《CISSP认证对企业的收益》

问题描述

(ISC)2对CISSP的认证项目符合ANSI/ISO/IEC17024标准的严格要求、可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力,提升其专业可信度,并为企业和组织提供寻找专业人员的凭证依据,目前已经得到了全世界广泛的认可;截至2010年6月,全球有100多个国家的67,000多人获得了CISSP证书。在亚洲,香港是仅次于北美的拥有CISSP最多的地区,有超过1200人。中国大陆2002年5月在深圳首次举办CISSP考试,到2010年6月有500多位证书获得者,年递增速度在20%左右。同时(ISC)2每年均会根据最新的安全发展趋势针对CISSP知识体系大纲进行修正、以便CISSP持证人员能适应企业信息安全管理岗位的需要;TheCISSPwasthefirstcredentialinthefieldofinformationsecuritytomeetthestringentrequirementsofANSI/ISO/IECStandard17024.[17],anditsCBKisrefreshedannuallytostaycurrentwiththelatestdevelopmentsCurrently,theCISSPcertificationcoversthefollowingtendomains:•AccessControl•TelecommunicationsandNetworkSecurity•InformationSecurityGovernanceandRiskManagement•SoftwareDevelopmentSecurity•Cryptography•SecurityArchitectureandDesign•SecurityOperations•BusinessContinuityandDisasterRecoveryPlanning•Legal,Regulations,InvestigationsandCompliance•Physical(Environmental)Security信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象。但随着目前国内外信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称为黑客,现在随便一个会用网络的再随便找些入侵工具也自称为黑客.Informationsecurityisarelativeconcept.Wheninalow-threatenvironment,securityspecialistisalwaysignored.Weoncecalledthemhackerthosewhowereaccomplishedininformationsystemandnetwork.Theycouldalwaysdrivetechnologyprogress.Butwiththedevelopmentofinformationtechnology,moreandmoreguysclaimtobeahacker,theyknowbasicknowledgeofnetworkandhowtousesomeintrusiontools.技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。Nowadays,people’spursuithasgraduallychangedfromtechnologytomoney.Therearemoreandmorehackereventsormalicioussoftware.如近年来CSDN、天涯等网站数据库被黑客攻击、部分企业核心技术泄密、企业内部敏感信息泄露。面对越来越严重的安全威胁,不单在IT行业,在各行业的企业组织都越来越意识到信息安全的重要性。Forexample,thedata-baseofCSDNortianya-BBSwashackedrecently.Thecoretechnologyandconfidentialinternalinformationweredivulged.Peopleareawarethattheimportanceofinformationsecuritywhenfacingmoreandmoreseriousthreat.但单纯依靠技术方案和产品并不能解决如何保护企业信息资产的问题,信息安全是一个综合的标准;国内近几年大部分企业成功实施了ISO27001信息安全管理体系、但是安全事件仍是没有得到有效的控制、安全管理体系并未落地。Butpeoplestillcan’tprotectinformationassetswellifonlyrelyontechnologyprojectandproduct.Informationsecurityisaunitarystandards.Nowadays,mostcorporationshavesetupISO27001informationsecuritysystemsuccessfully.Butinformationsecurityincidentstillcan’tbecontrolledeffectively.Securitymanagementsystemcan’tbecarryout.综上所述,结合SPISEC十年以上信息安全咨询培训经验我们认为、由一个专业信息安全人员组成的团队、可以给企业带来以下收益:Insummary,SPISECcombinesit’sten-yeartrainingandconsultingexperienceandconclude:ateamwhichconsistingofinformationsecurityprofessionalcanbringfollowingbenefits:一、信息安全岗位人员是否达标1.ToMeetthedemandofsecurityposition信息安全岗位在企业中至关重要,信息安全以人为本、如何评估岗位人员的知识水平和专业性、信息安全岗位工作人员的职责、工作范围如何定义?信息安全岗位工作人员是否满足企业需要、知识水平是否能够达到?