CISS之路開篇雜言2

J0ker的CISSP之路開篇雜言2023年9月22日14:21展

燦J0ker調(diào)的CISS偉P之路弟

赴今天離通過隙ISC2的文Endor盲semen拆t審批差不添多有一個月宿，一直沒有腔寫點東西總幕結(jié)一下備考臉和考試之中內(nèi)的點點滴滴鎮(zhèn)，自己想想透，還是應(yīng)該藏寫點東西，鄰也當(dāng)是對自墻己努力過的罩一點紀(jì)念側(cè)：）判貧J0ke貝r覺得自己飯能一次通過曬CISSP軍的考試是相篇當(dāng)幸運的，臉雖然CIS宰SP仍然比泛較偏重技術(shù)前方面的考核籠，但安全管猴理方面的知脾識占了整個黑考試相當(dāng)大競的份額，而允且考試考核炮的范圍之廣臟，可以用令橋人發(fā)指來形干容。。。揭不過還好，綢畢竟過了，劍在ISC2莊的官方站點督上查過，截覆至今年4月何31號，國存內(nèi)的CIS奸SP只有3歲71人，加段上5月和6遲月兩次考試億的通過者，寄估計也在4都00之內(nèi)（蓮每次考試只唯有20多人展，只有一半償多的通過率釀），算起來烤J0ker息還是Top籍500:貞P翁甲現(xiàn)在打算智在IT行業(yè)烏里面有較好腿的發(fā)展，一草兩個認(rèn)證也登是必不可少維的，雖然從諸業(yè)經(jīng)驗同樣故是很寶貴的度，許多認(rèn)證鼻本身的參加忌考試資格就五需要有多少悶多少年的經(jīng)賤驗，這種認(rèn)征證必然會使省持證者的自慎身價值上有免不小的提升喝。但不可否診認(rèn)，因為國淚內(nèi)認(rèn)證機構(gòu)津或者代理機榆構(gòu)的魚龍混額雜，導(dǎo)致不核少原來含金燈量挺高的認(rèn)膀證近年來大搜大貶值，不漂過認(rèn)證的學(xué)煙習(xí)和考試過師程，認(rèn)真學(xué)丘習(xí)的參與者茅肯定能受益益不少。對應(yīng)擺屆的畢業(yè)生豆來說，持有準(zhǔn)初級的技術(shù)皂認(rèn)證也要比衡其他競爭者勸在選擇工作邁上要更有競宇爭力，尤其客是在現(xiàn)在招恩聘單位都要撥求求職者有綁工作經(jīng)驗的袋情況下。匠槍之前和安全會頻道的編輯寫Joe討論哪過出一個安壓全認(rèn)證的專抄題，但J0廈ker一直驅(qū)靜不下心來羅好好總結(jié)。刮。。最近事藍(lán)情比較少，似所以J0k巖er打算用野一個系列的傭文章，給大謝家介紹下C植ISSP相小關(guān)的知識，粗也和大家交忠流下備考過餐程的心得，測順便也通過味CISSP透的課程體系處，給大家介途紹一下信息棟安全的體系蘭和組成。舊

筆寫在前面：重《J0ke盯r的CIS現(xiàn)SP之路》抽將由15到償20篇文章垮組成。其中尋詳細(xì)的介紹領(lǐng)了CISS付P的相關(guān)知尖識、認(rèn)證備信考經(jīng)過和心舒得，另外J弱0ker還獄會從CIS湯SP的角度騾，向大家簡六單介紹信息慣安全的組成臣。希望《J斑0ker的使CISSP凍之路》能給箏大家都帶來戚幫助。最后談你們的支持幸就是我不斷豬努力向前的筐動力：）勝正文屬作為亂《J0ke租r的CIS殲SP之路》叢系列的第一暑篇文章，J叼0ker打腹算先簡要向耗讀者介紹一各下CISS標(biāo)P的背景知畝識，下面我膊們先來看C棄ISSP認(rèn)愉證的頒發(fā)機導(dǎo)構(gòu)（ISC忙）2：犬

秀（ISC）蛋2是信息安椅全領(lǐng)域的頂都級認(rèn)證機構(gòu)爸之一，成立到于1989鉛年，到現(xiàn)在懷已經(jīng)給超過傾120個國腎家的五萬多從名安全專家迅授予了相關(guān)課認(rèn)證。（I沙SC）2目等前提供如下倍6種認(rèn)證：凳

務(wù)SSCP（膏Syste下mSec崗urity漆Cert烤ifica赤tedP楊racti何tione容r）認(rèn)證系壩統(tǒng)安全實踐架者她

紛CAP（C鮮ertif敞icati干onan親dAcc坊redit賠ation暗Prof扯essio盼nal）認(rèn)未證和評估專寫家贏

效CISSP斃(Cer腫tific揭ated問Infor長matio戶nSys識temS愧ecuri見tyPr陸ofess抹ional妄)認(rèn)證信猴息系統(tǒng)安全嫂專家餡

呀CISSP鞋的升級版本麻CISSP刷-ISSA嬌P(Inf隸ormat岡ionS暴ystem靜Secu呼rity嘉Archi燦tectu侵rePr丘ofess跡ional建)信息系仇統(tǒng)安全架構(gòu)熊專家和

雅CISSP檔-ISSM形P（Inf鑰ormat指ionS憂ystem木Secu風(fēng)rity群Manag住ement糧Prof輛essio熄nal）信逮息系統(tǒng)安全脾管理專家孔

巷CISSP借-ISSE侵P（Inf照ormat賭ionS田ystem店Secu蝶rity狂Engin舉eerin歐gPro滔fessi掌onal）胖信息系統(tǒng)安惕全工程專家舒

深（ISC）建2同時也向榴公眾提供信倍息安全方面但的教育和咨茶詢服務(wù)。(關(guān)ISC)2利的官方網(wǎng)站類是[url刺]口://ww贊w.isc堡2.org劫[/url畢]蕩

究棒（ISC）魂2提供的6譽種認(rèn)證中，先知名度最高喇和持有者人犁數(shù)最多的是岡CISSP犬。截至20秒07年4月活底，全球共羽有4859最8名CIS袖SP，其中劫人數(shù)最多的騾是美國，現(xiàn)小有3038時5名，中國叔大陸有37板1名。因為贈CISSP仆的升級版本酒ISSAP序和ISSM韻P要求考試笛的報名者必津須是CIS繳SP，而且注有一定的相勾關(guān)領(lǐng)域工作箏經(jīng)驗要求，越所以在國內(nèi)壁除了香港1頃8名臺灣4徐名持有者之竄外，大陸還注沒有持有者退。至于（I車SC）2較樹為低端的S等SCP和C努AP認(rèn)證，辨由于其定位哪和考核內(nèi)容間的原因，在專國際上的接妻受程度不高喬，所以除了聲美加兩國外陪，其他國家便的持有者都留很少。石

朗捉CIS滾SP認(rèn)證是懼國際上最權(quán)睛威、最受認(rèn)練可的信息安鞭全認(rèn)證，它駱同時也是信獸息安全領(lǐng)域鄰第一個通過偵ISO17扎024:2抵003標(biāo)準(zhǔn)杏的認(rèn)證。C辜ISSP主姥要的認(rèn)證對鎮(zhèn)象為在企業(yè)透處于中高層殃、已經(jīng)或?qū)⒋┏蔀镃IS雁O(Chi永efInf趴ormat范ionSe滴curit渣yOffi土cer)、臣CSO(C狼hiefS倘ecuri盯tyOff近icer)拴或高級安全焦工程師的信探息安全專家款。孤

圖控CISS否P認(rèn)證的考晨核范圍包括仙10個方向家，稱為CB洪K（Com左monBo仰dyofK分nowle藏dge）以球下按首字母統(tǒng)排序：詠

疤1、Acc莖essCo行ntrol念訪問控制霜

古2、App蛾licat餐ionSe腿curit誕y應(yīng)用安全復(fù)（包括開發(fā)故）邪

忽3、Bus誓iness臟Conti確nuity糖andDi幟saste挖rReco謹(jǐn)veryP細(xì)lanni興ng業(yè)務(wù)持篇續(xù)性和災(zāi)難捉恢復(fù)計劃略

展4、Cry端ptogr朗aphy信堂息加密牙

裹5、Inf運ormat哥ionSe命curit定yandR眼iskMa今nagem腦ent信息異安全和風(fēng)險訂管理當(dāng)

來6、Leg林al、Re狂gulat灘ion、C戚ompli靠ancea辣ndInv瓜estig爺ation丸法律、法規(guī)確、調(diào)查土

機7、Ope居ratio渾nsSec慮urity金操作安全畝

胖8、Phy歇sical釋（Envi翠ronme抗nt）Se罰curit港y物理（環(huán)寇境）安全迷

三9、Sec滋urity終Archi醫(yī)tectu抹reand風(fēng)Desig擱n安全架構(gòu)兵和設(shè)計倒

牌10、Te救lecom放munic比ation摩andNe渠twork期Secur君ity通訊清和網(wǎng)絡(luò)安全訪

駝沖CISS莖P認(rèn)證以考蔥察考生對信巾息安全技術(shù)跌掌握的全面蔥程度而著稱代，這10個占CBK里面但幾乎全部包域含了當(dāng)前信萬息安全領(lǐng)域曠的知識。不釋過CISS蕩P的試題難碎度并不是大乞家想象中那盾么難，排除焰語言的原因域之外（CI磁SSP試題桌是全英文的神），幾年安起全從業(yè)經(jīng)驗土再加上考前女抽時間認(rèn)真抖復(fù)習(xí)，一次臣通過考試的撓幾率還是挺終大的。用一孟個最恰當(dāng)?shù)膾伨渥觼硇稳葺咰ISSP節(jié)的考試，就匪是“One寬milew鳥ide，O柳neinc駁hdeep崗“，考試范攀圍之廣和試殺題的難易程薦度可見一斑聽。辱諒但試題宿的簡單并不陡說明CIS名SP的試題踏可以輕松搞關(guān)定，因為，舉即使沒有語丹言障礙，考船前也經(jīng)過充基分的復(fù)習(xí)，劈拿到試卷后包考生會發(fā)現(xiàn)抬CISSP婦的考試將是依一場嚴(yán)峻的牽考驗——窩在塊6架個小時內(nèi)，認(rèn)考生需要完農(nóng)成蠶250拳道選擇題，陡平均每道選刺擇題只有一副分半鐘的時朱間可以思考宿，而且由于泛CISSP佳考試使用標(biāo)仿準(zhǔn)化答卷，和考生要留出麗大概半個小塊時的時間把久答案填到答承卷上，事實些上考生用來齒完成每道題國的時間只有后一分鐘左右恨。礦CISSP饞考試也不是液光靠死記硬弄背復(fù)習(xí)資料極就能解決的巷，大部分題鋒目都是給出錄現(xiàn)實中的一奉個場景，讓聽考生分析后塌再選出正確瞇的答案，有徐些迷惑性比筒較強的題目捧不是冰4灘選叛1紙，而只能憑非感覺在歸2變個相似答案誦中選其一。朋

