CISS之路開篇雜言

J0ker的CISSP之路開篇雜言2023年9月22日14:21泡

律J0ker現(xiàn)的CISS荷P之路冰

或今天離通過絕ISC2的鏟Endor扶semen凈t審批差不耐多有一個月爹，一直沒有雜寫點東西總榆結(jié)一下備考醒和考試之中奴的點點滴滴兔，自己想想搞，還是應(yīng)該趟寫點東西，團也當(dāng)是對自廳己努力過的莖一點紀(jì)念周：）管襯J0ke不r覺得自己汽能一次通過菌CISSP族的考試是相須當(dāng)幸運的，制雖然CIS純SP仍然比劣較偏重技術(shù)御方面的考核步，但安全管絮理方面的知鼓識占了整個蝶考試相當(dāng)大顯的份額，而航且考試考核競的范圍之廣屆，可以用令作人發(fā)指來形攏容。。。覺不過還好，熄畢竟過了，徑在ISC2泛的官方站點摘上查過，截飛至今年4月垃31號，國丑內(nèi)的CIS逮SP只有3喘71人，加窄上5月和6編月兩次考試拆的通過者，池估計也在4餐00之內(nèi)（羨每次考試只害有20多人枯，只有一半憂多的通過率普），算起來天J0ker雹還是Top詠500:便P熄窄現(xiàn)在打算辯在IT行業(yè)償里面有較好晨的發(fā)展，一忙兩個認(rèn)證也收是必不可少伐的，雖然從丙業(yè)經(jīng)驗同樣百是很寶貴的榜，許多認(rèn)證堡本身的參加摔考試資格就足需要有多少誰多少年的經(jīng)透驗，這種認(rèn)瘡證必然會使腎持證者的自干身價值上有坊不小的提升辛。但不可否循認(rèn)，因為國菊內(nèi)認(rèn)證機構(gòu)按或者代理機悄構(gòu)的魚龍混褲雜，導(dǎo)致不氧少原來含金昨量挺高的認(rèn)莖證近年來大已大貶值，不國過認(rèn)證的學(xué)止習(xí)和考試過筒程，認(rèn)真學(xué)碗習(xí)的參與者振肯定能受益野不少。對應(yīng)其屆的畢業(yè)生孟來說，持有臺初級的技術(shù)勾認(rèn)證也要比遞其他競爭者梢在選擇工作毀上要更有競或爭力，尤其唯是在現(xiàn)在招裝聘單位都要獨求求職者有門工作經(jīng)驗的濤情況下。肅況之前和安全各頻道的編輯撕Joe討論護過出一個安幼全認(rèn)證的專嚷題，但J0瞎ker一直擁靜不下心來手好好總結(jié)。籠。。最近事嫁情比較少，替所以J0k烏er打算用姓一個系列的性文章，給大打家介紹下C煩ISSP相住關(guān)的知識，殺也和大家交冤流下備考過沫程的心得，多順便也通過逐CISSP卷的課程體系屑，給大家介財紹一下信息遣安全的體系齡和組成。邪

革寫在前面：匠《J0ke錯r的CIS榜SP之路》稱將由15到徐20篇文章佛組成。其中筐詳細(xì)的介紹寨了CISS灰P的相關(guān)知喜識、認(rèn)證備深考經(jīng)過和心上得，另外J貼0ker還涂會從CIS燭SP的角度呆，向大家簡褲單介紹信息香安全的組成開。希望《J矛0ker的捷CISSP情之路》能給奮大家都帶來波幫助。最后籌你們的支持巨就是我不斷背努力向前的賽動力：）查正文嶄作為咽《J0ke祖r的CIS械SP之路》雅系列的第一田篇文章，J阿0ker打史算先簡要向士讀者介紹一妄下CISS倚P的背景知噴識，下面我芳們先來看C爛ISSP認(rèn)擦證的頒發(fā)機煌構(gòu)（ISC話）2：輪

家（ISC）村2是信息安秧全領(lǐng)域的頂耍級認(rèn)證機構(gòu)段之一，成立龜于1989油年，到現(xiàn)在買已經(jīng)給超過朽120個國婦家的五萬多燦名安全專家胖授予了相關(guān)姐認(rèn)證。（I漏SC）2目族前提供如下耐6種認(rèn)證：喚

開SSCP（蒜Syste濕mSec控urity漁Cert猴ifica霧tedP墓racti詳tione笨r）認(rèn)證系幕統(tǒng)安全實踐致者捏

饑CAP（C苦ertif聾icati脅onan鞭dAcc瘡redit鏟ation展Prof灑essio紀(jì)nal）認(rèn)有證和評估專帥家原

邊CISSP雹(Cer錢tific膜ated壤Infor射matio槽nSys仙temS臣ecuri魂tyPr菜ofess倘ional食)認(rèn)證信摧息系統(tǒng)安全扶專家掀

希CISSP拐的升級版本膚CISSP延-ISSA弄P(Inf租ormat此ionS親ystem熊Secu竭rity完Archi夾tectu其rePr留ofess討ional碼)信息系荒統(tǒng)安全架構(gòu)禽專家悔

驅(qū)CISSP沫-ISSM謠P（Inf末ormat喚ionS運ystem狡Secu樸rity嘩Manag解ement小Prof師essio扔nal）信否息系統(tǒng)安全慕管理專家頑

敵CISSP厘-ISSE淹P（Inf蟻ormat燥ionS苦ystem慚Secu掏rity攻Engin摟eerin錘gPro黎fessi顫onal）螺信息系統(tǒng)安足全工程專家鉛

繡（ISC）嗓2同時也向茂公眾提供信申息安全方面頌的教育和咨她詢服務(wù)。(剛ISC)2走的官方網(wǎng)站槍是[url駁]禍://ww掙w.isc她2.org撫[/url或]族

析哈（ISC）蓮2提供的6傅種認(rèn)證中，吸知名度最高紋和持有者人宴數(shù)最多的是歌CISSP侍。截至20屈07年4月隊底，全球共駐有4859切8名CIS忘SP，其中拒人數(shù)最多的屋是美國，現(xiàn)蘭有3038各5名，中國崗大陸有37海1名。因為睛CISSP具的升級版本夸ISSAP嚇和ISSM描P要求考試毯的報名者必辜須是CIS遞SP，而且漆有一定的相等關(guān)領(lǐng)域工作榆經(jīng)驗要求，纖所以在國內(nèi)餓除了香港1欲8名臺灣4瓣名持有者之曬外，大陸還月沒有持有者肺。至于（I土SC）2較譽為低端的S桑SCP和C變AP認(rèn)證，乳由于其定位開和考核內(nèi)容此的原因，在董國際上的接勁受程度不高拌，所以除了盲美加兩國外聚，其他國家涼的持有者都阻很少。朱

您缺CIS袋SP認(rèn)證是飛國際上最權(quán)涂威、最受認(rèn)蠶可的信息安感全認(rèn)證，它宵同時也是信點息安全領(lǐng)域燥第一個通過鄉(xiāng)ISO17撓024:2項003標(biāo)準(zhǔn)吐的認(rèn)證。C婦ISSP主萍要的認(rèn)證對甜象為在企業(yè)肢處于中高層儉、已經(jīng)或?qū)㈤g成為CIS羨O(Chi浙efInf專ormat閣ionSe友curit鼠yOffi耀cer)、冊CSO(C侮hiefS神ecuri慚tyOff邀icer)羨或高級安全趙工程師的信洗息安全專家反。麻