目前各企业信息安全未来发展方向遇到瓶颈、没有一支专业的信息安全管理团队,面对信息安全突发事件、建立健全企业信息安全管理机制、企业如何解决?Securitypositionisprettyimportanttoacompany.Informationsecurityshouldbepeople-oriented.Howtoevaluatethelevelofaprofessional?Howtodefinetheirresponsibilityandjob?Dotheymeetthedemandofthecompany?Dotheyhaveenoughspecialistknowledge?Manyenterprisesmeetthebottleneckoftheirinformationsecuritydevelopmentdirectioninthefuture.Howshouldacompanyrespondtoinformationsecurityincidentsifthereisnoinformationsecuritymanagementgroup.根据历年分析,目前各企业信息安全人员大部分由网络、运维、技术、网管、或其他岗位进行抽调、并没有针对信息安全知识体系进行培训或是评估.Historicalanalysisshows:ISstaffofmostenterpriseareconsistofnetworkadmin,operator,technicianorotherposition.Theirspecializedknowledgeofinformationsecurityhasn’tbeentrainedorevaluated.信息安全涉及范围不仅广、而且专.只有系统专业的信息安全人员,才能保障企业信息安全工作。Informationsecurityinvolvestherangenotonlywide,butalsospecifically.OnlyifthosewhohavespecialISknowledgecanensuretheoperationofITworkofaenterprise.如:中国移动在2006-2008年之间,通过全国移动内部大比武,以CISSP认证知识体系为内容,通过对移动人员进行评估和考核、选择优势人才组织成一支信息安全专业队伍。目前在全国各省移动,均有专业负责信息安全岗位人员,以通过专业水平有效保障企业信息安全建设和管理工作。During2006-2008,ChinaMobilechosesomepeoplethroughinternaltechnologycompetitionwhichbasedonCISSPknowledgedomain.Andtheycomposedaprofessionalinformationsecurityteam.CurrentlytheyhavebeenCIOofaprovincebranch.Theyareengagedintheconstructionandmanagementofenterpriseinformationsecuritywork.二、CISSP认证通过,它能在实际领域中的作用。CISSP不仅仅是单纯的技术认证,它涵盖了信息安全的各个方面。着重突出信息安全是技术和管理结合。通过学习其,能巩固目前所掌握的技术还能学习其他方面知识。对整个信息安全知识体系得到完善。三、CISSP与ISO270013,CISSPandISO27001随着信息安全事件高发、信息安全重要性已得到各个企业的高度认知、目前企业纷纷根据ISO27001标准体系,在企业内部建立或预建立一套信息安全管理体系,但是大部分企业均是选择以咨询公司为主,借助外部力量帮助企业完善体系。Theimportanceofinformationsecurityhasbeenacknowledgedbymostcorporationswithmoreandmoresecurityincidentoccurrence.Sonowadays,companiessetuporpreparetosetupaninformationsystemaccordingtoISO27001standards,butmostofthesecompanieschoseconsultingcompanytosetuptheinformationsecuritysystemandaskpartner’sresourcetocompletethesystem.近年来国内外咨询水平层次不齐、信息安全管理体系不仅涉及安全、IT,ISO27001涉及到11个控制域133个控制点,通过近几年的调查,企业在信息安全管理体系建立后,如果企业内部人员知识水平不能有效提高,在咨询公司离开后、体系的运行、和后续过程中并不能得到有效解决。Recently,theoverseasanddomesticconsultingcompanies’leveldiffersalot.Informationsecuritymanagementsystemnotonlyincludessecurity,IT,ISO27001,butincludes11controldomainsand133controlpoints.Fromrecentseveralyears’investigation,afterthesetupofinformationsecuritymanagementsystem,iftherearenotenoughinformationsecurityspecialistsincompanies,themanagementsystemwillnotcontinuerunaftertheleaveoftheconsultants.如近年来:百度、支付宝、华为(汇哲科技学员)均在通过培训、和后续的过程中在建立健全自己的一支信息安全管理团队、以帮助企业通过内部自己的力量,建立健全和完善自己的信息安全管理问题。而CISSP本身知识内容与ISO27001定义基本相当,CISSP涉及10个CBK与ISO27001涉及11个控制域基本相符、只是针对层面不同。Forexample,inrecentyears,Baidu.com,Taobao.comandHuawei(clientsofSPISEC)allsetuptheirowninformationsecuritymanagementteamwiththehelpofpartners’training,andstrengthentheirinternalinformationsecurityteam.四、有效提高全员信息安全知识水平4,Effectivelyimproveallemployees’informationsecurityknowledgelevel世界头号黑客KevinMitnick曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。