僵派每次坑CISSP剝考試的通過恩率都不算低滿，但還是有痰大概一半的露考生無法通舟過考試。他清們并不是說劈個人能力有找問題，很大麗程度上還是煩因為CIS昨SP考試考閘察的范圍太達(dá)廣。盡管如煎此，J0k稀er依然相倉信，即使他鼠們沒有通過獨CISSP壓的考試，但乘通過學(xué)習(xí)C哈ISSP的豈課程，他們但對信息安全饑的知識水平漲和整體把握醬能力都會有窯一個較大的浴提升，這將談成為他們安支全從業(yè)經(jīng)歷置中一份不可萌多得的寶貴林經(jīng)驗?？?/p>

緊在上一篇文昏章《Wha筑t'sC墾ISSP》巖里，J0k形er簡單介漲紹了CIS領(lǐng)SP及認(rèn)證及機構(gòu)（IS掏C）2的背棟景。相對于暫知道CIS桿SP或者（抄ISC）2旗這兩個抽象嗚的概念，讀梢者肯定對為墓什么要獲得眼CISSP扇認(rèn)證、獲得讀CISSP魯有什么好處都和CIS尺SP主要從溪事什么工作砌這樣的問題速更感興趣，玩J0ker進將在本文中挽結(jié)合自己的誤經(jīng)歷給讀者躍解答一下。退

抽第一個問題皂，為什么要刺獲得CIS按SP呢？膊

路信候息安全是一論個相對的概角念，在安全詳威脅很低的靈情況下，安聰全專家通常叮是被人們所摸遺忘的對象鏟。但隨著信落息技術(shù)的發(fā)鳴展，當(dāng)年只松有精通系統(tǒng)伸和網(wǎng)絡(luò)底層是，推動技術(shù)都進步的高手橫才能被稱為陽黑客，現(xiàn)在掠隨便一個會鐮用網(wǎng)絡(luò)的再持隨便找些入冊侵工具也自活稱為黑客，掙技術(shù)門檻的饞降低和對技幼術(shù)的追求轉(zhuǎn)朋化為對金錢菊的追逐——壞越來越多的摧入侵事件、霜惡意軟件的由傳播、還有胞時不時出現(xiàn)參在媒體上的擠高智商犯罪逮等就是這些單所謂們“踐后起之秀焦”床的杰作。面半對越來越嚴(yán)飼重的安全威唐脅，不單在抵IT叉技術(shù)領(lǐng)域，拖在各行業(yè)的志企業(yè)組織都瓜越來越意識沈到信息安全局的重要性，蕩但單純依靠今技術(shù)方案來披并不能解決緞如何保護企拆業(yè)信息資產(chǎn)僑的問題，所轎以市場對專幟業(yè)的信息安抓全人才的需對求也在隨之芽大大增加。關(guān)而曠CISSP虎則可以證明立持有者掌握徑國際公認(rèn)的悟信息安全知哈識和標(biāo)準(zhǔn)、珠并擁有豐富槐的安全從業(yè)嗚經(jīng)驗，保持遞CISSP湊認(rèn)證的有效押性還可以顯沃示持有者對詢信息安全的靜發(fā)展和技術(shù)升進步有很高宇的熱情，并柜愿意為信息俊安全貢獻自釀己的一份力府量。此外，喬獲得松CISSP米認(rèn)證還有其像他的好處，叨比如：誕

北1、適應(yīng)兔市場中越來戰(zhàn)越熱的對信德息安全人才御的需求卷

蜂2、增加那對信息安全歡的知識和概溉念的理解討

厭3、為當(dāng)汽前的工作增讀加信息安全識的理念晌

江4、在日悶益激烈的職羨場競爭中增此強自身優(yōu)勢他

孔5、在薪刪水增長和職阻務(wù)提升上更吃有優(yōu)勢再

托J比0ker是費2004年鞋聽朋友（國彈內(nèi)最早的C墾ISSP之?dāng)R一）說起C罵ISSP是怕國際上最權(quán)狀威的信息安姜全認(rèn)證，也胳覺得應(yīng)該要桑提升一下自治己的層次，眉所以就開始芳注意上這個活認(rèn)證，但因幻為種種原因皇，一直到今營年才考。之灑前一直認(rèn)為耽CISSP腥只是單純的肅技術(shù)認(rèn)證，蜂但接觸上之蠟后才發(fā)現(xiàn)，號CISSP犁其實是涵蓋待了信息安全課的各個方面炊，著重突出激了信息安全墨是由技術(shù)和綠管理構(gòu)成的扯整體這一觀苗點，J0k框er在學(xué)習(xí)睬CISSP泥的過程中受召益頗多，不瓶單鞏固了和滅自己工作相農(nóng)關(guān)的Acc艙essC剖ontro敘l、Ope滲ratio悄nSec撐urity苗和Tel導(dǎo)ecomm害unica弱tion坡&Net萌work析Secur嶺ity三壓個CBK的循知識，同時舟好好的補充容了其他七個誠CBK的知賀識，也對C賄ISSP認(rèn)濱證所強調(diào)的行整體安全和而管理高于技弦術(shù)兩個觀點古有了深刻的順體會。學(xué)習(xí)繞CISSP豬，本身就是銜一個對學(xué)習(xí)旬者安全知識馬體系進行完坑善的過程，暮相信其他C針I(yè)SSP或院學(xué)習(xí)過CI票SSP的讀禾者也有相似漸的體會。魄

村OK，我們闊轉(zhuǎn)到下一個煉問題，CI秀SSP都從菜事什么工作刮？換

許先喇說說國外的犬情況，以美斃國為例，剛館拿到CIS桑SP認(rèn)證的挽人，在企業(yè)灶中大多從事斑安全管理員奪、安全產(chǎn)品鉗的開發(fā)或安通全服務(wù)的具抽體執(zhí)行工作蛋，頭銜一般曉就是Sec吉urity另Admi南nistr桐ator、肉Secur坡ityA豆nalys摩t或Sec磚urity瞞Engi茄neer。室隨著工作經(jīng)賠驗的增加，翁CISSP賽會漸漸脫離伍具體的技術(shù)跟工作，轉(zhuǎn)而軟從事更偏重戚管理、處于家企業(yè)中層的仆工作，比如宋安全產(chǎn)品開銷發(fā)團隊或安迎全服務(wù)團隊再的領(lǐng)導(dǎo)、安求全咨詢、安仁全培訓(xùn)講師窗和安全部門拖經(jīng)理等，頭吼銜則變?yōu)镾陣enior造Secu注rity歉Analy艇st/En漂ginee蛛r、Sec竊urity附Team士Lead肆er、Se慌curit坦yCon鬧sulta萬nt、Se銹curit稍yMan抱ager等罷。最后，柄CISSP藍(lán)會進入企業(yè)睡管理高層，疑管理整個企后業(yè)的信息安洽全或IT，嫩頭銜則變?yōu)闊oDirec針toro場fIT/棟Secur其ityd叨epart幅ment、棒Chief旺Secu述rity頃Offic秩er或Ch醉iefI冠nform透ation庸Secu墳rity頌Offic饞er。阻

典國哭內(nèi)的情況稍感有不同，除芬了少部分C碼ISSP做沖的是安全產(chǎn)天品/服務(wù)的肝售前/售后娘和安全工程往師外，有相譽當(dāng)一部分C趙ISSP是傘從事安全咨您詢、培訓(xùn)方艇面的工作，誦更多的是處號于企業(yè)中高甜層管理的位賊置，讀者如昆果有興趣了雄解更詳細(xì)的縣情況的話，狀可以從(I霧SC)2官厭方站點上的設(shè)Membe嚷rDir站ector被y功能中查踏詢。貫

舒最俱后說說大家劑最感興趣的棄CISSP籮薪水問題，沉因為國內(nèi)C旺ISSP薪藍(lán)水的總體情路況J0ke摧r也不是很樸了解，在此秋就借用（I埋SC）2伍2006年葵度的官方報傍告來說一下駛，CISS幣P薪水水平愈的分布成金皆字塔型，職膜務(wù)越高薪水丘越高，人數(shù)篩也越少。還歌是以美國為陣?yán)?00無6年CIS爪SP的平均爺年收入為：緣

絡(luò)ITAd州minis味trato毀r：$4能5000-下$5500群0萌

吳Infor板matio義nSec默urity時Admi腦nistr山ator：狼$7500舅0茫

響Secur菊ityA竟nalys康t/Eng裁ineer飛：$800時00壺

帥Manag谷er，I那nform疤ation榴Secu犯rity敢:$1牌00000統(tǒng)

斃CISO,厚CSO誤：$150垂000及簡以上監(jiān)

迎另外，國內(nèi)爬和國外相同筍的一點是，圍拿到CIS塞SP認(rèn)證之修后通常待遇鈴都會有所提鋸升。辱

換在上一遣篇文章《W胞hyCI嘩SSP》里型，J0ke篇r介紹了為麗什么要獲得殖CISSP還認(rèn)證和CI共SSP的職腰業(yè)發(fā)展情況建。那需要通烤過怎樣的流臂程才能成為桶一個CIS慰SP？J0權(quán)ker打算治在從本文開自始的3個文羅章中，從參篩加CISS出P認(rèn)證考試薯的條件及報套名流程、C鎖ISSP考和試的過程和敬應(yīng)注意的問炕題和CIS擦SP考試通谷過后的取得創(chuàng)認(rèn)證的手續(xù)帥及CISS賠P認(rèn)證的維的護這三個方撒面來向大家氣介紹。儲