抽窄CISS脊P認(rèn)證的考京核范圍包括雨10個方向津，稱為CB玉K（Com析monBo洽dyofK族nowle砍dge）以捐下按首字母卵排序：洞

歪1、Acc息essCo句ntrol目訪問控制屢

慨2、App業(yè)licat績ionSe蹤curit肥y應(yīng)用安全土（包括開發(fā)脅）杏

伍3、Bus籃iness蠅Conti僚nuity億andDi句saste敲rReco寶veryP鎖lanni及ng業(yè)務(wù)持極續(xù)性和災(zāi)難線恢復(fù)計劃酬

爹4、Cry冬ptogr粱aphy信叮息加密腎

貓5、Inf蘋ormat替ionSe秀curit廟yandR勇iskMa鈔nagem范ent信息事安全和風(fēng)險鋒管理鼠

館6、Leg抖al、Re栗gulat蘋ion、C陳ompli戀ancea半ndInv桶estig寬ation眼法律、法規(guī)值、調(diào)查志

陸7、Ope兼ratio名nsSec先urity差操作安全燃

溜8、Phy修sical腸（Envi淚ronme若nt）Se懷curit主y物理（環(huán)勁境）安全慧

綱9、Sec鞏urity垂Archi鴨tectu酒reand屋Desig債n安全架構(gòu)絹和設(shè)計扮

北10、Te協(xié)lecom手munic堤ation黨andNe某twork繩Secur磚ity通訊抹和網(wǎng)絡(luò)安全母

無迷CISS著P認(rèn)證以考挽察考生對信碌息安全技術(shù)柴掌握的全面雷程度而著稱評，這10個秤CBK里面白幾乎全部包徑含了當(dāng)前信那息安全領(lǐng)域言的知識。不究過CISS音P的試題難盾度并不是大蓬家想象中那均么難，排除遍語言的原因若之外（CI蝶SSP試題屬是全英文的閘），幾年安攤?cè)珡臉I(yè)經(jīng)驗協(xié)再加上考前鹽抽時間認(rèn)真升復(fù)習(xí)，一次笛通過考試的頌幾率還是挺黃大的。用一觀個最恰當(dāng)?shù)姆谰渥觼硇稳葜蹸ISSP詞的考試，就沃是“One慮milew脂ide，O專neinc棉hdeep瞞“，考試范慚圍之廣和試爸題的難易程直度可見一斑鵝。狐勤但試題賀的簡單并不約說明CIS疼SP的試題掩可以輕松搞某定，因為，挑即使沒有語癢言障礙，考濫前也經(jīng)過充歷分的復(fù)習(xí)，帶拿到試卷后秩考生會發(fā)現(xiàn)波CISSP際的考試將是炭一場嚴(yán)峻的革考驗——輸在執(zhí)6堆個小時內(nèi)，絲考生需要完串成符250良道選擇題，點平均每道選洞擇題只有一饑分半鐘的時宵間可以思考耽，而且由于炒CISSP水考試使用標(biāo)番準(zhǔn)化答卷，歇考生要留出母大概半個小怒時的時間把晨答案填到答括卷上，事實緞上考生用來直完成每道題帥的時間只有民一分鐘左右街。盡CISSP井考試也不是顫光靠死記硬東背復(fù)習(xí)資料揚就能解決的向，大部分題珠目都是給出遼現(xiàn)實中的一視個場景，讓陜考生分析后卸再選出正確瀉的答案，有低些迷惑性比趟較強的題目繪不是蠢4文選薄1嬸，而只能憑結(jié)感覺在伴2膜個相似答案顆中選其一。當(dāng)

雖枯每次同CISSP默考試的通過藍率都不算低幕，但還是有望大概一半的身考生無法通韻過考試。他該們并不是說擾個人能力有而問題，很大誼程度上還是列因為CIS賞SP考試考刷察的范圍太須廣。盡管如當(dāng)此，J0k鄭er依然相靠信，即使他放們沒有通過砌CISSP踢的考試，但駕通過學(xué)習(xí)C輛ISSP的撞課程，他們妖對信息安全虛的知識水平鐵和整體把握殊能力都會有末一個較大的殿提升，這將派成為他們安已全從業(yè)經(jīng)歷昏中一份不可誰多得的寶貴洋經(jīng)驗。駝

俗在上一篇文冶章《Wha腳t'sC丘ISSP》按里，J0k艘er簡單介奔紹了CIS襲SP及認(rèn)證瓶機構(gòu)（IS菠C）2的背閘景。相對于妻知道CIS帳SP或者（跨ISC）2奴這兩個抽象效的概念，讀郵者肯定對為柄什么要獲得慮CISSP鍋認(rèn)證、獲得多CISSP領(lǐng)有什么好處叉和CIS漸SP主要從廚事什么工作顧這樣的問題披更感興趣，謠J0ker鄉(xiāng)將在本文中妻結(jié)合自己的凈經(jīng)歷給讀者櫻解答一下。鞠

踐第一個問題才，為什么要川獲得CIS摩SP呢？峽

覆信旺息安全是一竹個相對的概再念，在安全僵威脅很低的經(jīng)情況下，安勁全專家通常看是被人們所頌遺忘的對象墳。但隨著信蘭息技術(shù)的發(fā)室展，當(dāng)年只積有精通系統(tǒng)刺和網(wǎng)絡(luò)底層慣，推動技術(shù)約進步的高手宮才能被稱為徒黑客，現(xiàn)在跡隨便一個會朵用網(wǎng)絡(luò)的再侵隨便找些入決侵工具也自份稱為黑客，橫技術(shù)門檻的險降低和對技值術(shù)的追求轉(zhuǎn)煉化為對金錢戰(zhàn)的追逐——標(biāo)越來越多的版入侵事件、燈惡意軟件的底傳播、還有立時不時出現(xiàn)叮在媒體上的伙高智商犯罪印等就是這些君所謂柳“罪后起之秀隨”磁的杰作。面困對越來越嚴(yán)狐重的安全威虹脅，不單在反IT脾技術(shù)領(lǐng)域，催在各行業(yè)的糕企業(yè)組織都橡越來越意識信到信息安全個的重要性，砍但單純依靠患技術(shù)方案來瀉并不能解決洞如何保護企竹業(yè)信息資產(chǎn)薦的問題，所榮以市場對專栗業(yè)的信息安窗全人才的需軍求也在隨之劫大大增加。望而女CISSP戚則可以證明同持有者掌握嶺國際公認(rèn)的儉信息安全知拍識和標(biāo)準(zhǔn)、雀并擁有豐富野的安全從業(yè)陡經(jīng)驗，保持嘆CISSP芹認(rèn)證的有效惡性還可以顯日示持有者對柜信息安全的敵發(fā)展和技術(shù)炒進步有很高至的熱情，并查愿意為信息偷安全貢獻自梢己的一份力諷量。此外，兔獲得辭CISSP客認(rèn)證還有其牽他的好處，獲比如：繭

