CISSP的成长之路

network

关于《怎样成为一名CISSP》的初衷
本文作者J0ker是在安全圈中混迹多年的安全专家，他将自己求学CISSP的亲身经历整理成《CISSP的成长之路》系列文章，用J0ker的话说，出文章的目的最主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。J0ker的话很精练，之前在51CTO.com安全频道推出了自己的很多文章，现在安全频道的每周信息安全要闻回顾栏目就是他主持的，我想J0ker出《CISSP的成长之路》系列，也是对他自己的另一种鞭策。
《CISSP的成长之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望《CISSP的成长之路》能给大家都带来帮助。最后引用一句J0ker常说的话：你们的支持就是我不断努力向前的动力：）

正文

作为《CISSP的成长之路》系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看CISSP认证的颁发机构（ISC）2：
（ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证：
SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者
CAP（CertificationandAccreditationProfessional）认证和评估专家
CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家
CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家
CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家
CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家
（ISC）2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是http://www.isc2.org
（ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于（ISC）2较为低端的SSCP和CAP认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。
CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。
CISSP认证的考核范围包括10个方向，称为CBK（CommonBodyofKnowledge）以下按首字母排序：
1、AccessControl访问控制
2、ApplicationSecurity应用安全（包括开发）
3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划
4、Cryptography信息加密
5、InformationSecurityandRiskManagement信息安全和风险管理
6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查
7、OperationsSecurity操作安全
8、Physical（Environment）Security物理（环境）安全
9、SecurityArchitectureandDesign安全架构和设计
10、TelecommunicationandNetworkSecurity通讯和网络安全
CISSP认证以考察考生对信息安全技术掌握的全面程度而著称，这10个CBK里面几乎全部包含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难，排除语言的原因之外（CISSP试题是全英文的），几年安全从业经验再加上考前抽时间认真复习，一次通过考试的几率还是挺大的。用一个最恰当的句子来形容CISSP的考试，就是“Onemilewide，Oneinchdeep“，考试范围之广和试题的难易程度可见一斑。但试题的简单并不说明CISSP的试题可以轻松搞定，因为，即使没有语言障碍，考前也经过充分的复习，拿到试卷后考生会发现CISSP的考试将是一场严峻的考验——在6个小时内，考生需要完成250道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于CISSP考试使用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不是4选1，而只能凭感觉在2个相似答案中选其一。
每次CISSP考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上还是因为CISSP考试考察的范围太广。尽管如此，J0ker依然相信，即使他们没有通过CISSP的考试，但通过学习CISSP的课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵经验。

network

第一个问题，为什么要获得CISSP呢？
信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在IT技术领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验，保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如：
1、 适应市场中越来越热的对信息安全人才的需求
2、 增加对信息安全的知识和概念的理解
3、 为当前的工作增加信息安全的理念
4、 在日益激烈的职场竞争中增强自身优势
5、 在薪水增长和职务提升上更有优势
J0ker是2004年听朋友（国内最早的CISSP之一）说起CISSP是国际上最权威的信息安全认证，也觉得应该要提升一下自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到今年才考。之前一直认为CISSP只是单纯的技术认证，但接触上之后才发现，CISSP其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，J0ker在学习CISSP的过程中受益颇多，不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识，同时好好的补充了其他七个CBK的知识，也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP，本身就是一个对学习者安全知识体系进行完善的过程，相信其他CISSP或学习过CISSP的读者也有相似的体会。
OK，我们转到下一个问题，CISSP都从事什么工作？
先说说国外的情况，以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后， CISSP会进入企业管理高层，管理整个企业的信息安全或IT，头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。
国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2官方站点上的Member Directory功能中查询。
最后说说大家最感兴趣的CISSP薪水问题，因为国内CISSP薪水的总体情况J0ker也不是很了解，在此就借用（ISC）2 2006年度的官方报告来说一下，CISSP薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，2006年CISSP的平均年收入为：
IT Administrator： $45000-$55000
Information Security Administrator：$75000
Security Analyst/Engineer：$80000
Manager， Information Security :  $100000
CISO, CSO ：$150000 及以上
另外，国内和国外相同的一点是，拿到CISSP认证之后通常待遇都会有所提升。