倚一、參加C備ISSP認(rèn)露證考試的條耍件：貪

萍沸根據(jù)（IS賞C）2目前護的CISS苦P考試需求棋，考試的報薯名者需要具淘備信息安全攝領(lǐng)域涉及1常個或以上C養(yǎng)BK的4年扭工作經(jīng)驗，稈注意這個工啊作經(jīng)驗指的工是信息安全趣領(lǐng)域的全職京工作經(jīng)驗，價兼職的不能朽算，(IS玻C2)認(rèn)可壺的工作經(jīng)驗府，指報名者舞在信息安全陵領(lǐng)域作為實賢踐者、審計傲師、咨詢、嫁工程師等需榴要有直接的繞信息安全知陽識支持的工糠作經(jīng)歷。如研果報名者有努本科及以上篩學(xué)歷或擁有貸（ISC）莊2認(rèn)可的認(rèn)架證證書，工翅作經(jīng)驗的要密求可以降為雞3年，但報浙名者只能通雄過學(xué)歷或認(rèn)內(nèi)證證書減少戀1年的工作撞經(jīng)驗要求，泛并不能同時霜使用學(xué)歷和甩認(rèn)證證書以魂減少工作經(jīng)冠驗要求為2巡年。(I皆SC)2認(rèn)證可的可以減霧少1年工作邀經(jīng)驗的證書守中，常見的逗有MCSE轉(zhuǎn)、CISA筐、CISM田及一些比較丘少見的安全倍認(rèn)證，有興洽趣的讀者可像以從(IS柜C)2的官削方站點上[獨url]h旺ttps:爽//www搏.isc2缸.org/鴨cgi-b胸in/co錄ntent妙.cgi?姥page=校1016[貿(mào)/url]鄉(xiāng)獲得更詳自細(xì)的列表。漠如果讀者對瓣CISSP洲認(rèn)證很有興乎趣，但工作央經(jīng)驗又達(dá)不垃到（ISC遮）2的要求集，怎么辦？舟不要氣餒盡，（ISC友）2專門為反這種情況的宇考試者設(shè)立爸了一個稱為獵“Asso踢ciate賣of(倦ISC)2蟲”的頭銜，遵考試者在通繭過CISS辭P考試，在仙實際工作中腫積累足夠年病限的工作經(jīng)快驗，便可向敞(ISC)卻2申請升級掠為正式的C劣ISSP?；?/p>

蝕不錫過要注意的再是，(IS貼C)2在五揚月份修改了趟CISSP筋認(rèn)證考試對歐報名者的工汽作經(jīng)驗要求滴，從200由7年的10拾月1日開始新，原來的4爭年全職工作造經(jīng)驗要求增導(dǎo)加到5年，原工作中要涉次及到的CB扯K數(shù)目的要拒求則從至少唐一個增加為唱至少兩個。島報名者依然端可以通過學(xué)眾歷和認(rèn)證證守書來減少1精年的工作經(jīng)藏驗要求，認(rèn)億證證書列表思和年限放寬湖的限制和原絕來一樣。瞇

教C刊ISSP認(rèn)臂證考試的報爺名者在填寫朗報名表之前農(nóng)，還需要同韻意(ISC思)2的認(rèn)證您考試的付款蛙、退款、重豆付款的規(guī)則閉和考試保密不協(xié)議及試卷率的版權(quán)協(xié)議哨，還有最重隨要的，(I測SC)2的壞CISSP警道德準(zhǔn)則(吩Code懷ofEt如hic)。學(xué)另外，報名扒者在填寫報箱名表時，還膚需要回答4推個關(guān)于是否識有犯罪記錄跨背景的問題怕。黑

良相信基大家在以上最的工作經(jīng)驗園要求和個人螞背景要求都訓(xùn)沒有問題，煙CISSP稀的道德守則璃就是要求C稠ISSP有枕誠實的品質(zhì)蛛，大家按自熔己的真實情盡況進行填寫京即可。而

情二、CIS養(yǎng)SP認(rèn)證考宇試的報名流棄程：匯

系目跑前CISS塘P考試在中貼國有三個考獎點，北京的齒清華大學(xué)網(wǎng)舊絡(luò)研究中心悲、上海的交得大信息安全怎學(xué)院和廣州炒的軟銀數(shù)碼底港酒店，大夢家可以根據(jù)辟自己的方便況程度來選擇爽考點。廊

獵C朽ISSP考匹證只能由報墓名者自己向付（ISC）視2報名，(嘩ISC)2凳并沒有提供穴代理報名的牙方式，這一遭點請大家注梯意。目前(雪ISC)2熔提供2種C舉ISSP考喘試的報名方微式，在線報爛名和離線郵濫件/報馳名。前者適掠合上網(wǎng)方便昨、有信用卡拐的報名者，朽后者則比較測適合沒有信赤用卡的報名糞者。在線報償名的網(wǎng)址是衫：純

原[url]陣s圈://ww均w.isc校2.org歲/cgi-似bin/c像issp_酸regis鎖ter.c搜gi?ex墾amdat幕eid=2竿877[/濕url]論

外離娘線報名方式亞需要報名者波到（ISC辰）2網(wǎng)站上畏下載報名表脂，按表上要園求填寫后郵錘寄或到延表格上所寫逼明的地址。莫亞洲區(qū)域的稅報名者使用狀以下地址的譽報名表：論

杠[url]催s擠://ww超w.isc洪2.org策/down飛load/庸ExamR車egist臥ratio劇n爐FormA侄sia.p迫df[/u深rl]燦

初J弊0ker在秘這里要提一秘下，因為郵陷寄或有聞可能有延時帆，所以建議抹報名者盡量密采用在線報踏名的方式注滿冊CISS痛P考試。捕

趣報選名者在選擇轉(zhuǎn)報名方式的抬同時也選擇深了考試費的放支付方式，辱如果是在線嗽報名方式，勻報名者需要截用信用卡支狠付，請確保師信用卡的可砍用額度足以郊支付報名費圾用，使用支品持RMB和跟美元的雙幣庭信用卡即可躍，比如招商擱銀行的信用潔卡。另外，賺沒有信用卡債的報名者還丹可以請別人亦代為支付，箏按在線報名信表格的要求爪填寫信用卡退信息就可以逗了，但聽有連的朋友說請食別人用某些變銀行的信用的卡代為支付離的時候，會歪因為（IS煤C）2提供憐的支付回執(zhí)文上寫的是報笛名者的名字長而非信用卡文主人的名字獨，從而導(dǎo)致后支付失敗。盜J0ker建報名也遇到尺的這種情況輩，支付回執(zhí)雪上寫的就是搖J0ker桌的名字而不跳是信用卡主奮人的名字，偷但支付是成克功的，當(dāng)時桃用的就是招霉行的信用卡園。對于沒有添信用卡的報蛙名者來說，皮還有一種方胳法可以付款蹄，那就是到駱銀行去購買占一張匯票（郵Draft絞），填寫好音相關(guān)信息后湯和打印出來魯填寫好的報枝名表一塊郵顯寄到(IS飼C)2香港勾辦事處就可牲以了，不過緒這種方法會勝比較耗時。鼓

挖CI絹SSP考試凝的報名費在掃預(yù)定考試1晨5天之前支緣付為499甘美元，15立天之內(nèi)為5藥99美元。翁如果報名者津因為各種原抬因需要取消顫或改時間考吼試，則需要聚最少比考試時提前15天構(gòu)用書面通知誠（ISC）津2，并且還染要支付10乞0美元的退谷考費或改時聞間考試費。速如果某一次費考試的報名掏人數(shù)超過了吳考場可以容吳納的最大人快數(shù)，(IS漲C)2會根努據(jù)報名費的乞到達(dá)順序按準(zhǔn)先到先得的割原則安排考攔試。霧

濫三、最后J坊0ker帶讓大家簡單走皆一下CIS負(fù)SP考試在零線報名的流鋸程童

放進入(IS砍C)2的官呢方站點頂

飼打各開(ISC宇)2考試預(yù)戲約頁面，地理址為：[u是rl]ht勁tps:/屬/龍isc2.察org/c匙gi/ex丟am_sc敲hedul紫e.cgi壞[/url兔]懶

薪在擱出現(xiàn)的頁面丑上可以按照勤考試的城市圈、國家或月有份進行查詢嚴(yán)，我們選國石家為Chi潛na，搜索會列出當(dāng)前年腎份將在中國菊進行的CI夸SSP考試齡，然后在隨縣后的兩個頁誼面中選擇考浩試的時間（邁Regis番ter）及疏考試的類型氧（CISS陜P）系

搖下熄一個頁面就隔是（ISC逃）2的考試公收費規(guī)則、酸保密協(xié)議和返道德準(zhǔn)則，竿請報名者先底仔細(xì)閱讀，換同意的話按扎底下的“I例agree商”按鈕繼續(xù)姥

嗚報名表填寫信：繞

標(biāo)第違一欄的Pe枝rsona抹lInf虹ormat去ion和第巷二欄的Bu盲sines或sInf絹ormat得ion就是串報名者的個撈人信息、聯(lián)判系信息，按職規(guī)定填寫即托可。莖

次有2驅(qū)個細(xì)節(jié)需要昆注意一下，跳第一個是姓峰名填寫的地肯方，Tit描le就填M慢r、Mis編s之類的，哈Last奪Name填鳳名，F(xiàn)am指ilyN帝ame填姓咽，報名者不脊用擔(dān)心倒過朵來寫在考試館時會遇到麻撓煩，監(jiān)考官階手上的名單父的考試者名魔字順序是對豆的。另外一斬個細(xì)節(jié)是B酒usine鉤ssIn蛇forma探tion的兄最底一行有漆選擇Hom譯eAdd咸ress或餓Busin難essA孝ddres比s的選項，者這個選項決隙定（ISC羞）2按哪個折地址和報名罷者進行E-慚mail的刪聯(lián)系和證書業(yè)的寄送，請孕報名者確保甚填寫的地址訊有效。斯

愁接易著就是報名口者的背景信蟲息，第三項失是上面說過傅的是否有犯拉罪背景和報真名者是否曾杠經(jīng)持有CI副SSP認(rèn)證孩，第四項是掏報名者的工能作經(jīng)驗和學(xué)蔽歷，按實際惹情況填寫即河可。不過要晨注意CBK迎的填寫是多裕少個月從事超什么CBK跌的工作，總倦CBK工作航的時長應(yīng)該博滿足（IS地C）2所規(guī)凈定的CIS叉SP考試的也工作經(jīng)驗需幫求。散

攜客再下來就是咬考試地點選彈擇和信用卡劇付款信息，好選好考試時菜間和地點、逝試卷語言、卵支付幣種，豆再根據(jù)信用逝卡信息填妥涼，檢查一遍乖。確認(rèn)無誤釘之后，就可魯以點擊頁面慈最下方的”鏟Sumit貿(mào)“提交報名握表格和支付圈考試費。注屈意不要多次綢點擊提交按龜鈕或重復(fù)提街交表單，否貌則就會造成翻多次支付。菠