父1、適應(yīng)脊市場中越來庫越熱的對信奉息安全人才驅(qū)的需求哈

用2、增加腸對信息安全肚的知識和概荒念的理解表

來3、為當(dāng)滲前的工作增深加信息安全運的理念利

臘4、在日奮益激烈的職瓜場競爭中增遭強自身優(yōu)勢臨

淡5、在薪膛水增長和職證務(wù)提升上更絡(luò)有優(yōu)勢摩

辣J朽0ker是她2004年遇聽朋友（國任內(nèi)最早的C桑ISSP之月一）說起C廢ISSP是劑國際上最權(quán)略威的信息安錄全認(rèn)證，也脫覺得應(yīng)該要灑提升一下自增己的層次，目所以就開始亡注意上這個牙認(rèn)證，但因州為種種原因糾，一直到今去年才考。之王前一直認(rèn)為蛙CISSP痕只是單純的遠(yuǎn)技術(shù)認(rèn)證，鞋但接觸上之濾后才發(fā)現(xiàn)，蚊CISSP抖其實是涵蓋擇了信息安全以的各個方面沙，著重突出宏了信息安全共是由技術(shù)和竭管理構(gòu)成的卡整體這一觀竭點，J0k么er在學(xué)習(xí)摧CISSP日的過程中受愁益頗多，不梳單鞏固了和鄉(xiāng)自己工作相胞關(guān)的Acc尾essC編ontro筍l、Ope典ratio者nSec目urity腿和Tel環(huán)ecomm叉unica婆tion避&Net兆work億Secur勸ity三批個CBK的距知識，同時盡好好的補充驕了其他七個漸CBK的知襯識，也對C群ISSP認(rèn)千證所強調(diào)的肚整體安全和賣管理高于技遙術(shù)兩個觀點鄰有了深刻的延體會。學(xué)習(xí)群CISSP奮，本身就是約一個對學(xué)習(xí)賴者安全知識丹體系進行完字善的過程，短相信其他C量ISSP或隸學(xué)習(xí)過CI潤SSP的讀叢者也有相似價的體會。束

墓OK，我們統(tǒng)轉(zhuǎn)到下一個針問題，CI廊SSP都從枯事什么工作塘？售

肯先終說說國外的津情況，以美街國為例，剛湯拿到CIS診SP認(rèn)證的東人，在企業(yè)隨中大多從事暴安全管理員予、安全產(chǎn)品茂的開發(fā)或安鍋全服務(wù)的具束體執(zhí)行工作妹，頭銜一般尸就是Sec寄urity測Admi籃nistr掛ator、禾Secur畫ityA蘋nalys滾t或Sec逢urity退Engi閃neer。郊隨著工作經(jīng)寧驗的增加，憐CISSP找會漸漸脫離謠具體的技術(shù)僵工作，轉(zhuǎn)而留從事更偏重將管理、處于得企業(yè)中層的噴工作，比如掠安全產(chǎn)品開逢發(fā)團隊或安唇全服務(wù)團隊遷的領(lǐng)導(dǎo)、安樣全咨詢、安柄全培訓(xùn)講師渣和安全部門鏈經(jīng)理等，頭迎銜則變?yōu)镾戲enior歌Secu紋rity撇Analy錄st/En盲ginee職r、Sec至urity植Team辦Lead丙er、Se芬curit抖yCon草sulta董nt、Se荒curit容yMan找ager等逼。最后，碎CISSP圓會進入企業(yè)千管理高層，肉管理整個企率業(yè)的信息安穩(wěn)全或IT，負(fù)頭銜則變?yōu)榍肈irec朗toro耽fIT/齡Secur育ityd炊epart樸ment、擺Chief霸Secu錯rity騙Offic趁er或Ch愛iefI蠢nform唱ation匪Secu唐rity誰Offic欄er。扁

猛國蔑內(nèi)的情況稍饑有不同，除尤了少部分C涌ISSP做但的是安全產(chǎn)森品/服務(wù)的逢售前/售后裝和安全工程冷師外，有相補當(dāng)一部分C葵ISSP是瘦從事安全咨鳥詢、培訓(xùn)方透面的工作，袋更多的是處修于企業(yè)中高臺層管理的位泉置，讀者如福果有興趣了旁解更詳細(xì)的海情況的話，箏可以從(I暮SC)2官銷方站點上的千Membe州rDir強ector劉y功能中查嶼詢。用

僚最玉后說說大家誤最感興趣的勢CISSP佛薪水問題，計因為國內(nèi)C浩ISSP薪罷水的總體情您況J0ke損r也不是很莫了解，在此恭就借用（I涼SC）2蕩2006年乓度的官方報職告來說一下先，CISS建P薪水水平怨的分布成金扶字塔型，職混務(wù)越高薪水頃越高，人數(shù)協(xié)也越少。還伸是以美國為寨例，200晶6年CIS澡SP的平均戰(zhàn)年收入為：齒

親ITAd珍minis誦trato賺r：$4溪5000-答$5500散0者

陵Infor蓄matio椅nSec起urity守Admi寄nistr哪ator：柏$7500綁0慧

久Secur棗ityA音nalys草t/Eng子ineer銹：$800般00牲

飼Manag肅er，I扔nform梨ation筍Secu洪rity算:$1傅00000經(jīng)

得CISO,畢CSO蘇：$150親000及爽以上遮

條另外，國內(nèi)田和國外相同寶的一點是，潛拿到CIS仗SP認(rèn)證之考后通常待遇豐都會有所提抽升。法

尼在上一膛篇文章《W揚hyCI消SSP》里痕，J0ke卡r介紹了為仍什么要獲得別CISSP刻認(rèn)證和CI線SSP的職副業(yè)發(fā)展情況照。那需要通塞過怎樣的流鑄程才能成為趙一個CIS枕SP？J0只ker打算奪在從本文開遇始的3個文蘋章中，從參定加CISS漁P認(rèn)證考試凳的條件及報輩名流程、C斃ISSP考倍試的過程和認(rèn)應(yīng)注意的問摔題和CIS絨SP考試通災(zāi)過后的取得攔認(rèn)證的手續(xù)枝及CISS動P認(rèn)證的維持護這三個方恩面來向大家酒介紹。胳

泄一、參加C訊ISSP認(rèn)巴證考試的條改件：僵

僚資根據(jù)（IS展C）2目前醋的CISS軟P考試需求巖，考試的報李名者需要具剝備信息安全乖領(lǐng)域涉及1醉個或以上C碌BK的4年挽工作經(jīng)驗，蛛注意這個工蘿作經(jīng)驗指的應(yīng)是信息安全崗領(lǐng)域的全職附工作經(jīng)驗，當(dāng)兼職的不能配算，(IS倒C2)認(rèn)可預(yù)的工作經(jīng)驗得，指報名者舟在信息安全筒領(lǐng)域作為實規(guī)踐者、審計蹄師、咨詢、菊工程師等需擁要有直接的志信息安全知鉆識支持的工罵作經(jīng)歷。如饑果報名者有養(yǎng)本科及以上砌學(xué)歷或擁有豬（ISC）睬2認(rèn)可的認(rèn)竊證證書，工覽作經(jīng)驗的要略求可以降為癢3年，但報帥名者只能通叼過學(xué)歷或認(rèn)蘿證證書減少狡1年的工作需經(jīng)驗要求，鍵并不能同時鉆使用學(xué)歷和躲認(rèn)證證書以淹減少工作經(jīng)包驗要求為2概年。(I京SC)2認(rèn)扯可的可以減半少1年工作某經(jīng)驗的證書浪中，常見的狠有MCSE扯、CISA肅、CISM戶及一些比較令少見的安全紡認(rèn)證，有興逮趣的讀者可丑以從(IS厚C)2的官廈方站點上[查url]h沾ttps:恥//www夫.isc2虜.org/合cgi-b恒in/co賭ntent偏.cgi?擴page=的1016[球/url]不獲得更詳旋細(xì)的列表。友如果讀者對廚CISSP漿認(rèn)證很有興磨趣，但工作袖經(jīng)驗又達不縮到（ISC像）2的要求澡，怎么辦？齡不要氣餒忍，（ISC韻）2專門為數(shù)這種情況的病考試者設(shè)立圍了一個稱為濟“Asso遺ciate違of(撲ISC)2宅”的頭銜，撞考試者在通倡過CISS脊P考試，在娛實際工作中迫積累足夠年帥限的工作經(jīng)炮驗，便可向槍(ISC)主2申請升級史為正式的C揀ISSP。霜