network

CISSP的成长之路（三）：怎样获得CISSP认证（1）
一、参加CISSP认证考试的条件：
根据（ISC）2目前的CISSP考试需求，考试的报名者需要具备信息安全领域涉及1个或以上CBK的4年工作经验，注意这个工作经验指的是信息安全领域的全职工作经验，兼职的不能算，(ISC2)认可的工作经验，指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。如果报名者有本科及以上学历或拥有（ISC）2认可的认证证书，工作经验的要求可以降为3年，但报名者只能通过学历或认证证书减少1年的工作经验要求，并不能同时使用学历和认证证书以减少工作经验要求为2年。 (ISC)2认可的可以减少1年工作经验的证书中，常见的有MCSE、CISA、CISM及一些比较少见的安全认证，有兴趣的读者可以从(ISC)2的官方站点上https://www.isc2.org/cgi-bin/content.cgi?page=1016 获得更详细的列表。如果读者对CISSP认证很有兴趣，但工作经验又达不到（ISC）2的要求，怎么办？ 不要气馁，（ISC）2专门为这种情况的考试者设立了一个称为“Associate of (ISC)2”的头衔，考试者在通过CISSP考试，在实际工作中积累足够年限的工作经验，便可向(ISC)2申请升级为正式的CISSP。
不过要注意的是，(ISC)2在五月份修改了CISSP认证考试对报名者的工作经验要求，从2007年的10月1日开始，原来的4年全职工作经验要求增加到5年，工作中要涉及到的CBK数目的要求则从至少一个增加为至少两个。报名者依然可以通过学历和认证证书来减少1年的工作经验要求，认证证书列表和年限放宽的限制和原来一样。
CISSP认证考试的报名者在填写报名表之前，还需要同意(ISC)2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议，还有最重要的，(ISC)2的CISSP道德准则(Code of Ethic)。另外，报名者在填写报名表时，还需要回答4个关于是否有犯罪记录背景的问题。
相信大家在以上的工作经验要求和个人背景要求都没有问题，CISSP的道德守则就是要求CISSP有诚实的品质，大家按自己的真实情况进行填写即可。
二、CISSP认证考试的报名流程：
目前CISSP考试在中国有三个考点，北京的清华大学网络研究中心、上海的交大信息安全学院和广州的软银数码港酒店，大家可以根据自己的方便程度来选择考点。
CISSP考证只能由报名者自己向（ISC）2报名，(ISC)2并没有提供代理报名的方式，这一点请大家注意。目前(ISC)2提供2种CISSP考试的报名方式，在线报名和离线邮件/传真报名。前者适合上网方便、有信用卡的报名者，后者则比较适合没有信用卡的报名者。在线报名的网址是：
https://www.isc2.org/cgi-bin/cissp_register.cgi?examdateid=2877
离线报名方式需要报名者到（ISC）2网站上下载报名表，按表上要求填写后邮寄或传真到表格上所写明的地址。亚洲区域的报名者使用以下地址的报名表：
https://www.isc2.org/download/ExamRegistrationFormAsia.pdf
J0ker在这里要提一下，因为邮寄或传真有可能有延时，所以建议报名者尽量采用在线报名的方式注册CISSP考试。
报名者在选择报名方式的同时也选择了考试费的支付方式，如果是在线报名方式，报名者需要用信用卡支付，请确保信用卡的可用额度足以支付报名费用，使用支持RMB和美元的双币信用卡即可，比如招商银行的信用卡。另外，没有信用卡的报名者还可以请别人代为支付，按在线报名表格的要求填写信用卡信息就可以了，但听有的朋友说请别人用某些银行的信用卡代为支付的时候，会因为（ISC）2提供的支付回执上写的是报名者的名字而非信用卡主人的名字，从而导致支付失败。J0ker报名也遇到的这种情况，支付回执上写的就是J0ker的名字而不是信用卡主人的名字，但支付是成功的，当时用的就是招行的信用卡。对于没有信用卡的报名者来说，还有一种方法可以付款，那就是到银行去购买一张汇票（Draft），填写好相关信息后和打印出来填写好的报名表一块邮寄到(ISC)2香港办事处就可以了，不过这种方法会比较耗时。
CISSP考试的报名费在预定考试15天之前支付为499美元，15天之内为599美元。如果报名者因为各种原因需要取消或改时间考试，则需要最少比考试提前15天用书面通知（ISC）2，并且还要支付100美元的退考费或改时间考试费。如果某一次考试的报名人数超过了考场可以容纳的最大人数，(ISC)2会根据报名费的到达顺序按先到先得的原则安排考试。
三、最后J0ker带大家简单走一下CISSP考试在线报名的流程
进入(ISC)2的官方站点
打开(ISC)2考试预约页面，地址为：https://www.isc2.org/cgi/exam_schedule.cgi
在出现的页面上可以按照考试的城市、国家或月份进行查询，我们选国家为China，搜索列出当前年份将在中国进行的CISSP考试，然后在随后的两个页面中选择考试的时间（Register）及考试的类型（CISSP）
下一个页面就是（ISC）2的考试收费规则、保密协议和道德准则，请报名者先仔细阅读，同意的话按底下的“Iagree”按钮继续
报名表填写：
第一栏的Personal Information和第二栏的Business Information就是报名者的个人信息、联系信息，按规定填写即可。
有2个细节需要注意一下，第一个是姓名填写的地方，Title就填Mr、Miss之类的，Last Name填名，Family Name填姓，报名者不用担心倒过来写在考试时会遇到麻烦，监考官手上的名单的考试者名字顺序是对的。另外一个细节是Business Information的最底一行有选择Home Address或Business Address的选项，这个选项决定（ISC）2按哪个地址和报名者进行E-mail的联系和证书的寄送，请报名者确保填写的地址有效。
接着就是报名者的背景信息，第三项是上面说过的是否有犯罪背景和报名者是否曾经持有CISSP认证，第四项是报名者的工作经验和学历，按实际情况填写即可。不过要注意CBK的填写是多少个月从事什么CBK的工作，总CBK工作的时长应该满足（ISC）2所规定的CISSP考试的工作经验需求。
再下来就是考试地点选择和信用卡付款信息，选好考试时间和地点、试卷语言、支付币种，再根据信用卡信息填妥，检查一遍。确认无误之后，就可以点击页面最下方的”Sumit“提交报名表格和支付考试费。注意不要多次点击提交按钮或重复提交表单，否则就会造成多次支付。
提交成功后，页面会重定向到一个支付回执页面，上面是报名者信息、支付款项和考试协议，最好用网页另存为将它保存下来。报名者还需要将它打印出来，签上自己的名字，考试时需要给监考官看，以证明报名者同意考试协议。
另外，交易成功后，(ISC)2会发送一个Order Confirmation邮件，确认报名者已经交款成功。在第二天(ISC)2还会发送一个Admission Letter，里面就是报名者的准考证，上面有考号、考场位置、考试时间等内容，报名者也需要把它打印出来保存好，考试时同样需要带到考场。至此，CISSP考试的报名即告完成。