TheTop1HackerKevinMitnickhasthewords:Thepeoplearetheweakestlink.Youmayhavethebesttechnology,firewall,intrusiondetectionsystems,biometricequipment,aslongassomeoneunsuspectingemployeesmakeaphonecall...由于缺少足够的信息安全意识,他们往往因为自己的便利而违反信息安全规章,也往往意识不到,因为自己的这种行为,会将其他同事乃至整个组织推向危险的境地。Becauselacksofinformationsecuritysense,employeessometimesviolatetheinformationsecurityrulesfortheirconveniences.Andtheyhavenosensethattheseactionswillcausetheircolleaguesandorganizationtohazardsituation.信息安全对于一个企业是全员的问题,通过专业的信息安全工作人员,可以制定信息安全整体策略、通过策略落地、由专业信息安全工作人员,组织对全员进行信息安全意识培训、信息安全意识宣贯、信息安全知识普级、等信息安全工作;Informationsecurityisthetopicfortheentireemployees.Withthehelpofinformationsecurityspecialists,companycansetupinformationsecuritypolicy,implementthesecuritypolicy,trainandimprovetheemployee’sinformationsecuritysense.不仅可以帮助企业节约相关费用、更能通过实践,找到一条适合于企业本身的信息安全管理之道。Fromthesesteps,companynotonlysavestheirrelatedcost,butalsofindsamoresuitablewaystosetuptheinformationsecuritysystem.五、安全检查与信息安全合规5.SecurityDetectandInformationSecurityCompliance目前在国内和国外、国家组织机构与地方政府、行业均根据中国目前信息安全形势和国内信息安全发展状态、制定了一系列有效信息安全管理制度;Accordingtocurrentsecuritysituationandthedevelopmentofthedomesticandinternationalinformationsecuritystatus,nationalorganizationsandlocalgovernmentshavesetupaseriesofeffectiveinformationsecuritymanagementsystem.企业信息安全专业人员应该根据政策和法律法规标准和规范、将具体条款细化的落入企业各个环境中、以促进落地与满足各级监管单位的检查;Accordingtothelocalstandards、policies、lawsandregulations,informationsecuritygroupofaenterpriseshouldadoptthoseclausetoimprovetheinformationenvironmenttomeetthedemandofainvestigationdepartment.同时,企业专业信息安全人员,应该根据企业本身信息安全制度、策略,对各部门、供应商、外包人员,等涉及信息安全工作进行详细检查,以便提高整体标准在企业的落地与实施减少风险。Meanwhile,ISgroupshoulddetailedinvestigatetheirdepartments,suppliers,contractorsandotherrelatedinformationsecuritystaffbasedontheirowninformationpolicy.六、持续在教育与行业保持一致6.ContinuingeducationandconsistentwiththeindustryCISSP考试通过后ISC2对于CISSP明确定义,CISSP资质持有者在3年内获得120个持续专业教育(CPE)积分以维持证书的有效性。CPE可以通过:厂商的培训、安全会议、出版安全论文或书籍、提供安全培训、服务于安全专业组织的管理层、阅读安全书籍;而信息安全行业发展和专业领域知识更新,同样与CPE的维持保持一致、随着信息安全行业的发展,各类新技术和领域不断提高,无论企业或个人,信息安全专业人员,均应该随着行业新领域的知识水平发展,不断学习,以便满足需要。Recertificationisalsorequiredeverythreeyears,withongoingrequirementstomaintainyourcredentialsingoodstanding.Thisisprimarilyaccomplishedthroughcontinuingprofessionaleducation[CPE],120creditsofwhicharerequiredeverythreeyears.ThefollowingitemscanbecountedtowardsCPEcredits:Attendingavendortrainingcourse(Forexample,CISA,COBITorothercourseofSPISEC);Attendingasecurityconference;Publishingasecurityarticleorbook;Providingsecuritytraining;Readingasecuritybook;Servingontheboardofaprofessionalsecurityorganization;Withthedevelopmentofinformationindustry,technologykeeprenewandimproveeveryday.Notonlyindividualbutalsoenterpriseneedkeepstudytomeetthedemandofthdindustry.