前不尖過要注意的購是，(IS般C)2在五若月份修改了丘CISSP娃認(rèn)證考試對殲報名者的工炸作經(jīng)驗要求李，從200聰7年的10讀月1日開始?xì)猓瓉淼?逐年全職工作宋經(jīng)驗要求增向加到5年，艷工作中要涉當(dāng)及到的CB咸K數(shù)目的要瀉求則從至少慰一個增加為奔至少兩個。討報名者依然班可以通過學(xué)槳歷和認(rèn)證證異書來減少1建年的工作經(jīng)遣驗要求，認(rèn)私證證書列表聚和年限放寬加的限制和原蓮來一樣。噴

億C碎ISSP認(rèn)英證考試的報抱名者在填寫飛報名表之前貧，還需要同錯意(ISC狼)2的認(rèn)證拖考試的付款躲、退款、重倉付款的規(guī)則所和考試保密廚協(xié)議及試卷棕的版權(quán)協(xié)議扮，還有最重攪要的，(I伶SC)2的刻CISSP鈴道德準(zhǔn)則(繩Code久ofEt后hic)。重另外，報名幕者在填寫報貨名表時，還公需要回答4桿個關(guān)于是否畏有犯罪記錄氣背景的問題萄。好

顆相信哄大家在以上滴的工作經(jīng)驗促要求和個人扁背景要求都廊沒有問題，榴CISSP母的道德守則茄就是要求C諒ISSP有隸誠實的品質(zhì)悠，大家按自名己的真實情傍況進行填寫德即可。富

竄二、CIS奶SP認(rèn)證考現(xiàn)試的報名流究程：恭

把目輩前CISS跌P考試在中程國有三個考乒點，北京的脂清華大學(xué)網(wǎng)前絡(luò)研究中心烏、上海的交友大信息安全隙學(xué)院和廣州柴的軟銀數(shù)碼油港酒店，大佳家可以根據(jù)疊自己的方便思程度來選擇綠考點?？?/p>

棗C榨ISSP考弄證只能由報賴名者自己向失（ISC）鐘2報名，(厲ISC)2之并沒有提供轟代理報名的谷方式，這一枕點請大家注她意。目前(臭ISC)2企提供2種C謀ISSP考子試的報名方比式，在線報劉名和離線郵砍件/報淚名。前者適夢合上網(wǎng)方便臘、有信用卡廁的報名者，武后者則比較耍適合沒有信談用卡的報名荒者。在線報屋名的網(wǎng)址是些：亞

采[url]守s犁://ww退w.isc耗2.org自/cgi-譯bin/c撇issp_服regis耕ter.c膛gi?ex悼amdat筆eid=2再877[/能url]攝

訓(xùn)離暈線報名方式惡需要報名者熟到（ISC貴）2網(wǎng)站上松下載報名表孫，按表上要蝴求填寫后郵茶寄或到慮表格上所寫宇明的地址。辮亞洲區(qū)域的跨報名者使用獨以下地址的馬報名表：姑

遲[url]遺s瞇://ww多w.isc譽2.org鏟/down棋load/安ExamR鳳egist閑ratio艷n莖FormA毫sia.p頑df[/u罵rl]稠

脆J娃0ker在悟這里要提一理下，因為郵帥寄或有漏可能有延時旺，所以建議仆報名者盡量救采用在線報屢名的方式注醫(yī)冊CISS頭P考試。叨

鎖報全名者在選擇辭報名方式的課同時也選擇培了考試費的優(yōu)支付方式，鑰如果是在線瓜報名方式，編報名者需要惡用信用卡支日付，請確保巾信用卡的可金用額度足以店支付報名費黑用，使用支疤持RMB和蜜美元的雙幣惕信用卡即可粉，比如招商賽銀行的信用藏卡。另外，統(tǒng)沒有信用卡種的報名者還套可以請別人遷代為支付，爐按在線報名卷表格的要求貧填寫信用卡磚信息就可以吊了，但聽有暢的朋友說請否別人用某些禮銀行的信用橫卡代為支付憶的時候，會限因為（IS朱C）2提供館的支付回執(zhí)栽上寫的是報絲名者的名字壽而非信用卡乳主人的名字昂，從而導(dǎo)致頭支付失敗。弦J0ker猛報名也遇到嫁的這種情況流，支付回執(zhí)浴上寫的就是翁J0ker亞的名字而不腫是信用卡主潑人的名字，隨但支付是成奇功的，當(dāng)時獻用的就是招顧行的信用卡內(nèi)。對于沒有凈信用卡的報財名者來說，狀還有一種方夢法可以付款貴，那就是到弄銀行去購買掠一張匯票（柱Draft族），填寫好泛相關(guān)信息后勿和打印出來查填寫好的報吃名表一塊郵功寄到(IS灰C)2香港認(rèn)辦事處就可救以了，不過抬這種方法會刷比較耗時。夜

完CI辱SSP考試蛋的報名費在拌預(yù)定考試1患5天之前支鉤付為499偷美元，15助天之內(nèi)為5煤99美元。刮如果報名者靈因為各種原散因需要取消紅或改時間考饑試，則需要振最少比考試宵提前15天徒用書面通知戀（ISC）雅2，并且還奧要支付10哄0美元的退余考費或改時刻間考試費。晶如果某一次敵考試的報名渣人數(shù)超過了撿考場可以容追納的最大人帳數(shù)，(IS岔C)2會根后據(jù)報名費的糕到達順序按匹先到先得的旨原則安排考遞試。眨

織三、最后J置0ker帶師大家簡單走派一下CIS具SP考試在箱線報名的流停程觀

梢進入(IS方C)2的官燕方站點坑

嘆打棵開(ISC勺)2考試預(yù)版約頁面，地景址為：[u排rl]ht告tps:/燕/屋isc2.蠻org/c蟲gi/ex語am_sc聽hedul遣e.cgi碌[/url控]執(zhí)

森在要出現(xiàn)的頁面秤上可以按照填考試的城市勇、國家或月難份進行查詢通，我們選國曠家為Chi鋤na，搜索干列出當(dāng)前年冤份將在中國蘿進行的CI瘡SSP考試付，然后在隨應(yīng)后的兩個頁糞面中選擇考外試的時間（于Regis邀ter）及稍考試的類型毛（CISS弟P）租

弓下掏一個頁面就旦是（ISC歐）2的考試印收費規(guī)則、厭保密協(xié)議和價道德準(zhǔn)則，柔請報名者先療仔細(xì)閱讀，殘同意的話按追底下的“I獸agree琴”按鈕繼續(xù)籌

培報名表填寫曠：揭

待第請一欄的Pe畏rsona敲lInf榮ormat副ion和第托二欄的Bu玻sines某sInf額ormat錘ion就是灰報名者的個愛人信息、聯(lián)藥系信息，按薯規(guī)定填寫即乏可。妹

弄有2披個細(xì)節(jié)需要分注意一下，綁第一個是姓憲名填寫的地堅方，Tit首le就填M吵r、Mis順s之類的，達Last池Name填勺名，F(xiàn)am愧ilyN配ame填姓充，報名者不宜用擔(dān)心倒過齡來寫在考試血時會遇到麻理煩，監(jiān)考官耐手上的名單春的考試者名裙字順序是對也的。另外一派個細(xì)節(jié)是B蒸usine愛ssIn霜forma坡tion的看最底一行有艷選擇Hom史eAdd睬ress或組Busin悲essA克ddres扣s的選項，蠟這個選項決抵定（ISC頓）2按哪個脹地址和報名膜者進行E-銜mail的陡聯(lián)系和證書皺的寄送，請促報名者確保束填寫的地址分有效。苗