network

在本文中大家可以了解到CISSP考试需要做的准备和考试中应当注意的问题：
考试前的食、住、行
CISSP考试在国内的考点只有北京、上海和广州三地，常有不少外地考生参加CISSP，因此参加CISSP考试首先要考虑的是交通问题，对本地考生来说这个问题同样需要考虑。以J0ker参加的在上海举行的CISSP考试为例，考场在位于浦东张江高科的上海交大信息安全学院，从市内到考场需要坐地铁到终点站，下地铁后还需要换乘一趟区县公交车，全程约需一个半小时左右。而CISSP考试的时间是从上午9点开始，8点半之前就要进场，也就是说，如果是从市内出发去考场，考生6点刚过就要起床，然后匆忙洗刷之后就要赶车去考场，这样很容易影响到考试的状态，当然，如果考生自己有车就很方便了。更好一点的选择是提前在考场附近找住的地方，这样次日早上考生就不需要起那么早，对考试状态的保持更有好处。
说了CISSP考试的住和行的问题，食的问题也相当重要，如果考生选择在考点附近找地方住，就得考虑晚上吃饭是否方便，第二天考前的早餐吃什么。还是以上海考点为例，因为张江高科是高科技工业园区，超市和饭馆只有在地铁站附近才有，而第二天早上出去吃早餐时间很紧，所以当时J0ker就提前买好了面包和牛奶冲到早餐。另外，由于CISSP考试的时间很长，从上午9点到下午3点，正好跨过午饭时间，考生还得准备好饮料和食物。虽然CISSP考试允许考试时考生离座到考场的后面吃东西，但体积较小，不会污染试卷的食物是允许在座位中吃的，建议考生最好准备巧克力、肉干等食物，可以边吃边继续考虑试卷上的考题，而不用浪费宝贵的答题时间。至于饮料就看各人口味了，推荐清淡一点的茶饮料或水，既解渴又有轻微的提神作用。
考生还需要携带最重要的考试材料：
（ISC）2提供的Registration Confirmation和Admission Letter，考生在（ISC）2站点上注册考试并经过（ISC）2确认后，（ISC）会通过E-mail提供这两份材料，考生自己打印出来并签上名字。
考生还需随身带着带照片的证件，(ISC)2认可的有身份证或者驾照，如果没有上述材料，考生将不允许参加考试。另外，考生最好再准备2支2B铅笔（考场也会提供，（ISC）2牌2B铅笔…不过自己备上总是好的），1块比较软的橡皮，还有一本英汉词典，（ISC）2规定母语非英语的考生可以使用词典，但词典只能够是Word to word对词翻译的，不允许使用电子词典类的工具，牛津之类的词典即可。
考试用的材料物品准备好，去考场的行程计划好之后，就可以放松一下自己的心情了。CISSP考试说到底也只是一次普通考试而已，用不着对它很紧张，紧张反而会影响考试状态的。考前的晚上可以早点睡，随便看看考试参考材料也可以缓解一下紧张的情绪，J0ker推荐看看《CISSP All in One》的每个章节后的Quick Tips，既可以对CISSP 各CBK里面的关键知识点进行回顾，量也不至于太多。或者也可以稍微做点题练练手，找一下考试做题的感觉。
CISSP考试在上午9点开始，考生需要在8点半之前到考场，进场之后可以先找个地方把自己的物品放下，休息一下或者上洗手间什么的。
J0ker当时参加的CISSP上海考试是这样的：
上海考场设在在上海交大安全学院的一个教室，J0ker是8点10分的样子到场，当时考官还没有来，大概有10多个考生在里面，聊天或自己看资料。
8点20分，2个考官进场，看起来像是上海交大的老师（也有可能是参加监考的CISSP志愿者），所有的考生在8点30分之前都到场了。
8点30分至50分，考官检查考生的证件、(ISC)2提供的材料、并按照之前排好的座位给考生安排座位，考生进行签到。其中出了个小小的意外，有个考生一直没有收到Admission Letter，而负责（ISC）2亚洲区联络事务的(ISC)2香港正好换负责人，也一直联络不上，拿不到Admission Letter，不过考生跟考官沟通了一下就解决问题了，考官手上的名单中有这个考生的名字和考试号，考生拿到考号就可以参加考试。如果有朋友在参加CISSP考试时遇到这样的问题，可以尝试下和考官沟通下，一般都可以解决的。
8点50分，考官分发试卷、答题卡，考生就可以按照试卷上的说明，填好考号、试卷号、地址等信息，签署考试保密协议。一位考官用中文和英文宣读考试注意事项，另一位考官则进行巡查，帮助考生解决填涂试卷信息的问题。考生要特别注意这些试卷信息的填涂，要是填错的话，就拿不到成绩了。
上午9点钟，CISSP考试正式开始，考生就可以打开试卷了，打开试卷证明考生同意(ISC)2的保密协议和考试守则，如果考生不同意，不要打开并将试卷交还考官（不过J0ker没听说过有谁这样干 ）。试卷一共有30多页，250道题，都是单项选择题，题型有一个问题一道题的，而场景类的题目通常有三到五个问题，考生需要考虑好怎么在6个小时的有限时间内完成250道题，因为做错没有倒扣分，所以即使不懂试卷也不要留空，随便填一个也好的。
当时J0ker是这样的，因为刚开始考试时进入状态比较慢，所以J0ker习惯第一遍凭自己的感觉和经验做题，尽量少在某一个题目上思考，所以J0ker在2个小时15分钟的时候粗略的做完了题目（答案可以先划在试卷上，但只有填涂到答题卡上的才有效），有的题一时做不出来就随便选了个答案之后跳过。做完正好11点过，喝了点红茶吃了点巧克力，再休息了下，然后开始认真的边检查边将答案填涂到答题卡上，检查的过程中J0ker一共改了35道题， 有不少是在2个答案中选其一的，不是十分有把握的还是保留原来答案。检查并填涂的过程相当的慢，弄完大概200道题就过去3个小时了，剩下的50多道题也就匆匆检查了一遍就填到答题卡上。按照这样算的话，J0ker估计认真做完成试卷的时间大概在5个小时出头的样子，还需要留出半个小时左右把答案填涂到答题卡上，所以考生需要掌握好时间。
另外还有一个大家可能比较关心的问题，CISSP考试其实不限制中途上洗手间的次数，不过一次只能去一个人，而且出入考场还需要Sign in和Sign Out，为了节省宝贵的考试时间，考生最好控制一下喝水的量。
放松，合理安排时间，保持平和的心态… 每个人都有自己的考试方法，J0ker上面所说的考试流程和需要注意的问题也是仅供朋友们参考，剩下的还需要靠朋友们自己努力了，Good luck to you！

