威的it治理、审计、安全与控制框架。尤其是美国sox法案萨班斯奥克斯利法案对上市公司内部控制监管的严格要求，也增加了它的使用范围。 本框架从po（planning & organization）、ai（acquisition & implementation）、ds（del

29、ivery and support）、和me（monitor and evaluate）四个领域、分34个it流程，给210余个控制目标提供了最佳的施行指导。上海信息化培训中心与国际知名认证机构合作，邀请资深it治理专家前来主讲本课程，帮助感兴趣的组织熟悉国际标准it治理控制，构建一个符合国际标准的体系，建设国际级的it服务组织。课程目标：本课程全面介绍cobit控制框架，结合实际案例，并在第三天下午参加cobit foundation考试以获取国际权威isaca颁发的cobit证书。课程内容主要包括： it治理原则，it治理如何帮助处理it管理的观点 cobit如何与其它标准和最佳实践结合使用 cobit框架及其所有组成部分（控制目标，控制实践，管理指南，审计指南等） 如何将cobit应用于实际环境以及使用cobit可获得的好处参加对象：本课程适用于ceo、cio、董事会成员、it经理、it主管、it审计师、it质量专家、开发人员、it服务提供商的流程经理等人员。通过本次培训，可以使学员深入