叫接混著就是報名喝者的背景信呈息，第三項撲是上面說過撤的是否有犯掏罪背景和報建名者是否曾題經(jīng)持有CI站SSP認(rèn)證察，第四項是劍報名者的工蕩作經(jīng)驗和學(xué)線歷，按實際略情況填寫即砍可。不過要沃注意CBK蛇的填寫是多笑少個月從事膛什么CBK僑的工作，總該CBK工作趙的時長應(yīng)該沖滿足（IS負(fù)C）2所規(guī)境定的CIS登SP考試的框工作經(jīng)驗需返求。張

疏征再下來就是蠶考試地點選股擇和信用卡宮付款信息，穴選好考試時出間和地點、洗試卷語言、刊支付幣種，篇再根據(jù)信用雄卡信息填妥施，檢查一遍殼。確認(rèn)無誤席之后，就可襯以點擊頁面同最下方的”丈Sumit助“提交報名鎮(zhèn)表格和支付抹考試費。注冊意不要多次陰點擊提交按匯鈕或重復(fù)提席交表單，否蘿則就會造成鋼多次支付?；?/p>

孤磚提交成功后惑，頁面會重渾定向到一個復(fù)支付回執(zhí)頁歉面，上面是住報名者信息復(fù)、支付款項召和考試協(xié)議造，最好用網(wǎng)徹頁另存為將闖它保存下來厲。報名者還穩(wěn)需要將它打虹印出來，簽右上自己的名枝字，考試時票需要給監(jiān)考的官看，以證膏明報名者同強意考試協(xié)議滾。況

盞另畏外，交易成春功后，(I辦SC)2會褲發(fā)送一個O可rder荒Confi療rmati敵on郵件，魔確認(rèn)報名者蜘已經(jīng)交款成跑功。在第二蔥天(ISC敏)2還會發(fā)慮送一個Ad淘missi絞onLe田tter，革里面就是報脆名者的準(zhǔn)考紙證，上面有召考號、考場宜位置、考試好時間等內(nèi)容賢，報名者也腳需要把它打古印出來保存陸好，考試時撐同樣需要帶陣到考場。至器此，CIS技SP考試的商報名即告完這成。涉

德在上一贏篇文章《W家hyCI誘SSP》里蜜，J0ke堪r介紹了為災(zāi)什么要獲得愁CISSP魔認(rèn)證和CI攝SSP的職祥業(yè)發(fā)展情況核。那需要通贊過怎樣的流沉程才能成為演一個CIS鬼SP？J0駱ker打算善在從本文開做始的3個文扭章中，從參故加CISS父P認(rèn)證考試雞的條件及報飄名流程、C金ISSP考副試的過程和泥應(yīng)注意的問摔題和CIS查SP考試通土過后的取得臭認(rèn)證的手續(xù)澆及CISS跟P認(rèn)證的維呢護這三個方骨面來向大家資介紹。得

犁一、參加C贊ISSP認(rèn)扯證考試的條接件：頂

懇絹根據(jù)（IS至C）2目前脾的CISS柱P考試需求般，考試的報奮名者需要具癥備信息安全惱領(lǐng)域涉及1乳個或以上C俗BK的4年湖工作經(jīng)驗，乓注意這個工富作經(jīng)驗指的犬是信息安全錘領(lǐng)域的全職際工作經(jīng)驗，鎮(zhèn)兼職的不能過算，(IS墻C2)認(rèn)可廚的工作經(jīng)驗織，指報名者軌在信息安全燒領(lǐng)域作為實竹踐者、審計劣師、咨詢、底工程師等需規(guī)要有直接的瓦信息安全知椅識支持的工災(zāi)作經(jīng)歷。如厚果報名者有曬本科及以上伙學(xué)歷或擁有帥（ISC）切2認(rèn)可的認(rèn)末證證書，工迷作經(jīng)驗的要熔求可以降為崇3年，但報肅名者只能通煙過學(xué)歷或認(rèn)薯證證書減少休1年的工作最經(jīng)驗要求，抄并不能同時即使用學(xué)歷和漲認(rèn)證證書以撕減少工作經(jīng)饞驗要求為2水年。(I底SC)2認(rèn)襖可的可以減碌少1年工作返經(jīng)驗的證書惜中，常見的患有MCSE約、CISA軟、CISM店及一些比較析少見的安全塔認(rèn)證，有興汽趣的讀者可勉以從(IS宮C)2的官證方站點上[分url]h棟ttps:段//www醒.isc2啄.org/枕cgi-b味in/co娘ntent葬.cgi?文page=衣1016[登/url]塌獲得更詳待細(xì)的列表。恒如果讀者對麻CISSP號認(rèn)證很有興押趣，但工作牢經(jīng)驗又達不滑到（ISC彈）2的要求粉，怎么辦？候不要氣餒損，（ISC丈）2專門為搜這種情況的感考試者設(shè)立宏了一個稱為肺“Asso收ciate堂of(回ISC)2萬”的頭銜，烤考試者在通償過CISS慌P考試，在服實際工作中支積累足夠年吐限的工作經(jīng)撥驗，便可向蘇(ISC)局2申請升級怨為正式的C舅ISSP。蘭

磚不勝過要注意的范是，(IS掠C)2在五裁月份修改了顛CISSP底認(rèn)證考試對縣報名者的工墻作經(jīng)驗要求德，從200趨7年的10小月1日開始還，原來的4丈年全職工作羊經(jīng)驗要求增扭加到5年，雕工作中要涉真及到的CB狠K數(shù)目的要樓求則從至少恰一個增加為叉至少兩個。曲報名者依然以可以通過學(xué)喬歷和認(rèn)證證伸書來減少1翁年的工作經(jīng)賞驗要求，認(rèn)釘證證書列表匯和年限放寬電的限制和原含來一樣。綿

嘗C鉤ISSP認(rèn)漲證考試的報底名者在填寫凡報名表之前迅，還需要同式意(ISC侵)2的認(rèn)證句考試的付款駛、退款、重弱付款的規(guī)則囑和考試保密曉協(xié)議及試卷罵的版權(quán)協(xié)議斤，還有最重渴要的，(I斯SC)2的于CISSP敗道德準(zhǔn)則(尚Code裁ofEt虧hic)。獲另外，報名鬧者在填寫報丘名表時，還月需要回答4搖個關(guān)于是否公有犯罪記錄站背景的問題授。夠

襖相信犧大家在以上瓣的工作經(jīng)驗丈要求和個人悔背景要求都峰沒有問題，用CISSP爭的道德守則執(zhí)就是要求C活I(lǐng)SSP有鑒誠實的品質(zhì)交，大家按自葬己的真實情怠況進行填寫疲即可。助

級二、CIS夠SP認(rèn)證考夾試的報名流射程：癢

聲目鋒前CISS籠P考試在中爪國有三個考洪點，北京的他清華大學(xué)網(wǎng)混絡(luò)研究中心萍、上海的交手大信息安全宴學(xué)院和廣州鮮的軟銀數(shù)碼劃港酒店，大速家可以根據(jù)若自己的方便雅程度來選擇費考點。頓

映C蠶ISSP考獻證只能由報炒名者自己向死（ISC）厘2報名，(罷ISC)2湊并沒有提供套代理報名的拼方式，這一趨點請大家注禾意。目前(瓣ISC)2希提供2種C緒ISSP考庭試的報名方斯式，在線報堤名和離線郵遞件/報脈名。前者適盆合上網(wǎng)方便白、有信用卡握的報名者，功后者則比較榆適合沒有信承用卡的報名昂者。在線報獅名的網(wǎng)址是僻：飄

凡[url]建s皺://ww便w.isc勇2.org船/cgi-掘bin/c紗issp_隙regis扮ter.c爭gi?ex不amdat刃eid=2望877[/糧url]肝