network

收到考试成绩单
参加CISSP考试之后，考生大概要等2个星期才能收到（ISC）2用E-mail发来的考试成绩，通过的考生会收到一封祝贺信，并带有一个PDF附件（Endorsement表格），另外，信中还介绍了如何进行下一步手续的简单介绍。考生如果收到的是一封包含考试成绩和10个CBK评价的E-mail，则说明考生没有通过考试，而考生对10个CBK的掌握程度与评价的分值成反比。没有通过的考生也不要气馁，可以针对(ISC)2考试结果邮件中的CBK评价，有重点的再次进行复习，Good Luck!
背景证明——Endorsement
(ISC)2为了保证CISSP认证的可信性，采用了第三方确认的方式对通过CISSP考试的考生进行专业知识和工作经验进行确认，这个流程称为背景证明，也是常说的Endorsement，（ISC）2会把Endorsement表格随CISSP考试的结果邮件一起发送给通过考试的考生。(ISC)2规定Endorsement的签署人必须持有(ISC)2认可的认证，比如CISSP、CCIE、MCSE、BS7799LA等，或者必须是考生所在单位的高层领导（通常是CTO、CEO，部门经理级别的不可以），这样签署的Endorsement才会被(ISC)2所接受。需要注意的是，从2007年9月开始，(ISC)2修改了对Endorsement签署人的要求，要求签署人必须持有(ISC)2系列认证（CISSP/SSCP），这样签署的Endorsement才会被(ISC)2所接受的。J0ker认为，（ISC）2提高Endorsement的签署人要求，更有利于控制新进CISSP的质量，防止出现现在国内某些认证泛滥和贬值的情况，另外，由(ISC)2认证持有者来做Endorsement的签署人，也能更好的根据CBK来对考生的经验进行二次确认。
准备好英文简历
除了Endorsement之外，通过CISSP考试的考生还需要准备一份个人的英文简历，按照常规的简历写法来写就可以。不过要注意一下工作经历的写法，应该在工作经历里面的每一个项目后面说明该项目涉及到哪些CBK，比如，CBK: Access control 这样写就可以了。准备好英文简历后，考生要将英文简历和Endorsement表格交给自己的Endorsement签署人，让签署人填好Endorsement表格并签名。考生可以用电子邮件或传真的方式将材料送达(ISC)2的审核负责人，如果是采用电子邮件方式，可以将材料准备好后扫描成PDF文档，再通过电子邮件发送到Audit@isc2.org，不过要注意只能由Endorsement的签署人来发送这两份材料，考生自己发是无效的。如果是采用传真方式，只需把材料传真到(ISC)2香港办事处即可。J0ker建议考生尽量选用电子邮件的方式来发送审核材料，这样处理的速度会比较快，也可以防止因为传真引起的审核材料丢失。
教育经历审核
(ISC)2每次还会随机抽取10%左右的通过者再做一下教育经历的审核，被挑选到的通过者会在所收到CISSP考试结果邮件中看到教育经历审核的要求和具体步骤。J0ker当时没有被抽中，后来问了一下曾经被要求进行审核的CISSP朋友，所谓的教育经历审核需要提供两份材料，其中一份是声明，声明被审核者确认所提供的所有材料都是真实无误的，另外一份资料是被审核者的学历证书复印件。被审核者准备好材料之后，可以将材料扫描编辑成PDF文档，发送到Audit@isc2.org，也可以将材料传真到(ISC)2香港办事处。
送出审核材料后，考生大概会在2到3天后收到（ISC）2的资格审核确认邮件，如果审核通过，大概2个星期后，考生就能收到（ISC）2用航空邮件发来的CISSP证书，成为CISSP中的一员。可能大家比较担心证书投递的问题，不用担心的，国内的邮局都有专门的翻译负责国外邮件的分发，只要在CISSP考试报名时填写地址信息正确，一般都能很快收到。如果考生收到了(ISC)2的资格审核确认邮件，却又在2至3个星期内没有收到CISSP证书，还可以向审核确认邮件里提供的E-mail地址发邮件询问，(ISC)2确认后会重新寄送CISSP证书的。随CISSP证书一块寄来的还有一个CISSP名片、一封(ISC)2的欢迎信，信上介绍了CISSP的(ISC)2的会员权利，并附带了(ISC)2网站的初始登陆密码。