解决方案

时间: 2024-10-03 08:15:48

《CISSP认证对企业的收益》的相关文章

《I'm a Mac:雄狮训练手册》——2.4 快速用户切换

2.4 快速用户切换 I'm a Mac:雄狮训练手册 传统的用户切换需要登出系统重新登录,这样一方面耗时较长,另一方面一次只能登录一个用户,再者会关闭原用户已打开的程序和窗口. 而快速切换则用于不登出系统就切换到另外一个用户,使得多账户同时运行.切换到另一个用户时,前一用户的所有已打开程序和窗口都将暂停并保持原装,不受干扰.当再次切回时,所有一切都像原来一样,所不同的只是时间变了. 2.4.1 在菜单栏上显示快速用户切换菜单 打开"系统偏好设置",点击"用户与群组→解锁→登

《I'm a Mac:雄狮训练手册》——2.3 账户类型

2.3 账户类型 I'm a Mac:雄狮训练手册 用户的社会属性并不决定它的计算机角色,虽然这个世界上有成千上万的Mac用户,形形色色,但是Mac认不过来,它才不管你是美国总统还是平头百姓.用户是指人,账户是指OS分配给用户的系统角色. Mac下的账户类型有五种:超级用户(Super User),管理员,普通用户,客人用户和仅限共享. 2.3.1 超级用户 超级用户也叫root用户,享有对计算机的绝对控制权限,可以任意删除和移动任何文件,所以Mac默认不启用.因为权力太大.当一个人的权力大到无

《I'm a Mac:雄狮训练手册》——2.2 用户账户

2.2 用户账户 I'm a Mac:雄狮训练手册 用户和账户是两个概念,用户是指人,账户是指赋予用户的系统身份,也就是登录凭证,Mac ID.一个用户要登录系统首先要有一个账户,以下为方便说明,假设二者一致. Mac下所有账户和登录都是通过"用户与群组"偏好设置来进行设置.所以要对登录和账户进行设置,首先要打开"用户与群组"偏好设置. 2.2.1 "用户与群组"偏好设置 打开"用户与群组"偏好设置,有五种方式. (1)打开&

《I'm a Mac:雄狮训练手册》——序章 0.1 Mac

序章 0.1 Mac I'm a Mac:雄狮训练手册 苹果电脑共有3种类型:掌上型.膝上型和桌面型. 掌上型也叫平板电脑,膝上型也叫笔记本,桌面型也叫台式机. 0.1.1 笔记本 笔记本原来有3种:MacBook.MacBook Air和MacBook Pro,分别简称MB.MBA和MBP.Macbook是苹果的入门级电脑产品,因塑料全白外壳而得名小白,但小白的命运比较坎坷,曾经一度被拿掉,后来又上,又被拿掉,2012年苹果宣布不再生产白色塑料外壳的MacBook.因为和MBA和MBP相比,小