麥離要線報名方式沃需要報名者煎到（ISC嫌）2網(wǎng)站上材下載報名表才，按表上要葡求填寫后郵仁寄或到愛表格上所寫氏明的地址。身亞洲區(qū)域的直報名者使用劫以下地址的釀報名表：形

樂[url]腰s反://ww券w.isc控2.org詳/down突load/礦ExamR梁egist懼ratio境nForm秘Asia.賀pdf[/倚url]冬

云J堅0ker在票這里要提一妥下，因為郵慎寄或有壇可能有延時李，所以建議衰報名者盡量罰采用在線報雷名的方式注茶冊CISS并P考試?？s

態(tài)報民名者在選擇蘿報名方式的斬同時也選擇鴉了考試費的烏支付方式，爽如果是在線側(cè)報名方式，給報名者需要炭用信用卡支挪付，請確保夕信用卡的可簽用額度足以威支付報名費刷用，使用支眨持RMB和僑美元的雙幣凳信用卡即可吼，比如招商恩銀行的信用膽卡。另外，唇?jīng)]有信用卡稀的報名者還矛可以請別人虜代為支付，堂按在線報名仍表格的要求舉填寫信用卡牧信息就可以挺了，但聽有慣的朋友說請環(huán)別人用某些轟銀行的信用腎卡代為支付質(zhì)的時候，會夫因為（IS抓C）2提供宣的支付回執(zhí)炮上寫的是報各名者的名字扇而非信用卡覽主人的名字克，從而導(dǎo)致刻支付失敗。斜J0ker脈報名也遇到址的這種情況壟，支付回執(zhí)浴上寫的就是沾J0ker贈的名字而不捐是信用卡主贊人的名字，詢但支付是成拾功的，當(dāng)時盤用的就是招有行的信用卡縫。對于沒有愈信用卡的報壤名者來說，卻還有一種方羅法可以付款謙，那就是到悲銀行去購買稠一張匯票（創(chuàng)Draft親），填寫好冬相關(guān)信息后銹和打印出來北填寫好的報罪名表一塊郵軟寄到(IS獎C)2香港芹辦事處就可開以了，不過橡這種方法會紡比較耗時。白

剃CI宗SSP考試曠的報名費在雪預(yù)定考試1妹5天之前支大付為499更美元，15覆天之內(nèi)為5裕99美元。警如果報名者鋸因為各種原坐因需要取消碰或改時間考杯試，則需要背最少比考試歌提前15天曉用書面通知淘（ISC）后2，并且還根要支付10蜘0美元的退書考費或改時躺間考試費。資如果某一次配考試的報名鉗人數(shù)超過了傳考場可以容怨納的最大人陸數(shù)，(IS皮C)2會根升據(jù)報名費的澆到達順序按釋先到先得的容原則安排考厲試。唇

搞三、最后J例0ker帶休大家簡單走納一下CIS駐SP考試在謠線報名的流扣程裕

潑進入(IS顆C)2的官煎方站點座

網(wǎng)打畝開(ISC紡)2考試預(yù)猶約頁面，地從址為：[u遞rl]ht嬌tps:/晶/旋isc2.徐org/c駕gi/ex狠am_sc趣hedul閉e.cgi鑼[/url機]次

興在響出現(xiàn)的頁面禽上可以按照果考試的城市槐、國家或月馳份進行查詢桂，我們選國箭家為Chi使na，搜索藝列出當(dāng)前年品份將在中國印進行的CI嬸SSP考試快，然后在隨驢后的兩個頁擁面中選擇考耍試的時間（直Regis洞ter）及誘考試的類型夜（CISS遙P）堡

送下小一個頁面就容是（ISC晨）2的考試用收費規(guī)則、疏保密協(xié)議和見道德準(zhǔn)則，股請報名者先尋仔細(xì)閱讀，頑同意的話按量底下的“I賞agree敞”按鈕繼續(xù)酬

遇報名表填寫匯：定

虛第戚一欄的Pe若rsona賺lInf薦ormat撲ion和第砍二欄的Bu基sines闖sInf搜ormat兵ion就是煉報名者的個剝?nèi)诵畔?、?lián)抖系信息，按餓規(guī)定填寫即蓄可。蓮

崗有2焦個細(xì)節(jié)需要泊注意一下，咽第一個是姓逆名填寫的地隨方，Tit慰le就填M蛇r、Mis館s之類的，亮Last估Name填凱名，F(xiàn)am記ilyN撞ame填姓妙，報名者不艘用擔(dān)心倒過侄來寫在考試雜時會遇到麻底煩，監(jiān)考官薯手上的名單鍬的考試者名劍字順序是對貪的。另外一專個細(xì)節(jié)是B濟usine皂ssIn團forma毅tion的編最底一行有僻選擇Hom慢eAdd巧ress或閃Busin悠essA幫ddres圖s的選項，幟這個選項決葛定（ISC于）2按哪個聚地址和報名財者進行E-算mail的機聯(lián)系和證書濾的寄送，請恰報名者確保粒填寫的地址逮有效。深

族接昏著就是報名嚷者的背景信此息，第三項材是上面說過隸的是否有犯智罪背景和報率名者是否曾鉛經(jīng)持有CI拜SSP認(rèn)證以，第四項是刻報名者的工爐作經(jīng)驗和學(xué)普歷，按實際亮情況填寫即閑可。不過要虧注意CBK徒的填寫是多彎少個月從事餅什么CBK約的工作，總牲CBK工作終的時長應(yīng)該盜滿足（IS編C）2所規(guī)垂定的CIS藏SP考試的貪工作經(jīng)驗需熟求。斗

花成再下來就是琴考試地點選蛋擇和信用卡乞付款信息，北選好考試時爽間和地點、步試卷語言、控支付幣種，啄再根據(jù)信用禮卡信息填妥工，檢查一遍漸。確認(rèn)無誤優(yōu)之后，就可倘以點擊頁面餃最下方的”起Sumit孕“提交報名上表格和支付湯考試費。注么意不要多次萬點擊提交按慶鈕或重復(fù)提針交表單，否頑則就會造成借多次支付。挽

詢末提交成功后莫，頁面會重翼定向到一個贊支付回執(zhí)頁矩面，上面是灶報名者信息盲、支付款項競和考試協(xié)議很，最好用網(wǎng)畝頁另存為將猾它保存下來季。報名者還蕉需要將它打漠印出來，簽歲上自己的名禍字，考試時僅需要給監(jiān)考率官看，以證蛇明報名者同夸意考試協(xié)議統(tǒng)。掃

凡另劣外，交易成獄功后，(I烤SC)2會因發(fā)送一個O確rder希Confi鴿rmati繼on郵件，認(rèn)確認(rèn)報名者章已經(jīng)交款成注功。在第二矮天(ISC望)2還會發(fā)方送一個Ad疏missi川onLe酬tter，嘗里面就是報渣名者的準(zhǔn)考油證，上面有鑒考號、考場艙位置、考試毒時間等內(nèi)容落，報名者也長需要把它打怎印出來保存剩好，考試時鉛同樣需要帶凝到考場。至毛此，CIS帆SP考試的紙報名即告完貫成。條

籌在上一篇遲文章《Ho壁wCIS怪SP2》中慎，J0ke險r向大家介朋紹了CIS制SP考試前均的食住行和鹽考試中要注耳意的問題。須那么，成功悔通過CIS蛾SP考試之總后還要通過也什么手續(xù)才扒能拿到CI侮SSP認(rèn)證棚？獲得CI錯SSP認(rèn)證劃之后如果?？斐终J(rèn)證？J雜0ker將第在本文中為新大家一一解妹答。穿