如何保持CISSP认证
（ISC）2规定，CISSP认证的持有周期只有3年，CISSP只有按时缴纳每年的会员费(AMF)，并在三年内赚取120 CPE（Continuing Professional Education，继续教育点数），才能在三年后更新所持有的CISSP认证。
CISSP的会员费是每年85美元，CISSP在(ISC)2网站上登陆自己账户之后便可查到自己下一次交会员费的时间，如果在该时间60天之内不缴纳会员费，就需要多交20美元的滞纳金。交会员费同样需要CISSP登陆自己账户后才能操作，在会员费信息下面有一个”PAY AMFs NOW“按钮，点击进入后，选择缴费币种、缴费年限、填好信用卡信息，验证无误后提交，便可完成会员费的缴纳过程。
(ISC)2对CISSP有120 CPE的要求是为了督促CISSP不断的提升自己的知识和经验，使自己能和技术的发展保持同步。规定只有CISSP本职工作之外的额外发展活动才能算CPE点数，而根据额外发展活动的不同，CPE的种类又分成A类和B类两种，A类CPE（Direct Information Security Activity）即是与CISSP 10个CBK直接相关的活动，而B类CPE(Professional Skills Activity)则是CISSP自身能力发展的活动，120个CPE中必须包含80个A类CPE和40个B类CPE。
120个CPE提交的最迟时间是3年周期之后的90天之内，如果CISSP在3年内不能赚够120个CPE，将会把取消CISSP资格，而在3年周期的最后6个月中提交的超过120的额外CPE点数，可以带到下一个3年周期。CISSP提交CPE的方法也需要登陆到自己的(ISC)2账户，然后使用”SUMIT CPEs NOW“ 功能进行CPE的提交，提交的CPE申请一般会在2到3天内得到通过并更新到CISSP的账户信息中。另外，（ISC）2还有随机抽查CISSP CPE的制度，如果CISSP被抽到要求审核CPE的话，则需要提供该CPE的有效证明材料，比如有CPE是CISSP自学某本安全方面的书籍，那(ISC)2会要求CISSP提供这本书的发票，因此提交CPE时，CISSP应保存好CPE的相关有效证明材料。
CPE提交和CPE点数具体如何计算的资料，都可以在(ISC)2网站上找到，J0ker在此就不再详述。

network

J0ker向大家简要介绍了CISSP认证考试的基本情况，但对于想要进一步深入了解CISSP认证体系、或者想要获得一个CISSP认证的朋友来说，内容还是稍微简单了点。所以，从本文开始，J0ker将用大概15篇文章的篇幅，向大家详细的介绍CISSP认证考试的复习流程、各种复习资源和CISSP的10个CBK的内容，本文要介绍的即是CISSP认证考试的复习流程及资源。
J0ker先给大家说说CISSP考试的复习流程，和其他考试一样，CISSP考试的复习也需要循序渐进，不断巩固，由于CISSP考试的广度和深度——”One Mile wide, One inch deep”，决定了复习的同时也是一个学习过程。因为要报考CISSP的朋友大多是各自单位的技术骨干和中高层管理，日常事务十分繁忙，所以复习的时间安排和计划对考试的成功显得无比重要。

怎么制定复习计划

知己知彼，方可百战不殆。考生应该先了解一下CISSP考试的10个CBK的组成和内容，根据自己的情况将掌握得较好、较差的CBK分别列到表里，并以此为根据安排各CBK复习的优先度。考生还需要根据自己空闲时间的多少，合理的进行分配，比如，如果有半年的准备时间的话，每天保证1到1个半小时复习即可，如果准备的时间较短，可以斟酌增加每天复习的时长。