多蹤提交成功后披，頁面會重油定向到一個喂支付回執(zhí)頁富面，上面是旬報名者信息粱、支付款項觀和考試協(xié)議腎，最好用網(wǎng)閱頁另存為將終它保存下來柄。報名者還慕需要將它打欺印出來，簽夫上自己的名旋字，考試時谷需要給監(jiān)考維官看，以證辯明報名者同縱意考試協(xié)議纖。蝕

景另尤外，交易成竟功后，(I首SC)2會奪發(fā)送一個O掉rder遭Confi促rmati靈on郵件，缸確認(rèn)報名者抖已經(jīng)交款成臟功。在第二黑天(ISC絲)2還會發(fā)臉?biāo)鸵粋€Ad顧missi材onLe叨tter，脂里面就是報櫻名者的準(zhǔn)考測證，上面有厚考號、考場勝位置、考試湊時間等內(nèi)容靜，報名者也夠需要把它打析印出來保存朵好，考試時者同樣需要帶換到考場。至諷此，CIS棵SP考試的痕報名即告完撇成。古

當(dāng)在上一蠟篇文章《W厚hyCI被SSP》里蟻，J0ke瓣r介紹了為金什么要獲得套CISSP浮認(rèn)證和CI告SSP的職腔業(yè)發(fā)展情況狀。那需要通瞇過怎樣的流絡(luò)程才能成為汁一個CIS討SP？J0夜ker打算某在從本文開幟始的3個文印章中，從參者加CISS雜P認(rèn)證考試遙的條件及報資名流程、C項ISSP考梅試的過程和臭應(yīng)注意的問竟題和CIS懸SP考試通扛過后的取得淋認(rèn)證的手續(xù)故及CISS挖P認(rèn)證的維扁護這三個方罰面來向大家歷介紹。憲

魔一、參加C鞠ISSP認(rèn)邁證考試的條惑件：冬

酒扶根據(jù)（IS李C）2目前屬的CISS概P考試需求搜，考試的報兵名者需要具這備信息安全語領(lǐng)域涉及1作個或以上C植BK的4年是工作經(jīng)驗，善注意這個工添作經(jīng)驗指的宰是信息安全向領(lǐng)域的全職判工作經(jīng)驗，苦兼職的不能范算，(IS辮C2)認(rèn)可懇的工作經(jīng)驗井，指報名者感在信息安全額領(lǐng)域作為實犁踐者、審計梢?guī)?、咨詢、帥工程師等需短要有直接的薪信息安全知繡識支持的工胞作經(jīng)歷。如坦果報名者有與本科及以上泄學(xué)歷或擁有杯（ISC）擁2認(rèn)可的認(rèn)你證證書，工袖作經(jīng)驗的要宿求可以降為裹3年，但報僻名者只能通第過學(xué)歷或認(rèn)踏證證書減少丈1年的工作臺經(jīng)驗要求，歲并不能同時考使用學(xué)歷和岡認(rèn)證證書以響減少工作經(jīng)予驗要求為2捷年。(I生SC)2認(rèn)恥可的可以減蹄少1年工作恨經(jīng)驗的證書螺中，常見的洞有MCSE便、CISA狹、CISM債及一些比較虛少見的安全墳認(rèn)證，有興躁趣的讀者可俘以從(IS佛C)2的官滿方站點上[臭url]h橫ttps:董//www當(dāng).isc2芽.org/熟cgi-b誠in/co嘉ntent箱.cgi?違page=山1016[劑/url]耐獲得更詳志細(xì)的列表。駁如果讀者對朝CISSP區(qū)認(rèn)證很有興遵趣，但工作莊經(jīng)驗又達(dá)不摟到（ISC赤）2的要求愛，怎么辦？味不要氣餒奴，（ISC殃）2專門為鉤這種情況的腦考試者設(shè)立眾了一個稱為窗“Asso鍬ciate籮of(德ISC)2卷”的頭銜，晉考試者在通侄過CISS駛P考試，在箏實際工作中獅積累足夠年區(qū)限的工作經(jīng)墓驗，便可向蒙(ISC)最2申請升級晃為正式的C韻ISSP。百

潤不鹿過要注意的督是，(IS曾C)2在五雞月份修改了費CISSP蘿認(rèn)證考試對百報名者的工吵作經(jīng)驗要求恒，從200活7年的10恥月1日開始烈，原來的4宵年全職工作冊經(jīng)驗要求增命加到5年，屆工作中要涉曬及到的CB鏡K數(shù)目的要從求則從至少旗一個增加為畢至少兩個。因報名者依然?？梢酝ㄟ^學(xué)姐歷和認(rèn)證證蝴書來減少1娘年的工作經(jīng)們驗要求，認(rèn)下證證書列表莫和年限放寬但的限制和原懂來一樣。季

慮C遞ISSP認(rèn)擴證考試的報鬧名者在填寫睛報名表之前蘋，還需要同銜意(ISC貫)2的認(rèn)證賀考試的付款巴、退款、重晝付款的規(guī)則達(dá)和考試保密厘協(xié)議及試卷政的版權(quán)協(xié)議危，還有最重忘要的，(I求SC)2的特CISSP動道德準(zhǔn)則(槳Code岡ofEt鬧hic)?；萘硗?，報名辮者在填寫報龍名表時，還這需要回答4慘個關(guān)于是否石有犯罪記錄馬背景的問題濃。匪

樸相信福大家在以上侮的工作經(jīng)驗莊要求和個人銳背景要求都陵沒有問題，無CISSP市的道德守則弱就是要求C叛ISSP有踏誠實的品質(zhì)勉，大家按自珠己的真實情賤況進行填寫性即可。養(yǎng)

魚二、CIS夸SP認(rèn)證考谷試的報名流柄程：淚

介目衰前CISS抗P考試在中戰(zhàn)國有三個考鑄點，北京的奪清華大學(xué)網(wǎng)賴絡(luò)研究中心娛、上海的交泳大信息安全詢學(xué)院和廣州虎的軟銀數(shù)碼校港酒店，大澡家可以根據(jù)紋自己的方便穴程度來選擇黨考點。領(lǐng)

侄C弱ISSP考毯證只能由報到名者自己向菊（ISC）崗2報名，(負(fù)ISC)2委并沒有提供煉代理報名的針方式，這一所點請大家注箏意。目前(任ISC)2弄提供2種C餃ISSP考蒜試的報名方撒式，在線報轟名和離線郵歡件/報傍名。前者適熄合上網(wǎng)方便爬、有信用卡吧的報名者，蛾后者則比較皮適合沒有信岸用卡的報名揭者。在線報烤名的網(wǎng)址是坡：巨

折[url]派s遞://ww哭w.isc以2.org蒼/cgi-峽bin/c從issp_倦regis鉤ter.c譜gi?ex餡amdat螞eid=2重877[/掀url]幻

去離堪線報名方式誼需要報名者亭到（ISC冒）2網(wǎng)站上蹤下載報名表收，按表上要輝求填寫后郵我寄或到河表格上所寫驅(qū)明的地址。慮亞洲區(qū)域的臭報名者使用巾以下地址的獵報名表：蓮

管[url]設(shè)s肉://ww若w.isc發(fā)2.org根/down支load/榜ExamR址egist零ratio累nForm頁Asia.辟pdf[/上url]假

洗J掘0ker在連這里要提一畝下，因為郵斜寄或有惹可能有延時風(fēng)，所以建議幅報名者盡量俯采用在線報胳名的方式注貝冊CISS離P考試。藏

轎報何名者在選擇嫩報名方式的像同時也選擇司了考試費的耍支付方式，南如果是在線炸報名方式，橋報名者需要任用信用卡支灣付，請確保尸信用卡的可長用額度足以穿支付報名費絞用，使用支知持RMB和震美元的雙幣痰信用卡即可撿，比如招商析銀行的信用徒卡。另外，衣沒有信用卡悼的報名者還你可以請別人丘代為支付，列按在線報名羽表格的要求潔填寫信用卡塔信息就可以藥了，但聽有崖的朋友說請寧別人用某些經(jīng)銀行的信用首卡代為支付步的時候，會衡因為（IS苦C）2提供銅的支付回執(zhí)鐮上寫的是報乘名者的名字著而非信用卡響主人的名字夕，從而導(dǎo)致豪支付失敗。掩J0ker產(chǎn)報名也遇到臨的這種情況勤，支付回執(zhí)閉上寫的就是勞J0ker炮的名字而不希是信用卡主吐人的名字，什但支付是成嘩功的，當(dāng)時灣用的就是招束行的信用卡免。對于沒有眠信用卡的報蘭名者來說，東還有一種方設(shè)法可以付款凡，那就是到致銀行去購買白一張匯票（將Draft盡），填寫好胖相關(guān)信息后育和打印出來漁填寫好的報桌名表一塊郵嘩寄到(IS延C)2香港售辦事處就可依以了，不過頭這種方法會之比較耗時。瞎

猛CI諒SSP考試樣的報名費在怎預(yù)定考試1拍5天之前支戲付為499廳美元，15族天之內(nèi)為5東99美元。醫(yī)如果報名者睡因為各種原晝因需要取消腸或改時間考詢試，則需要鑰最少比考試戚提前15天學(xué)用書面通知德（ISC）頸2，并且還鳥要支付10貝0美元的退炊考費或改時蓬間考試費。湖如果某一次閉考試的報名話人數(shù)超過了白考場可以容范納的最大人浪數(shù)，(IS消C)2會根面據(jù)報名費的龍到達(dá)順序按怠先到先得的仁原則安排考錢試。濟

賺三、最后J躍0ker帶傻大家簡單走摧一下CIS譽SP考試在置線報名的流析程定

剝進入(IS宿C)2的官凝方站點鳳

腹打妨開(ISC酸)2考試預(yù)熱約頁面，地芹址為：[u歡rl]ht巾tps:/插/江isc2.鴉org/c慈gi/ex屢am_sc凝hedul樸e.cgi凡[/url艱]犯

益在礦出現(xiàn)的頁面石上可以按照己考試的城市雞、國家或月云份進行查詢匪，我們選國刑家為Chi捏na，搜索搬列出當(dāng)前年貸份將在中國葵進行的CI稀SSP考試律，然后在隨以后的兩個頁鑼面中選擇考斑試的時間（皇Regis陶ter）及講考試的類型呀（CISS菊P）萌

食下沃一個頁面就揀是（ISC瓦）2的考試卷收費規(guī)則、慰保密協(xié)議和林道德準(zhǔn)則，預(yù)請報名者先難仔細(xì)閱讀，其同意的話按搭底下的“I客agree羽”按鈕繼續(xù)螞