《I'm a Mac:雄狮训练手册》——0.2 OS X

0.2 OS X I'm a Mac:雄狮训练手册 用乔布斯的话说,Mac之所以是Mac,是因为Mac OS.硬件是骨架,软件是灵魂,正是因为Mac OS才让Mac是Mac.否则,它与PC没有什么不同,只是漂亮一些,电路板整齐一些. Mac是苹果电脑,OS X是装在苹果电脑上的操作系统.以前叫做Mac OS X,Lion之后叫做OS X,去掉Mac的概念是因为苹果想淡化Mac的概念.搭载在Mac上的操作系统可以有很多,OS X是原配,最新版本是10.7,叫做Lion. Mac OS有两个版本,一

《I'm a Mac:雄狮训练手册》——1.7 shift键在开机时的作用

1.7 shift键在开机时的作用 I'm a Mac:雄狮训练手册shift键在开机时的作用有三:①在开机"咚"声时按住shift键将以安全模式启动:②在屏幕闪烁时按住shift键将取消自动登录:③在白屏时按住shift键将取消系统重返和停止加载登录项. 1.7.1 以安全模式启动在开机"咚"声时按住shift直到看到灰色的Apple Logo和进度指示器表示以安全模式启动.所谓安全模式是仅加载核心进程,强制对启动卷宗进行目录检查,并停用一切与系统核心无关的应用,

《I'm a Mac:雄狮训练手册》——0.6 如何快速熟悉Mac

0.6 如何快速熟悉Mac I'm a Mac:雄狮训练手册(1)要了解系统相关的设置,请看"系统偏好设置". (2)要查看程序的功能,请看菜单栏. (3)想知道程序都可以做那些设置,请看程序"偏好设置"(按command,或者点击"'程序'菜单→偏好设置"). (4)要了解电脑的信息,请查看"系统信息"("Launchpad/实用工具/系统信息"或者按住option点击"图片 19菜单→系统信息

《I'm a Mac:雄狮训练手册》——1.6 查看开机信息

1.6 查看开机信息 I'm a Mac:雄狮训练手册Mac的一个设计原则就是隐藏一切与用户无关的信息,不需要你知道的不让你知道,不需要你看到的不让你看到,一切从简,所以在开机的时候你只会听见一个简单的"咚"声和看到一个简单的画面,但其实在这些简单的表面背后有很多复杂的操作.只不过用幕布遮起来不需要用户看到,因为用户关注应用,而不需要看到内核. 如果你要查看Mac的启动过程和开机信息,就可以Verbose模式启动. 开机时按command-V,将以Verbose模式,也就是详细模式启动

《I'm a Mac:雄狮训练手册》——1.8 以32位模式启动

1.8 以32位模式启动 I'm a Mac:雄狮训练手册Lion是64位系统,如果你想以32位模式启动,就可以在开机"咚"声时同时按住数字键3和2以32位模式启动.Mac下的开机设置,都是一次设置,单次有效,下次开机时则正常启动,所以下次开机时系统则以默认的64位方式启动. 查看系统是32位还是64位如果你没有以32位模式启动,则默认是64位. 打开"系统信息"(按住option点击"→系统信息..."),点击"软件",就可

《I'm a Mac:雄狮训练手册》——1.9 恢复磁盘助理

1.9 恢复磁盘助理 I'm a Mac:雄狮训练手册Lion内置了恢复功能,让你可以无须安装盘即可恢复Mac.在开机"咚"声时按住command-R将会直接打开Lion的恢复磁盘助理(相当于按住option,然后选择Recovery HD磁盘). 通过此Recovery HD你可以修复磁盘.重装系统.在外部驱动器上创建Lion恢复,从TimeMachine备份恢复或使用Safari浏览网页. 注:要创建外部Lion恢复,请下载Lion恢复磁盘助理应用程序.插入外部驱动器并启动Lion