进行复习

制定好复习计划之后，考生便可每天按照计划好的优先度和时间安排进行复习。复习中有2个要点，其一复习贵在坚持，持续的复习可以保持考生对CISSP知识的掌握程度，三天打鱼，两天晒网只不过是在浪费时间；其二复习不可偏颇，考生应该对自己掌握较好的章节也进行全面复习，CISSP考试的广度往往出乎过分自信的考生意料之外。

如何巩固复习效果

在CISSP考试的复习过程中做些模拟题是必须的，但因为CISSP考试出题相当灵活，如果考生想靠猜题、押题来通过CISSP考试，恐怕只会换来一个失败的结果。J0ker的建议是，CISSP考试说到底是考察考生的能力和经验，如果考生有条件的话，对掌握不好，平时也没有机会接触的内容自己做个模拟环境来实践一下，比如Telecommunication and Network security、Operational Security等CBK，都可以自己实验一下。另外，考生可以精选1到2个模拟题库，时不时对自己的复习情况进行检查，做错的题目应该记录起来，重新对涉及到的CBK内容进行复习。

CISSP考试复习中可以用到的资源：

复习书籍

目前市面上CISSP考试复习的书籍不少，内容虽然大同小异，但写作风格写作水平是大不相同，有的追求语言生动易懂，有的则比较详细枯燥。考生如何选择适合自己的CISSP复习材料？J0ker觉得选择的标准应该由考生自身的语言水平、信息安全从业经验等来决定，在语言水平差不多的情况下，如果考生的从业经验较多，但对概念的把握上仍有欠缺，可以选择CISSP official guide解释概念较为详细的材料；如果考生平时主要从事咨询或管理类的工作，具体技术方面的经验不足，则可以选择CISSP All in One 3rd或者Pre guide 2nd这样的材料，它们生动的描述会使技术方面的难题变得容易理解；还可以准备一本Exam Cram的CISSP小书，出差或旅行时可以随手翻阅。

在线资源

在准备CISSP考试时，考生同样有丰富的在线资源可以选择，不过首选的依然是(ISC)2的官方网站，考生可以从上面得到最新的考试通知、考试资源等，(ISC)2官方所提供的Resource Guide也包含了许多对CISSP考试很有用的在线资源、参考资料等。另外，国外的ccure.org也有不少的在线资源可供选择，比如电子杂志、论坛、免费的在线视频等。

模拟题库

模拟题库在CISSP考试的复习中可以起到查漏补缺的作用，也可以帮助考生熟悉CISSP考试的难度和出题方式，不过选择模拟题库也不是题越多越好，关键还是要看模拟题库的题量是否适中，出题的难度和问法是否和真实考试接近。J0ker认为，Ccure.org上所提供的CISSP在线测试题库（1000题）和Acutaltest提供的CISSP模拟题库都比较好用，Ccure.org的题较浅但覆盖知识点也较全，Acutaltest的题的问法更接近真实的CISSP考试。J0ker当时主要用的就是Acutaltest的题库，尽管在真实CISSP考试中找不到和Acutaltest题库相同的题目，但Acutaltest题贴近真实考题的特点使J0ker在考试能得以提高不小作答的速度和准确率。

Where to ask

如果考生在复习CISSP知识的过程中遇到问题，可以选择论坛等在线途径向CISSP们请教，国外较好的是Ccure.org的论坛，因为在ccure.org的论坛上回答一定数量的问题可以得到CPE的奖励，CISSP们通常会比较乐意回答论坛上的问题。中文方面的资源可以选择国内的chinacissp.com的论坛，上面同样有许多热心的CISSP会回答考生各方面问题，不仅仅是CISSP知识点，还包括CISSP考试的方方面面。J0ker也欢迎大家来询问CISSP方面的问题，J0ker会尽自己一份微薄之力为大家的CISSP历程提供尽可能多的帮助 : )

network

J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源。从本文开始，J0ker将带大家进入CISSP考试的正式复习过程：2007年(ISC)2修改过CISSP考试的各CBK名称和内容，虽然新内容绝大部分和原来的CISSPCBK相同，但还是增加了一些新内容。J0ker手上只有比较老的CISSP Official Guide和CISSPAllin One3rd（J0ker准备考试时也是用这两本资料，对增加新内容的考试还可以应付），所以在本系列文章中依然沿用(ISC)2修改前的CBK名称和内容，J0ker会按照CISSP Official Guide的内容安排给大家介绍一下复习中的心得和要点，限于J0ker自己水平和各人的情况不同可能有所不足，请大家原谅。

CISSP复习的第一章Information Security Management

安全行业有句行话，“三分技术，七分管理”，意为安全技术应该从属于管理。不少安全厂商在推销自己的产品时，常常只顾鼓吹说自己的产品有多好，却没有向客户说明产品是否适用于目标企业的实际环境。CISSP需要明白，安全技术也好，安全产品也好，都是必须从属于安全管理，只能因管理而技术，从安全技术和产品的使用去推导安全管理应该怎么做，就是本末倒置了。因此CISSP CBK中引入了Information Security Management这一概念，假如把企业的信息安全计划比作一艘船，信息安全管理就如同灯塔，指挥着船往哪里走，怎么走，如果舵手（CISSP）不按照灯塔（Information Security Management）的指示走，船就很可能触礁沉没（安全项目失败，或达不到想要的效果）