解收到考試成匙績單壓

凳淡參加CIS鐮SP考試之南后，考生大炸概要等2個荒星期才能收朗到（ISC廊）2用E-磨mail發(fā)鼻來的考試成帳績，通過的渠考生會收到冤一封祝賀信洲，并帶有一貞個PDF附知件（End醬orsem冰ent表格慮），另外，泄信中還介紹睡了如何進行庸下一步手續(xù)螞的簡單介紹姜?？忌绻偈盏降氖且慌灧獍荚嚫鸪煽兒?0究個CBK評北價的E-m開ail，則間說明考生沒缺有通過考試絮，而考生對回10個CB升K的掌握程冤度與評價的嘉分值成反比外。沒有通過墓的考生也不暮要氣餒，可架以針對(I惰SC)2考因試結(jié)果郵件恥中的CBK法評價，有重存點的再次進蒙行復(fù)習(xí)，G咱oodL管uck!回

齡背景證明—詢—Endo竭rseme牛nt憶

趁如(IS折C)2為了擊保證CIS鍬SP認(rèn)證的品可信性，采毫用了第三方閣確認(rèn)的方式翠對通過CI砍SSP考試元的考生進行燈專業(yè)知識和窮工作經(jīng)驗進茶行確認(rèn)，這追個流程稱為晃背景證明，孫也是常說的夢Endor叼semen經(jīng)t，（IS文C）2會把賢Endor餅semen只t表格隨C刃ISSP考困試的結(jié)果郵講件一起發(fā)送孕給通過考試換的考生。(品ISC)2總規(guī)定End鞠orsem摟ent的簽勿署人必須持陵有(ISC馬)2認(rèn)可的杜認(rèn)證，比如羊CISSP鍛、CCIE流、MCSE植、BS77園99LA等射，或者必須購是考生所在輪單位的高層曲領(lǐng)導(dǎo)（通常畢是CTO、徑CEO，部與門經(jīng)理級別鏟的不可以）蠻，這樣簽署刊的Endo恥rseme端nt才會被冤(ISC)項2所接受。均需要注意的甚是，從20串07年9月登開始，(I頁SC)2修蝕改了對En提dorse艷ment簽羨署人的要求使，要求簽署茂人必須持有駐(ISC)港2系列認(rèn)證勝（CISS紡P/SSC夫P），這樣蛋簽署的En請dorse乖ment才假會被(IS輝C)2所接痕受的。J0洞ker認(rèn)為希，（ISC甩）2提高E拉ndors胸ement碼的簽署人要爪求，更有利昌于控制新進昌CISSP汁的質(zhì)量，防響止出現(xiàn)現(xiàn)在待國內(nèi)某些認(rèn)首證泛濫和貶客值的情況，馳另外，由(捷ISC)2拔認(rèn)證持有者歲來做End顏orsem憐ent的簽處署人，也能錘更好的根據(jù)怖CBK來對豆考生的經(jīng)驗懸進行二次確漿認(rèn)。倡

顧準(zhǔn)備好英文價簡歷洲

襲捏除了End仆orsem戀ent之外辛，通過CI跨SSP考試貍的考生還需蜓要準(zhǔn)備一份灌個人的英文假簡歷，按照礙常規(guī)的簡歷繭寫法來寫就羽可以。不過洪要注意一下明工作經(jīng)歷的鎮(zhèn)寫法，應(yīng)該障在工作經(jīng)歷合里面的每一列個項目后面左說明該項目帥涉及到哪些滅CBK，比婚如，CBK堆:Acc洲essc凈ontro多l(xiāng)這樣寫栽就可以了。思準(zhǔn)備好英文膽簡歷后，考央生要將英文短簡歷和En盼dorse餓ment表都格交給自己槐的Endo神rseme排nt簽署人核，讓簽署人帥填好End械orsem摧ent表格貧并簽名。考蘋生可以用電陷子郵件或傳秩真的方式將嬸材料送達(尺ISC)2閘的審核負(fù)責(zé)住人，如果是租采用電子郵砌件方式，可瑞以將材料準(zhǔn)伍備好后掃描選成PDF文角檔，再通過紹電子郵件發(fā)索送到Aud責(zé)it@is碗c2.or瞞g，不過要垃注意只能由嶄Endor乳semen勾t的簽署人恢來發(fā)送這兩示份材料，考箱生自己發(fā)是逗無效的。如隨果是采用傳坑真方式，只跡需把材料傳逢真到(IS繁C)2香港克辦事處即可載。J0ke頃r建議考生論盡量選用電鄰子郵件的方肆式來發(fā)送審佛核材料，這芝樣處理的速痰度會比較快宅，也可以防腹止因為達引起的審核壟材料丟失。幕

仇教育經(jīng)歷審探核彼

姑浸(IS打C)2每次胡還會隨機抽鵲取10%左賴右的通過者竭再做一下教億育經(jīng)歷的審潛核，被挑選著到的通過者吸會在所收到跨CISSP側(cè)考試結(jié)果郵窗件中看到教烘育經(jīng)歷審核叛的要求和具多體步驟。J喂0ker當(dāng)雄時沒有被抽用中，后來問肺了一下曾經(jīng)拋被要求進行貨審核的CI池SSP朋友剖，所謂的教慎育經(jīng)歷審核矛需要提供兩尿份材料，其漫中一份是聲理明，聲明被胖審核者確認(rèn)嶺所提供的所騾有材料都是豐真實無誤的細(xì)，另外一份僅資料是被審劍核者的學(xué)歷哥證書復(fù)印件惹。被審核者襯準(zhǔn)備好材料嫩之后，可以臭將材料掃描濕編輯成PD駁F文檔，發(fā)捐送到Aud驟it@is業(yè)c2.or呢g，也可以辭將材料湖到(ISC棉)2香港辦寧事處。被

搖肆送出審核度材料后，考舒生大概會在走2到3天后佛收到（IS份C）2的資過格審核確認(rèn)蹦郵件，如果抓審核通過，毅大概2個星變期后，考生葬就能收到（喂ISC）2牙用航空郵件馬發(fā)來的CI慌SSP證書伯，成為CI叼SSP中的化一員。可能鋸大家比較擔(dān)豆心證書投遞四的問題，不攪用擔(dān)心的，具國內(nèi)的郵局禍都有專門的綢翻譯負(fù)責(zé)國送外郵件的分如發(fā)，只要在桌CISSP未考試報名時腦填寫地址信古息正確，一級般都能很快握收到。如果爆考生收到了您(ISC)敞2的資格審售核確認(rèn)郵件扣，卻又在2湯至3個星期父內(nèi)沒有收到財CISSP釣證書，還可膊以向?qū)徍舜_銅認(rèn)郵件里提循供的E-m壩ail地址扔發(fā)郵件詢問益，(ISC礎(chǔ))2確認(rèn)后廟會重新寄送澡CISSP怖證書的。隨贊CISSP脂證書一塊寄隙來的還有一麗個CISS秩P名片、一旗封(ISC肢)2的歡迎到信，信上介多紹了CIS園SP的(I桐SC)2的意會員權(quán)利，寧并附帶了(桌ISC)2己網(wǎng)站的初始鳥登陸密碼。煮

蘋如何保持C叔ISSP認(rèn)礦證蹲

禿洗（IS舉C）2規(guī)定保，CISS嶺P認(rèn)證的持節(jié)有周期只有圓3年，CI嫂SSP只有讀按時繳納每桑年的會員費姓(AMF)餐，并在三年膛內(nèi)賺取12盛0CPE踏（Cont樹inuin水gPro蟲fessi伙onal也Educa庫tion，遷繼續(xù)教育點易數(shù)），才能巧在三年后更蕩新所持有的竊CISSP按認(rèn)證。麗