鮮報名表填寫爬：男

父第謎一欄的Pe集rsona快lInf敵ormat除ion和第家二欄的Bu只sines幫sInf榴ormat蘿ion就是探報名者的個另人信息、聯(lián)臥系信息，按釀規(guī)定填寫即困可。盈

是有2豈個細(xì)節(jié)需要爬注意一下，花第一個是姓雞名填寫的地呆方，Tit創(chuàng)le就填M活r、Mis仍s之類的，策Last尋Name填吩名，F(xiàn)am牲ilyN櫻ame填姓盯，報名者不耕用擔(dān)心倒過攻來寫在考試出時會遇到麻昂煩，監(jiān)考官椒手上的名單已的考試者名套字順序是對廉的。另外一瑞個細(xì)節(jié)是B鼓usine獎ssIn唉forma努tion的孤最底一行有裝選擇Hom堤eAdd往ress或拳Busin失essA秧ddres燦s的選項，渾這個選項決砌定（ISC爬）2按哪個褲地址和報名爺者進行E-貧mail的紀(jì)聯(lián)系和證書奏的寄送，請盜報名者確保權(quán)填寫的地址糟有效。埋

進接呼著就是報名夸者的背景信觸息，第三項椒是上面說過踏的是否有犯米罪背景和報廟名者是否曾監(jiān)經(jīng)持有CI宰SSP認(rèn)證斤，第四項是蹄報名者的工男作經(jīng)驗和學(xué)谷歷，按實際炭情況填寫即朋可。不過要乖注意CBK秩的填寫是多憲少個月從事簡什么CBK言的工作，總顯CBK工作震的時長應(yīng)該粘滿足（IS苦C）2所規(guī)覆定的CIS施SP考試的村工作經(jīng)驗需嫁求。爹

狡默再下來就是鵝考試地點選禮擇和信用卡泄付款信息，辯選好考試時仁間和地點、緒試卷語言、棍支付幣種，似再根據(jù)信用艱卡信息填妥龜，檢查一遍紗。確認(rèn)無誤蹄之后，就可飛以點擊頁面魔最下方的”侵Sumit極“提交報名把表格和支付辱考試費。注揚意不要多次路點擊提交按挑鈕或重復(fù)提吉交表單，否添則就會造成是多次支付。倉

掏跪提交成功后居，頁面會重莫定向到一個讀支付回執(zhí)頁突面，上面是粒報名者信息無、支付款項繼和考試協(xié)議固，最好用網(wǎng)獄頁另存為將鍛它保存下來香。報名者還蜓需要將它打憐印出來，簽遞上自己的名近字，考試時烈需要給監(jiān)考唉官看，以證持明報名者同遠(yuǎn)意考試協(xié)議頑。尚

搞另鋸?fù)猓灰壮晌９螅?I丘SC)2會廟發(fā)送一個O吐rder班Confi袍rmati蹤on郵件，帖確認(rèn)報名者券已經(jīng)交款成猶功。在第二盯天(ISC漂)2還會發(fā)是送一個Ad數(shù)missi勢onLe密tter，法里面就是報漠名者的準(zhǔn)考噴證，上面有已考號、考場無位置、考試業(yè)時間等內(nèi)容購，報名者也豎需要把它打紋印出來保存高好，考試時巧同樣需要帶烤到考場。至合此，CIS鴨SP考試的虜報名即告完脖成。鏟

鬧在上一篇菜文章《Ho鍋wCIS陰SP2》中目，J0ke罰r向大家介房紹了CIS批SP考試前澡的食住行和處考試中要注蠻意的問題。何那么，成功羞通過CIS趣SP考試之巾后還要通過潤什么手續(xù)才棄能拿到CI曲SSP認(rèn)證胡？獲得CI充SSP認(rèn)證向之后如果保轉(zhuǎn)持認(rèn)證？J工0ker將匆在本文中為鷹大家一一解別答。古

龍收到考試成全績單言

冬歸參加CIS題SP考試之票后，考生大宴概要等2個疊星期才能收駝到（ISC葛）2用E-爺mail發(fā)隙來的考試成魔績，通過的想考生會收到隙一封祝賀信餅，并帶有一的個PDF附齡件（End所orsem義ent表格印），另外，增信中還介紹紋了如何進行宋下一步手續(xù)量的簡單介紹雜?？忌绻沂盏降氖且豁椃獍荚囌劤煽兒?0論個CBK評驟價的E-m趕ail，則舅說明考生沒顆有通過考試偏，而考生對橫10個CB躍K的掌握程扛度與評價的共分值成反比硬。沒有通過屠的考生也不努要氣餒，可說以針對(I頂SC)2考漲試結(jié)果郵件怖中的CBK料評價，有重由點的再次進任行復(fù)習(xí)，G至oodL辟uck!清

須背景證明—棄—Endo嶼rseme堵nt汪

屠針(IS藝C)2為了婚保證CIS嘉SP認(rèn)證的織可信性，采鬼用了第三方披確認(rèn)的方式貍對通過CI招SSP考試谷的考生進行域?qū)I(yè)知識和閉工作經(jīng)驗進茄行確認(rèn)，這略個流程稱為貿(mào)背景證明，搜也是常說的牲Endor售semen揮t，（IS豪C）2會把汪Endor斧semen音t表格隨C連ISSP考蓄試的結(jié)果郵打件一起發(fā)送算給通過考試挖的考生。(斃ISC)2稅規(guī)定End放orsem搏ent的簽?zāi)ナ鹑吮仨毘只赜?ISC申)2認(rèn)可的陵認(rèn)證，比如濁CISSP川、CCIE佛、MCSE英、BS77挎99LA等負(fù)，或者必須粱是考生所在秀單位的高層拌領(lǐng)導(dǎo)（通?？s是CTO、唯CEO，部踢門經(jīng)理級別左的不可以）寧，這樣簽署時的Endo花rseme舒nt才會被疲(ISC)嫌2所接受。枝需要注意的副是，從20快07年9月愿開始，(I桶SC)2修渴改了對En趨dorse鏈ment簽芳署人的要求養(yǎng)，要求簽署小人必須持有揚(ISC)幣2系列認(rèn)證案（CISS桃P/SSC跳P），這樣癢簽署的En播dorse妥ment才起會被(IS論C)2所接第受的。J0搶ker認(rèn)為剃，（ISC敬）2提高E綿ndors婚ement扯的簽署人要育求，更有利升于控制新進蜘CISSP蓬的質(zhì)量，防半止出現(xiàn)現(xiàn)在設(shè)國內(nèi)某些認(rèn)漸證泛濫和貶秀值的情況，油另外，由(清ISC)2壇認(rèn)證持有者晃來做End勺orsem圖ent的簽倒署人，也能映更好的根據(jù)塘CBK來對得考生的經(jīng)驗盼進行二次確犁認(rèn)。賓

闊準(zhǔn)備好英文懂簡歷細(xì)

授泄除了End破orsem困ent之外逢，通過CI賤SSP考試柔的考生還需深要準(zhǔn)備一份鍋個人的英文局簡歷，按照坊常規(guī)的簡歷繼寫法來寫就眠可以。不過耽要注意一下戚工作經(jīng)歷的樸寫法，應(yīng)該桶在工作經(jīng)歷條里面的每一泉個項目后面柱說明該項目浩涉及到哪些淺CBK，比否如，CBK典:Acc飾essc來ontro圓l這樣寫頁就可以了。久準(zhǔn)備好英文鉆簡歷后，考劍生要將英文祖簡歷和En撞dorse副ment表遇格交給自己礙的Endo漏rseme錫nt簽署人酬，讓簽署人躁填好End備orsem像ent表格傾并簽名?？冀稚梢杂秒娧妥余]件或傳銹真的方式將洞材料送達(dá)(轎ISC)2外的審核負(fù)責(zé)勒人，如果是繡采用電子郵傻件方式，可伯以將材料準(zhǔn)辦備好后掃描醬成PDF文雖檔，再通過腸電子郵件發(fā)剃送到Aud朽it@is倆c2.or咱g，不過要蔬注意只能由槳Endor屈semen動t的簽署人膛來發(fā)送這兩峽份材料，考協(xié)生自己發(fā)是危無效的。如遇果是采用傳傍真方式，只偵需把材料傳任真到(IS維C)2香港庭辦事處即可扁。J0ke籌r建議考生胖盡量選用電躲子郵件的方姿式來發(fā)送審章核材料，這叨樣處理的速只度會比較快閱，也可以防車止因為航引起的審核獅材料丟失。盡

笛教育經(jīng)歷審加核命

匆殘(IS還C)2每次棋還會隨機抽示取10%左片右的通過者臂再做一下教徐育經(jīng)歷的審狡核，被挑選顧到的通過者售會在所收到惰CISSP身考試結(jié)果郵妨件中看到教配育經(jīng)歷審核庸的要求和具巷體步驟。J途0ker當(dāng)解時沒有被抽逼中，后來問態(tài)了一下曾經(jīng)查被要求進行得審核的CI渣SSP朋友超，所謂的教吐育經(jīng)歷審核鈴需要提供兩動份材料，其挨中一份是聲皂明，聲明被喘審核者確認(rèn)約所提供的所勢有材料都是鄰真實無誤的處，另外一份扮資料是被審全核者的學(xué)歷稍證書復(fù)印件關(guān)。被審核者破準(zhǔn)備好材料段之后，可以竭將材料掃描束編輯成PD拒F文檔，發(fā)惡送到Aud貧it@is怪c2.or災(zāi)g，也可以燥將材料德到(ISC理)2香港辦本事處。屬

擦青送出審核四材料后，考衫生大概會在束2到3天后竹收到（IS狼C）2的資守格審核確認(rèn)幼郵件，如果粗審核通過，終大概2個星容期后，考生幻就能收到（萍ISC）2殿用航空郵件割發(fā)來的CI附SSP證書慌，成為CI鋤SSP中的肅一員?？赡軇Υ蠹冶容^擔(dān)棗心證書投遞序的問題，不岡用擔(dān)心的，癢國內(nèi)的郵局蘭都有專門的顛翻譯負(fù)責(zé)國投外郵件的分蹲發(fā)，只要在倦CISSP偷考試報名時輪填寫地址信岡息正確，一昌般都能很快笛收到。如果店考生收到了鬼(ISC)鳴2的資格審利核確認(rèn)郵件轎，卻又在2蹈至3個星期甲內(nèi)沒有收到匪CISSP臣證書，還可題以向?qū)徍舜_密認(rèn)郵件里提麥供的E-m罰ail地址鐘發(fā)郵件詢問萬，(ISC賞)2確認(rèn)后胳會重新寄送終CISSP鳴證書的。隨綁CISSP襲證書一塊寄患來的還有一栗個CISS葡P名片、一牲封(ISC慚)2的歡迎傾信，信上介肝紹了CIS培SP的(I督SC)2的腫會員權(quán)利，學(xué)并附帶了(肝ISC)2冰網(wǎng)站的初始狗登陸密碼。觀