信息安全管理，或者说所有的信息安全项目，都是围绕着实现信息资产的A-I-C三角而设计和实施的。所谓的A-I-C三角，也即信息资产的三个重要属性：

Availability，可用性，保证信息资产对授权的用户随时可用；

Integrity，完整性，保证信息资产不受有意或无意的未授权修改；

Confidentiality，保密性，保证信息资产不受未经授权的访问。

A-I-C三角也是贯穿整个CISSPCBK内容的宗旨。因此，对一个组织实体来说，信息安全管理的内容就是识别信息资产的类型价值，并通过开发、记录和实施安全策略（Policies）、标准（Standards）、流程（Procedures）和指导（Guidelines）来确保信息资产的A-I-C属性。在这个过程中，需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估，我们可以使用数据分级（Dataclassification）、安全意识教育(Security Awareness Training)、风险评估(Risk Assessment)和风险分析（Risk Analysis）这些工具来完成。J0ker将在接下去的文章里面再给大家详细解释上面提到的各个名词。

在CISSP CBK中还可以看到一个和信息安全管理相似的名词——风险管理(Risk Management)，信息安全管理是从管理流程的角度实现信息资产的保护，而风险管理则是从风险防范的角度出发，将风险对信息资产的损害降到最低。风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程，它包括整体安全评估（Overall Security Reviews）、风险分析（Risk Analysis）、防御方案的选择和评估（Evaluationand Selectionof Safeguard）、效能分析（Cost/Benefit Analysis）、管理决策（Management Decision）、防御方案部署（Safeguard Implementation）和效能评估（Effectiveness Reviews）等步骤。

A-I-C三角是贯穿CISSP CBK的宗旨，这也是我们在CISSP复习中遇到的第一个重点，如何把抽象的A-I-C概念，转化成具体的知识？J0ker打算用实际应用中的例子说明一下：

Availability，是确保信息资产对授权用户随时可用的能力，在实际应用中，我们可以把有可能损害可用性的威胁分成2类：
1、Denial of Service拒绝服务
2、会造成数据处理所需设备损失的自然灾害（火灾、水灾、地震等）或人为因素（恐怖袭击等）
拒绝服务通常指因为用户或入侵者的原因导致某个数据服务无法向其用户提供服务的故障，比如计算资源的耗尽导致的计算机锁死、存储器资源的耗尽导致的文件读写失败、网络资源耗尽导致的网站无法访问等，但拒绝服务通常不会物理损坏数据服务所依靠的设备，进行释放资源之类的相关处理便可恢复正常。而自然灾害和人为因素则是物理损坏，只能重新购置部署设备才能使数据服务恢复正常。我们可以制定业务持续性计划（Contingency Planning），并通过物理（Physical Control，物理安全及设备备份）、技术（Technical Control，设备冗余、数据备份及访问控制）和管理(Administrative Control，各种策略流程等管理措施)手段来保证可用性。

Integrity，是确保信息资产不被有意或无意的未授权修改的能力，完整性通常由访问控制（Access Control，各种验证、授权手段）和安全程序（Security Program，保证信息和处理流程按照设计好的来执行，并提供数据完整性检查能力）这两者提供。另外，完整性控制还有以下三个原则：
1、Need to know/Least Privilege，最低权限策略，用户应该只获得完成其工作的最低限度的资源访问和操作权限。
2、Separation of Duties，职权分离，确保较为重要的工作流程由多人完成，防止出现欺诈行为。比如常见的财务人员和审计人员分属于不同的部门便是职权分离的例子。
3、Rotation of Duties，职务轮换，定期轮换重要职务上的人员，有助于防止出现欺诈，也可以在当前人员缺席的情况下很快使用其他人员替代。

Confidentiality，是确保信息资产不被未授权用户访问的能力，最近几年很受关注的身份管理和隐私问题也属于保密性这一范畴。常见的保密性威胁有：

1、Hacker/Cracker，系统的未授权访问通常是由于黑客或骇客的入侵造成的。
2、Masqueraders，授权用户伪装成另外一个授权用户，或未授权用户伪装成授权用户的非法访问行为。
3、Unauthorized User Activity，授权或未授权用户对不属于其授权范围的资源的访问行为。
4、Unprotecteddownloadedfiles，用户违规把保密文件下载并存储在没有保护措施的地方。
5、Networks，保密文件未经加密便在网络上传输。
6、Trojan Horses，木马病毒盗取保密文件是近年来发生比较多的安全事故
7、Social Engineering，社会工程欺骗是这两年的一个关注热点。