嘉如何保持C央ISSP認(rèn)攔證雜

鞋責(zé)（IS雷C）2規(guī)定集，CISS栗P認(rèn)證的持銷有周期只有俊3年，CI糖SSP只有榜按時繳納每偵年的會員費證(AMF)元，并在三年看內(nèi)賺取12案0CPE計（Cont誕inuin雁gPro班fessi換onal卻Educa騙tion，酸繼續(xù)教育點鄉(xiāng)數(shù)），才能漢在三年后更蝕新所持有的坐CISSP夕認(rèn)證。顏

賺香CIS巧SP的會員覽費是每年8狂5美元，C雷ISSP在愁(ISC)薯2網(wǎng)站上登懸陸自己賬戶辰之后便可查副到自己下一理次交會員費壽的時間，如談果在該時間敲60天之內(nèi)合不繳納會員醋費，就需要璃多交20美稼元的滯納金然。交會員費承同樣需要C巖ISSP登堡陸自己賬戶垂后才能操作巧，在會員費秘信息下面有痰一個”PA腹YAMF餃sNOW剖“按鈕，點墨擊進入后，劉選擇繳費幣疾種、繳費年童限、填好信有用卡信息，鼻驗證無誤后銜提交，便可印完成會員費阿的繳納過程典。滋

幟廉走(ISC)樹2對CIS倆SP有12怨0CPE攔的要求是為蛾了督促CI豎SSP不斷淋的提升自己拼的知識和經(jīng)寇驗，使自己污能和技術(shù)的男發(fā)展保持同傳步。規(guī)定只弓有CISS孔P本職工作裕之外的額外趁發(fā)展活動才拋能算CPE損點數(shù)，而根圣據(jù)額外發(fā)展餐活動的不同翅，CPE的持種類又分成抱A類和B類局兩種，A類慮CPE（D雨irect藝Info口rmati語onSe漆curit假yAct咱ivity靠）即是與C倦ISSP砍10個CB耀K直接相關(guān)姨的活動，而早B類CPE店(Prof凈essio此nalS養(yǎng)kills題Acti勻vity)薦則是CIS聞SP自身能軍力發(fā)展的活造動，120付個CPE中單必須包含8毫0個A類C柜PE和40強個B類CP填E。筆

裹夜12置0個CPE皇提交的最遲榆時間是3年剃周期之后的丘90天之內(nèi)給，如果CI洲SSP在3濫年內(nèi)不能賺呼夠120個浮CPE，將貧會把取消C友ISSP資儲格，而在3緒年周期的最造后6個月中目提交的超過樸120的額們外CPE點氧數(shù)，可以帶憶到下一個3雨年周期。C彩ISSP提鬧交CPE的戶方法也需要湯登陸到自己逝的(ISC獄)2賬戶，麗然后使用”欄SUMIT冬CPEs桿NOW“行功能進行映CPE的提績交，提交的碧CPE申請弦一般會在2靠到3天內(nèi)得宿到通過并更目新到CIS憑SP的賬戶辯信息中。另闊外，（IS裂C）2還有免隨機抽查C耐ISSP架CPE的制皂度，如果C犯ISSP被州抽到要求審染核CPE的求話，則需要賭提供該CP賊E的有效證沫明材料，比舌如有CPE硬是CISS穩(wěn)P自學(xué)某本番安全方面的忘書籍，那(合ISC)2精會要求CI彎SSP提供脫這本書的發(fā)嗎票，因此提籮交CPE時騙，CISS校P應(yīng)保存好號CPE的相藍(lán)關(guān)有效證明喇材料。垮

刊CPE提交睛和CPE點泡數(shù)具體如何乖計算的資料萌，都可以在根(ISC)蔬2網(wǎng)站上找東到，J0k奪er在此就埋不再詳述。骨

胡在《J0k餡er的CI據(jù)SSP之路擦》系列的前嫌幾篇文章里務(wù)，J0ke晶r向大家簡積要介紹了C怕ISSP認(rèn)訴證考試的基棍本情況，但籃對于想要進窄一步深入了樸解CISS各P認(rèn)證體系窄、或者想要大獲得一個C鷹ISSP認(rèn)疫證的朋友來爺說，內(nèi)容還地是稍微簡單撞了點。所以隙，從本文開溪始，J0k訪er將用大悟概15篇文骨章的篇幅，橡向大家詳細(xì)輔的介紹CI驕SSP認(rèn)證蓋考試的復(fù)習(xí)恐流程、各種森復(fù)習(xí)資源和墊CISSP嫩的10個C吸BK的內(nèi)容答，本文要介罪紹的即是C艦ISSP認(rèn)糠證考試的復(fù)搭習(xí)流程及資鍛源。怖卸J0ker致先給大家說美說CISS急P考試的復(fù)唐習(xí)流程，和種其他考試一臺樣，CIS找SP考試的運復(fù)習(xí)也需要寇循序漸進，腫不斷鞏固，遷由于CIS禾SP考試的同廣度和深度挺——”O(jiān)n晴eMil鋤ewid棍e,On策einc默hdee年p”照，決定了復(fù)貍習(xí)的同時也豎是一個學(xué)習(xí)斃過程。因為蛙要報考舉CISSP折的朋友大多薄是各自單位抄的技術(shù)骨干崇和中高層管紅理，日常事準(zhǔn)務(wù)十分繁忙串，所以復(fù)習(xí)獎的時間安排郊和計劃對考瓣試的成功顯悟得無比重要賤。算怎么制定復(fù)恢習(xí)計劃溫躲知己知彼玻，方可百戰(zhàn)粒不殆。考生肢應(yīng)該先了解岡一下CIS趟SP考試的號10個CB伐K的組成和分內(nèi)容，根據(jù)主自己的情況婚將掌握得較與好、較差的稻CBK分別焦列到表里，咽并以此為根件據(jù)安排各C刮BK復(fù)習(xí)的影優(yōu)先度?？紤蛏€需要根攝據(jù)自己空閑雀時間的多少站，合理的進敢行分配，比洽如，如果有記半年的準(zhǔn)備飯時間的話，膠每天保證1好到1個半小篩時復(fù)習(xí)即可暗，如果準(zhǔn)備旦的時間較短筑，可以斟酌騎增加每天復(fù)橡習(xí)的時長。介進行復(fù)習(xí)謀坦制定好復(fù)習(xí)最計劃之后，盒考生便可每步天按照計劃掏好的優(yōu)先度幼和時間安排浴進行復(fù)習(xí)。痛復(fù)習(xí)中有2凝個要點，其為一復(fù)習(xí)貴在屠堅持，持續(xù)覆的復(fù)習(xí)可以訓(xùn)保持考生對引CISSP帳知識的掌握動程度，三天站打魚，兩天擁曬網(wǎng)只不過窄是在浪費時演間；其二復(fù)摸習(xí)不可偏頗詠，考生應(yīng)該理對自己掌握饑較好的章節(jié)胃也進行全面彈復(fù)習(xí)，CI踢SSP考試飲的廣度往往刪出乎過分自幟信的考生意激料之外。鍋如何鞏固復(fù)雹習(xí)效果伴濤在CISS壽P考試的復(fù)證習(xí)過程中做亮些模擬題是不必須的，但嘴因為CIS察SP考試出忍題相當(dāng)靈活查，如果考生隔想靠猜題、予押題來通過副CISSP終考試，恐怕留只會換來一否個失敗的結(jié)默果。J0k攝er的建議胖是，CIS兇SP考試說洞到底是考察物考生的能力專和經(jīng)驗，如欠果考生有條閃件的話，對搞掌握不好，世平時也沒有處機會接觸的化內(nèi)容自己做簡個模擬環(huán)境質(zhì)來實踐一下麗，比如Te左lecom惰munic臭ation擠and膚Netwo魄rkse懷curit褲y、Ope葵ratio爬nalS鑰ecuri余ty等CB京K，都可以徒自己實驗一肅下。另外，坊考生可以精盡選1到2個粒模擬題庫，旦時不時對自群己的復(fù)習(xí)情咳況進行檢查予，做錯的題送目應(yīng)該記錄簡起來，重新樂對涉及到的原CBK內(nèi)容抗進行復(fù)習(xí)?；窩ISSP逆考試復(fù)習(xí)中郵可以用到的燥資源：爽復(fù)習(xí)書籍庫目鉆前市面上C雜ISSP考皮試復(fù)習(xí)的書厲籍不少，內(nèi)桑容雖然大同工小異，但寫弓作風(fēng)格寫作輸水平是大不泉相同，有的甜追求語言生芬動易懂，有永的則比較詳融細(xì)枯燥。考慮生如何選擇借適合自己的鉆CISSP蒜復(fù)習(xí)材料？辨J0ker墾覺得選擇的龍標(biāo)準(zhǔn)應(yīng)該由憤考生自身的辦語言水平、刺信息安全從且業(yè)經(jīng)驗等來械決定，在語連言水平差不乎多的情況下池，如果考生走的從業(yè)經(jīng)驗鬼較多，但對覺概念的把握西上仍有欠缺這，可以選擇濟CISSP覺offi葵cial抱guide傭解釋概念較尺為詳細(xì)的材屢料；如果考漢生平時主要偵從事咨詢或謠管理類的工毯作，具體技述術(shù)方面的經(jīng)幣驗不足，則揚可以選擇C立ISSP耽Alli裳nOne兔3rd或凡者Pre畢guide守2nd這答樣的材料，同它們生動的震描述會使技封術(shù)方面的難茅題變得容易廊理解；還可隙以準(zhǔn)備一本動Exam吳Cram的奇CISSP帝小書，出差素或旅行時可肉以隨手翻閱匆。璃在線資源胞恨在準(zhǔn)備CI似SSP考試壘時，考生同榮樣有豐富的企在線資源可熟以選擇，不健過首選的依耕然是(IS白C)2的官雜方網(wǎng)站，考?xì)W生可以從上于面得到最新童的考試通知福、考試資源傘等，(IS耗C)2官方騾所提供的R偽esour袋ceGu淺ide也包且含了許多對訴CISSP車考試很有用津的在線資源棵、參考資料皆等。另外，伸國外的cc到ure.o舅rg也有不千少的在線資忽源可供選擇晚，比如電子遙雜志、論壇削、免費的在川線視頻等。潮模擬題庫蘇模廳擬題庫在C鞋ISSP考扛試的復(fù)習(xí)中虜可以起到查肥漏補缺的作增用，也可以陪幫助考生熟切悉CISS琴P考試的難陶度和出題方上式，不過選室擇模擬題庫旦也不是題越感多越好，關(guān)貫鍵還是要看姑模擬題庫的謝題量是否適雄中，出題的價難度和問法栽是否和真實題考試接近。顏J0ker腫認(rèn)為，Cc池ure.o義rg上所提閑供的CIS框SP在線測熔試題庫（1泳000題）蝦和Acut具altes慢t提供的C堡ISSP模型擬題庫都比捎較好用，C蛋cure.礙org的題糖較淺但覆蓋若知識點也較君全，Acu評talte猜st的題的擁問法更接近榨真實的CI拋SSP考試鳴。J0ke微r當(dāng)時主要畜用的就是A漢cutal著test的籠題庫，盡管諸在真實CI千SSP考試劑中找不到和誰Acuta緊ltest啦題庫相同的霜題目，但A英cutal悠test題圍貼近真實考潮題的特點使騎J0ker另在考試能得翅以提高不小報作答的速度滾和準(zhǔn)確率。駁Where世toa晉sk胸如灰果考生在復(fù)妙習(xí)CISS愚P知識的過拖程中遇到問途題，可以選排擇論壇等在抄線途徑向C絮ISSP們程請教，國外撤較好的是C估cure.沾org的論尖壇，因為在蹄ccure那.org的啞論壇上回答賠一定數(shù)量的返問題可以得處到CPE的賊獎勵，CI雖SSP們通仔常會比較樂繁意回答論壇斜上的問題。寨中文方面的掛資源可以選扒擇國內(nèi)的c宰hinac數(shù)issp.衰com的論位壇，上面同迫樣有許多熱笨心的CIS捷SP會回答瘦考生各方面系問題，不僅昂僅是CIS晚SP知識點抵，還包括C封ISSP考列試的方方面室面。J0k列er也歡迎臉大家來詢問期CISSP明方面的問題潔，J0ke互r會盡自己妻一份微薄之賄力為大家的勸CISSP合歷程提供盡抬可能多的幫辰助:)閣

飄在《J0埋ker的C考ISSP之首路》系列的梯上一篇文章訪《復(fù)習(xí)流程薦和資源》里壇，J0ke仗r給大家介認(rèn)紹了一般的她復(fù)習(xí)流程和蛙對復(fù)習(xí)比較序有幫助的資荷源。從本文辰開始，J0案ker將帶啊大家進入C辱ISSP考濕試的正式復(fù)抄習(xí)過程：2仙007年(莊ISC)2扭修改過CI贏SSP考試襯的各CBK載名稱和內(nèi)容雨，雖然新內(nèi)推容絕大部分惠和原來的C塔ISSPC進BK相同，壽但還是增加糠了一些新內(nèi)丹容。J0k乞er手上只獅有比較老的綠CISSP依Offi詠cial同Guide號和CISS魂P(guān)Alli踏nOne堆3rd（J肆0ker準(zhǔn)俱備考試時也等是用這兩本肺資料，對增按加新內(nèi)容的倉考試還可以猾應(yīng)付），所表以在本系列刑文章中依然驅(qū)沿用(IS恰C)2修改稻前的CBK叮名稱和內(nèi)容籌，J0ke塞r會按照C認(rèn)ISSP畫Offic濁ialG勸uide的介內(nèi)容安排給粘大家介紹一烏下復(fù)習(xí)中的襯心得和要點他，限于J0摩ker自己掏水平和各人崇的情況不同姑可能有所不障足，請大家醋原諒。鉤榆媽CISS吳P復(fù)習(xí)的第僅一章Inf替ormat位ionS巴ecuri必tyMa摔nagem坦ent圖姥安全行業(yè)誰有句行話，逐“三分技術(shù)毫，七分管理解”，意為安蜓全技術(shù)應(yīng)該輛從屬于管理芳。不少安全憂廠商在推銷變自己的產(chǎn)品顛時，常常只伍顧鼓吹說自娃己的產(chǎn)品有銹多好，卻沒壤有向客戶說紛明產(chǎn)品是否稈適用于目標(biāo)意企業(yè)的實際灑環(huán)境。CI勒SSP需要爸明白，安全蝶技術(shù)也好，嫁安全產(chǎn)品也機好，都是必償須從屬于安閣全管理，只即能因管理而井技術(shù)，從安禍全技術(shù)和產(chǎn)穩(wěn)品的使用去罩推導(dǎo)安全管桂理應(yīng)該怎么草做，就是本紛末倒置了。黨因此CIS述SPCB緊K中引入了手Infor濃matio顯nSec育urity襖Mana咱gemen裳t這一概念塑，假如把企哭業(yè)的信息安劫全計劃比作消一艘船，信碗息安全管理腹就如同燈塔歇，指揮著船嗎往哪里走，極怎么走，如哲果舵手（C桑ISSP）剛不按照燈塔上（Info安rmati插onSe始curit角yMan包ageme攪nt）的指煮示走，船就環(huán)很可能觸礁雷沉沒（安全續(xù)項目失敗，蔥或達(dá)不到想柿要的效果）酒圾沃諒信息安全部管理，或者熊說所有的信崇息安全項目仰，都是圍繞姜著實現(xiàn)信息門資產(chǎn)的A-超I-C三角籌而設(shè)計和實晨施的。所謂賢的A-I-疏C三角，也灰即信息資產(chǎn)蕉的三個重要肝屬性：類席Avai骨labil敵ity，可窮用性，保證隱信息資產(chǎn)對紫授權(quán)的用戶賣隨時可用；衛(wèi)炎Inte殲grity渾，完整性，蹈保證信息資貍產(chǎn)不受有意俗或無意的未拍授權(quán)修改；島緣Conf胡ident回ialit多y，保密性建，保證信息般資產(chǎn)不受未錯經(jīng)授權(quán)的訪班問。拴驗A-I-戀C三角也是策貫穿整個C盛ISSPC孟BK內(nèi)容的百宗旨。因此訪，對一個組傅織實體來說杏，信息安全噴管理的內(nèi)容屬就是識別信裳息資產(chǎn)的類羞型價值，并賊通過開發(fā)、蹄記錄和實施的安全策略（董Polic晃ies）、途標(biāo)準(zhǔn)（St艷andar讓ds）、流裕程（Pro竄cedur康es）和指瀉導(dǎo)（Gui剖delin慕es）來確桿保信息資產(chǎn)蜘的A-I-命C屬性。在部這個過程中蘋，需要對信要息資產(chǎn)進行齡識別和分級討、識別可能淚威脅信息資刃產(chǎn)的威脅、靜并對可能存構(gòu)在的漏洞進論行評估，我奶們可以使用困數(shù)據(jù)分級（也Datac書lassi曲ficat蟲ion）、吉安全意識教期育(Sec桿urity漠Awar左eness擺Trai叛ning)乘、風(fēng)險評估玩(Risk棍Asse仁ssmen焰t)和風(fēng)險鈴分析（Ri綢skAn攔alysi妨s）這些工刊具來完成。吩J0ker鵲將在接下去臂的文章里面巧再給大家詳搭細(xì)解釋上面徑提到的各個級名詞?；嘏谡以贑ISS備PCBK終中還可以看仔到一個和信迎息安全管理憶相似的名詞昌——予風(fēng)險管理隨(Risk樹Mana旱gemen爪t)軟，信息安全而管理是從管頁理流程的角界度實現(xiàn)信息么資產(chǎn)的保護己，而風(fēng)險管怎理則是從風(fēng)不險防范的角位度出發(fā)，將申風(fēng)險對信息僻資產(chǎn)的損害霧降到最低。穿風(fēng)險管理是販識別、評估距、控制和最乘小化風(fēng)險或抓未確定因素莊對信息資產(chǎn)婦的損害的過肌程，它包括振整體安全評職估（匪Overa粉llSe通curit認(rèn)yRev捆iews織）、風(fēng)險分并析（向Risk混Analy蹄sis券）、防御方嘆案的選擇和脅評估（織Evalu怕ation諸andS偽elect弄ionof嗽Safe唯guard赤）、效能分葵析（午Cost/讓Benef嗎itAn嫂alysi鋼s覺）、管理決劫策（皇Manag駝ement競Deci再sion旋）、防御方頑案部署（墾Safeg此uard壯Imple殼menta澤tion商）和效能評雖估（禁Effec露tiven贊essR菜eview壞s尋）等步驟。驚此喪駝A-I-C狡三角是貫穿收CISSP反CBK的勇宗旨，這也嫩是我們在C乒ISSP復(fù)慎習(xí)中遇到的朗第一個重點凡，如何把抽測象的A-I語-C概念，云轉(zhuǎn)化成具體領(lǐng)的知識？J賠0ker打拼算用實際應(yīng)穗用中的例子巾說明一下：舅廊Avail零abili捏ty，是確珍保信息資產(chǎn)草對授權(quán)用戶代隨時可用的涉能力，在實告際應(yīng)用中，傳我們可以把詳有可能損害?？捎眯缘耐z脅分成2類姜：注英1、Den牙ialo五fSer川vice拒斷絕服務(wù)乏悠2、會造成召數(shù)據(jù)處理所如需設(shè)備損失伏的自然災(zāi)害瓜（火災(zāi)、水革災(zāi)、地震等累）或人為因俘素（恐怖襲垃擊等）絞洋拒絕服務(wù)通秋常指因為用牢戶或入侵者殲的原因?qū)е禄@某個數(shù)據(jù)服眠務(wù)無法向其原用戶提供服色務(wù)的故障，屠比如計算資堂源的耗盡導(dǎo)扔致的計算機區(qū)鎖死、存儲傘器資源的耗摔盡導(dǎo)致的文膀件讀寫失敗翼、網(wǎng)絡(luò)資源譯耗盡導(dǎo)致的億網(wǎng)站無法訪租問等，但拒沾絕服務(wù)通常狐不會物理損柜壞數(shù)據(jù)服務(wù)棵所依靠的設(shè)獸備，進行釋欄放資源之類添的相關(guān)處理弊便可恢復(fù)正肝常。而自然冠災(zāi)害和人為禾因素則是物蘿理損壞，只戲能重新購置炎部署設(shè)備才使能使數(shù)據(jù)服恢務(wù)恢復(fù)正常憶。我們可以魔制定業(yè)務(wù)持披續(xù)性計劃（宏Conti坊ngenc扎yPla之nning云），并通過交物理（Ph舟ysica習(xí)lCon誦trol，媽物理安全及龜設(shè)備備份）兆、技術(shù)（T晶echni挎calC匆ontro乎l，設(shè)備冗端余、數(shù)據(jù)備布份及訪問控退制）和管理憂(Admi頑nistr希ative艇Cont借rol，各安種策略流程辜等管理措施錘)手段來保更證可用性。煎蘿蜓憂Inte巷grity墳，是確保信趁息資產(chǎn)不被者有意或無意球的未授權(quán)修乖改的能力，直完整性通常糟由訪問控制百（Acce佩ssCo羽ntrol途，各種驗證共、授權(quán)手段千）和安全程友序（Sec冶urity犧Prog倘ram，保艦證信息和處勒理流程按照府設(shè)計好的來陜執(zhí)行，并提驕供數(shù)據(jù)完整鋤性檢查能力辛）這兩者提干供。另外，般完整性控制躍還有以下三惕個原則：嘴除1、Ne扒edto妨know旁/Leas點tPri販vileg狼e，最低權(quán)貌限策略，用圖戶應(yīng)該只獲礎(chǔ)得完成其工伸作的最低限敏度的資源訪敏問和操作權(quán)羨限。遙討2、Se籃parat或iono長fDut稿ies，職抵權(quán)分離，確私保較為重要僑的工作流程繩由多人完成綿，防止出現(xiàn)青欺詐行為。鳴比如常見的嘉財務(wù)人員和垂審計人員分判屬于不同的運部門便是職夢權(quán)分離的例糠子。范野3、Ro堡tatio役nof堆Dutie牲s，職務(wù)輪疊換，定期輪愧換重要職務(wù)蹲上的人員，奸有助于防止旁出現(xiàn)欺詐，項也可以在當(dāng)天前人員缺席新的情況下很灘快使用其他晶人員替代。厲亦如Conf課ident權(quán)ialit拉y，是確保屑信息資產(chǎn)不峰被未授權(quán)用訊戶訪問的能貢力，最近幾促年很受關(guān)注瞎的身份管理卷和隱私問題戰(zhàn)也屬于保密腰性這一范疇蜘。常見的保行密性威脅有凡：泊閣1、Ha榨cker/合Crack站er，系統(tǒng)搜的未授權(quán)訪劇問通常是由印于黑客或駭可客的入侵造彈成的。披霸2、Ma并squer剩aders抬，授權(quán)用戶遵偽裝成另外翁一個授權(quán)用倒戶，或未授城權(quán)用戶偽裝記成授權(quán)用戶歸的非法訪問免行為。辦生3、Un咬autho魯rized葡User怨Acti擁vity，較授權(quán)或未授活權(quán)用戶對不志屬于其授權(quán)美范圍的資源寨的訪問行為信。寫該4、Un推prote攀ctedd趣ownlo蹄adedf謎iles，叛用戶違規(guī)把步保密文件下券載并存儲在醫(yī)沒有保護措槳施的地方。已鵲5、Ne喂twork典s，保密文爪件未經(jīng)加密穗便在網(wǎng)絡(luò)上諒傳輸。凡顧6、Tr都o(jì)jan訓(xùn)Horse說s，木馬病吊毒盜取保密偉文件是近年捏來發(fā)生比較參多的安全事劉故禾素7、So狐cial鞠Engin舍eerin開g，社會工致程欺騙是這揮兩年的一個膠關(guān)注熱點。燦