network

我们经常可以从媒体或者各种安全资讯上看到一个词——风险（Risk），但具体到它的含义，以及它在信息技术领域所代表的意思，却没有太多的人可以说的清楚。所谓“风险中存在机遇“，人们在选择机会的同时，也会遇到许多会造成损失的不确定因素，这些不确定的因素便称之为”风险“。例如，买车能带来出行方便，但同时也会因为燃料费上涨、路费、维修等等不确定的因素导致意外的支出，而且尽管几率很小，也依然存在发生交通事故危害生命的情况。
因此，我们在选择一个机会之前，常常会或多或少的考虑机会之中包含着的不确定因素有哪些，更进一步的，我们还会想办法去了解机会之中的不确定因素到底有多大的可能发生，并准备一些可以降低发生几率或损失的措施。同时为了更有效的准备和评估应对不确定因素的防御措施，我们还必须认真的了解不确定因素的各个组成元素，并搞清楚它们之间的关系，这个不确定因素的识别、分析和评估的过程，便是本文要介绍的风险分析和评估（Risk Analysis and Assessment）。
进行过风险分析和评估之后，接下去自然就是如何应对风险——在CISSP CBK中，风险的应对方式可以分成三种，J0ker还是用上面买车的例子来介绍：假设买了车之后，在路上发生追尾事故的可能性为每三个月一次，如果车主采取了在交通繁忙时刻降低车速，选择另外车流量较小的道路或者在车上添置防追尾的设备，这都属于车主接受了风险存在的事实，并采取的降低风险发生可能性或损失的措施，我们称之为Accept the Risk或Mitigate the Risk；如果车主认为部署防追尾的设备成本比追尾后修一次车还贵的多，或者因为其他原因而无视追尾危险，这样称之为Reject the Risk，或Ignore the Risk，风险并没有减轻，只是被忽略了。还有一种较为常见的情况是车主通过购买保险，将追尾可能产生的各种费用转移到保险公司身上，这称之为Transfer the Risk，即风险转移。Accept和Transfer是对待风险的常用方式，但在某些不太重要的场合，也可以选择用不作为的方式。
风险的识别、分析和评估、消除、转移整个流程我们称之为风险管理（Risk Management），在进行风险管理的流程时，以下的关键的问题需要弄清楚：
1、 What could happen （Threat event，风险的具体形式，威胁）
2、 If it happened, how bad could it be （Threat impact，威胁的影响程度）
3、 How often it could happen （Threat frequency， 威胁发生的频率）
4、 How certain are the answers to the first three questions （Recognition of uncertainty， 威胁发生的几率和不确定性）
这些问题都可以从风险分析和评估中获得答案，威胁发生的不确定性是风险管理中的核心问题，当然，谁都希望为所有可能发生的情况做好充分的准备，但现实常常不允许我们这样考虑，我们只能够保证优先度最高的部位和风险最有可能发生的部位能部署到风险管理方案。通过风险分析和评估，我们可以从上述4个问题中发现一些无法忽视的风险(Unacceptable Risks)，我们需要部署相应的方案来应对它们，以下的问题需要了解清楚：
1、 What can be done（Risk Mitigation，风险消除方案）
2、 How much will it cost （annualized，方案每年平均成本）
3、 Is it cost effective （Cost/Benefit Analysis，费效比分析）
上述问题的解答将最终决定一个实体对风险对象的最终解决方案，并执行管理层批准、财务提供预算、采购、部署、维护等流程进行实施。对于IT领域，风险管理则更进一步的细化为Information Risk Management（IRM），因为IT技术不断的发展，IRM也是一个没有结束期，需要持续关注的行为。
在进行下面的内容之前，J0ker打算先向大家列出几个关键的名词：
SLE：Single Loss Expectancy，风险发生时的单个对象的损失
ARO：Annualized rate of Occurrence，一年内风险发生的几率
ALE：Annualized Loss Expectancy，风险发生时每年平均损失，ALE=SLE×ARO，即如果一个对象遭遇风险时损失(SLE)是10万元，每年发生该风险的几率(ARO)是1/100，那每年平均损失就是100000×0.01=1000
Information Asset：信息资产，对组织运作起关键作用的信息相关实体，比如客户资料、交易情况等等，信息资产的价值由许多元素组成，包括最基本的信息本身的价值、信息处理支持软件的价值、信息的Availability、Confidentiality、Integrity属性、信息处理所需的硬件设备也可认为属于信息资产，信息资产的价值还可以根据损失它后会对组织造成信息本身价值之外的损失的大小来进行评估。
Qualitative/Quantitative：质化/量化，对于信息资产价值的评估，通常可以采用量化和质化的方式，对于能直接算出资产价值的对象，如设备、软件等，可以用量化的方式，直接算出它的价值。对于另外一些无法量化的对象，如数据、业务流程等，则可以使用质化的方式，请使用该对象的人员，用分级的方式评估该资产的价值，J0ker觉得简单的五分法可以应付一般的任务， 将信息资产按其对组织运营的重要程度，分为非常重要、重要、比较重要、一般、不重要五个级别，并对应1-5分，分值越高，信息资产的重要程度也越高。
Risk：风险，潜在的损失或伤害，请参考本文前面的内容
Threat：威胁，有可能造成风险的因素，比如各种恶意软件、自然灾害等
Safeguard：风险防御措施，通常也称为Control，风险控制措施
Vulnerability：漏洞，风险防御措施的缺失或弱点，通常出现漏洞就意味着风险发生的频率更高和风险发生时损失更大。比如没有安装反病毒软件便可认为是一个漏洞，会使恶意软件攻击的发生几率和损失更大。
信息风险管理是一个复杂的流程，它需要根据每个组织不同的信息资产和业务流程情况，并综合企业管理、经营预算、员工行为等来进行制定并执行。如果大家有兴趣进一步深入IRM的领域，请参考CISSP Official Guide、All in One或其他CISSP参考书。

faster

cissp 的发展会怎样呢？