機在《J嘩0ker的海CISSP蒜之路》系列責(zé)的上一篇文糊章《Inf吳ormat組ionS幣ecuri溪tyMa未nagem分ent(1網(wǎng))》里，J速0ker給捆大家介紹了鏟信息安全管掌理要實現(xiàn)的涂A-I-C土目標(biāo)和原則沈。在接下去兄的文章，J猾0ker將豆帶大家逐步凱深入信息安旗全管理的領(lǐng)徑域，并結(jié)合決實際例子給誠大家解釋該菠CISSP告CBK中甲提到的諸多幻關(guān)鍵名詞。貍本文將介紹墻Infor鴉matio糊nSec雕urity丟Mana庫gemen鐵tCB礙K中的風(fēng)險矛評估（Ri漢skAn秀alysi食sand爸Asse支ssmen駕t）。袍放我們經(jīng)?？删d以從媒體或罩者各種安全蠅資訊上看到鴨一個詞——逃風(fēng)險（喪Risk懸），但具體規(guī)到它的含義響，以及它在碼信息技術(shù)領(lǐng)叮域所代表的惱意思，卻沒醒有太多的人檢可以說的清禍楚。所謂圈“帥風(fēng)險中存在未機遇走“多，人們在選你擇機會的同擾時，也會遇決到許多會造籍成損失的不橋確定因素，蛋這些不確定錯的因素便稱京之為徹”岸風(fēng)險航“峰。例如，買壺車能帶來出比行方便，但序同時也會因豐為燃料費上尖漲、路費、揮維修等等不益確定的因素吵導(dǎo)致意外的雷支出，而且廟盡管幾率很紙小，也依然駁存在發(fā)生交蜻通事故危害惕生命的情況奴。夕闖因此，我們采在選擇一個址機會之前，休常常會或多版或少的考慮值機會之中包擠含著的不確課定因素有哪勢些，更進一桐步的，我們僑還會想辦法搏去了解機會脈之中的不確樓定因素到底帶有多大的可改能發(fā)生，并東準(zhǔn)備一些可鞠以降低發(fā)生吧幾率或損失宣的措施。同勒時為了更有蕉效的準(zhǔn)備和錯評估應(yīng)對不冶確定因素的差防御措施，手我們還必須隊認(rèn)真的了解核不確定因素余的各個組成駛元素，并搞和清楚它們之框間的關(guān)系，少這個不確定營因素的識別存、分析和評鳥估的過程，權(quán)便是本文要鍬介紹的風(fēng)險后分析和評估國（Risk聽Anal四ysis股andA段ssess萌ment）巖。頌進室行過風(fēng)險分酸析和評估之翁后，接下去勵自然就是如通何應(yīng)對風(fēng)險觀——縱在特CISSP出CBK瑞中，風(fēng)險的攜應(yīng)對方式可琴以分成三種掉，訂J0ker映還是用上面豪買車的例子炕來介紹：假若設(shè)買了車之扭后，在路上御發(fā)生追尾事步故的可能性會為每三個月陳一次，如果梁車主采取了佩在交通繁忙邁時刻降低車伴速，選擇另姓外車流量較葡小的道路或冒者在車上添偏置防追尾的陶設(shè)備，這都刑屬于車主接畫受了風(fēng)險存啞在的事實，躺并采取的降慈低風(fēng)險發(fā)生水可能性或損門失的措施，受我們稱之為拾Accep袋tthe擴Risk童或摘Mitig廊atet肢heRi駁sk軍；如果車主貿(mào)認(rèn)為部署防族追尾的設(shè)備鄰成本比追尾簽后修一次車遵還貴的多，遵或者因為其義他原因而無錘視追尾危險養(yǎng)，這樣稱之卵為著Rejec校tthe謊Risk坡，或束Ignor驗ethe越Risk順，風(fēng)險并沒扔有減輕，只圖是被忽略了袖。還有一種括較為常見的邁情況是車主曉通過購買保必險，將追尾廈可能產(chǎn)生的弄各種費用轉(zhuǎn)充移到保險公米司身上，這龜稱之為煙Trans善fert緞heRi閉sk漢，即風(fēng)險轉(zhuǎn)唱移。凈Accep項t債和沿Trans割fer脆是對待風(fēng)險或的常用方式?jīng)_，但在某些秩不太重要的牲場合，也可蘇以選擇用不舞作為的方式妖。授伐風(fēng)險的識別艙、分析和評虹估、消除、蹤轉(zhuǎn)移整個流差程我們稱之向為風(fēng)險管理固（Risk噸Mana分gemen綠t），在進庸行風(fēng)險管理位的流程時，退以下的關(guān)鍵擾的問題需要緞弄清楚：幼合1、Wh羅atco鑒uldh街appen國（Thr悄eate衫vent，鉤風(fēng)險的具體摩形式，威脅餓）川銅2、If陣ith至appen森ed,h及owba顛dcou秩ldit愛be（肢Threa動timp死act，威耍脅的影響程允度）鞏線3、Ho案woft峰enit鞭coul仍dhap控pen（厭Threa竹tfre坡quenc勒y，威脅淺發(fā)生的頻率珍）抖注4、Ho葬wcer博tain香aret粱hean因swers海tot感hefi苦rstt成hree父quest坑ions棋（Reco蹈gniti瓶onof蠶unce溜rtain繼ty，威變脅發(fā)生的幾香率和不確定劈性）勁潮這些問題都找可以從風(fēng)險潔分析和評估萍中獲得答案而，威脅發(fā)生身的不確定性憲是風(fēng)險管理情中的核心問移題，當(dāng)然，涂誰都希望為韻所有可能發(fā)遼生的情況做仗好充分的準(zhǔn)糧備，但現(xiàn)實瓦常常不允許谷我們這樣考然慮，我們只守能夠保證優(yōu)畜先度最高的并部位和風(fēng)險潤最有可能發(fā)無生的部位能撲部署到風(fēng)險貍管理方案。步通過風(fēng)險分頭析和評估，倒我們可以從螞上述4個問畜題中發(fā)現(xiàn)一待些無法忽視踩的風(fēng)險(U查nacce洗ptabl冒eRis飛ks)，我織們需要部署內(nèi)相應(yīng)的方案進來應(yīng)對它們冠，以下的問過題需要了解飄清楚：成崗1、Wh跌atca潔nbe各done（坑Risk蠻Mitig閉ation栗，風(fēng)險消除基方案）貧圾2、Ho放wmuc博hwil乳lit味cost骨（annu超alize盞d，方案每腫年平均成本崖）憶擺3、Is饑itc誦oste薯ffect果ive（滴Cost/煎Benef暫itAn際alysi耕s，費效比肅分析）眼闊上述問題的色解答將最終麗決定一個實拌體對風(fēng)險對見象的最終解罩決方案，并藝執(zhí)行管理層希批準(zhǔn)、財務(wù)蠅提供預(yù)算、屢采購、部署答、維護等流維程進行實施納。對于IT落領(lǐng)域，風(fēng)險葡管理則更進斯一步的細(xì)化充為Info撥rmati縮onRi彈skMa蒙nagem牢ent（I販RM），因蓄為IT技術(shù)兇不斷的發(fā)展灌，IRM也巾是一個沒有訂結(jié)束