加剃CIS改SP的會員挖費是每年8文5美元，C癥ISSP在幣(ISC)滔2網(wǎng)站上登猴陸自己賬戶迷之后便可查踢到自己下一交次交會員費質(zhì)的時間，如昏果在該時間哪60天之內(nèi)控不繳納會員祥費，就需要碼多交20美矮元的滯納金催。交會員費傍同樣需要C碑ISSP登逮陸自己賬戶芳后才能操作子，在會員費毅信息下面有贈一個”PA漏YAMF稀sNOW內(nèi)“按鈕，點嶄擊進入后，轉(zhuǎn)選擇繳費幣卸種、繳費年捐限、填好信裙用卡信息，疑驗證無誤后鹿提交，便可襲完成會員費民的繳納過程舍。芒

村舟豪(ISC)宵2對CIS只SP有12帳0CPE怪的要求是為燦了督促CI劃SSP不斷菠的提升自己歪的知識和經(jīng)乒驗，使自己獸能和技術(shù)的接發(fā)展保持同湖步。規(guī)定只條有CISS嬸P本職工作逝之外的額外渣發(fā)展活動才支能算CPE拿點數(shù)，而根兵據(jù)額外發(fā)展波活動的不同菌，CPE的窯種類又分成報A類和B類鼻兩種，A類趕CPE（D慕irect槍Info塑rmati截onSe技curit米yAct飽ivity綱）即是與C導(dǎo)ISSP榮10個CB擠K直接相關(guān)氏的活動，而切B類CPE提(Prof保essio非nalS封kills誰Acti棕vity)岔則是CIS頃SP自身能匯力發(fā)展的活腦動，120璃個CPE中擺必須包含8資0個A類C袋PE和40般個B類CP趴E。測

蘆綱12招0個CPE瀉提交的最遲月時間是3年抄周期之后的梅90天之內(nèi)糟，如果CI臘SSP在3話年內(nèi)不能賺冤夠120個臭CPE，將給會把取消C樂ISSP資剩格，而在3種年周期的最僑后6個月中仗提交的超過送120的額勒外CPE點億數(shù)，可以帶顏到下一個3拒年周期。C內(nèi)ISSP提泊交CPE的劣方法也需要濫登陸到自己謊的(ISC犁)2賬戶，時然后使用”妄SUMIT碼CPEs斗NOW“史功能進行牽CPE的提絕交，提交的腥CPE申請監(jiān)一般會在2瓜到3天內(nèi)得木到通過并更園新到CIS頸SP的賬戶斥信息中。另此外，（IS娘C）2還有喬隨機抽查C胳ISSP階CPE的制紅度，如果C薦ISSP被為抽到要求審拴核CPE的距話，則需要虹提供該CP蠅E的有效證梢明材料，比睬如有CPE赤是CISS小P自學(xué)某本師安全方面的步書籍，那(慢ISC)2情會要求CI模SSP提供驕這本書的發(fā)賣票，因此提董交CPE時字，CISS證P應(yīng)保存好廣CPE的相凳關(guān)有效證明參材料。割

疲CPE提交惜和CPE點鈔數(shù)具體如何靈計算的資料薦，都可以在竟(ISC)筑2網(wǎng)站上找低到，J0k嶺er在此就刷不再詳述。膊

怠在《J0k疑er的CI池SSP之路介》系列的前笨幾篇文章里邪，J0ke還r向大家簡梳要介紹了C怎ISSP認(rèn)友證考試的基歇本情況，但平對于想要進踐一步深入了鳴解CISS隨P認(rèn)證體系絞、或者想要闊獲得一個C份ISSP認(rèn)役證的朋友來傘說，內(nèi)容還族是稍微簡單塞了點。所以患，從本文開魔始，J0k令er將用大掏概15篇文隊章的篇幅，彩向大家詳細(xì)該的介紹CI綠SSP認(rèn)證能考試的復(fù)習(xí)駐流程、各種閣復(fù)習(xí)資源和稈CISSP宿的10個C郊BK的內(nèi)容護，本文要介下紹的即是C信ISSP認(rèn)架證考試的復(fù)驚習(xí)流程及資芒源。爺取J0ker啞先給大家說飲說CISS搬P考試的復(fù)遣習(xí)流程，和壟其他考試一辜樣，CIS稅SP考試的欠復(fù)習(xí)也需要燕循序漸進，裳不斷鞏固，鐘由于CIS悉SP考試的角廣度和深度粉——”O(jiān)n結(jié)eMil某ewid埋e,On飾einc資hdee宵p”壯，決定了復(fù)述習(xí)的同時也快是一個學(xué)習(xí)荷過程。因為兔要報考木CISSP鮮的朋友大多惕是各自單位備的技術(shù)骨干透和中高層管魚理，日常事凡務(wù)十分繁忙飽，所以復(fù)習(xí)侮的時間安排著和計劃對考驟試的成功顯表得無比重要蒙。薯怎么制定復(fù)深習(xí)計劃脅居知己知彼意，方可百戰(zhàn)怎不殆?？忌鯌?yīng)該先了解礙一下CIS之SP考試的彩10個CB蝕K的組成和堵內(nèi)容，根據(jù)帆自己的情況慢將掌握得較賣好、較差的羞CBK分別豎列到表里，養(yǎng)并以此為根冤據(jù)安排各C芽BK復(fù)習(xí)的仍優(yōu)先度。考駛生還需要根雷據(jù)自己空閑沈時間的多少向，合理的進懷行分配，比首如，如果有雹半年的準(zhǔn)備依時間的話，騙每天保證1害到1個半小妖時復(fù)習(xí)即可耍，如果準(zhǔn)備饑的時間較短圾，可以斟酌堆增加每天復(fù)羊習(xí)的時長。越進行復(fù)習(xí)淋夜制定好復(fù)習(xí)見計劃之后，夫考生便可每獄天按照計劃渡好的優(yōu)先度竭和時間安排輝進行復(fù)習(xí)?；髲?fù)習(xí)中有2飄個要點，其燈一復(fù)習(xí)貴在畫堅持，持續(xù)惱的復(fù)習(xí)可以皇保持考生對護CISSP鬼知識的掌握汁程度，三天練打魚，兩天謙曬網(wǎng)只不過穗是在浪費時配間；其二復(fù)充習(xí)不可偏頗牲，考生應(yīng)該判對自己掌握決較好的章節(jié)顧也進行全面可復(fù)習(xí)，CI善SSP考試誕的廣度往往短出乎過分自祖信的考生意春料之外。立如何鞏固復(fù)滔習(xí)效果射府在CISS謹(jǐn)P考試的復(fù)液習(xí)過程中做預(yù)些模擬題是欠必須的，但艇因為CIS斜SP考試出公題相當(dāng)靈活庫，如果考生卡想靠猜題、諸押題來通過導(dǎo)CISSP碗考試，恐怕泛只會換來一窮個失敗的結(jié)剃果。J0k劉er的建議鉤是，CIS閃SP考試說前到底是考察別考生的能力掠和經(jīng)驗，如腐果考生有條登件的話，對毀掌握不好，勒平時也沒有項機會接觸的印內(nèi)容自己做男個模擬環(huán)境伏來實踐一下田，比如Te醫(yī)lecom糧munic頌ation夫and轎Netwo嗚rkse降curit瑞y、Ope蠟ratio弱nalS燥ecuri漸ty等CB奏K，都可以肌自己實驗一率下。另外，算考生可以精促選1到2個害模擬題庫，潤時不時對自份己的復(fù)習(xí)情勻況進行檢查盲，做錯的題梯目應(yīng)該記錄聽起來，重新視對涉及到的保CBK內(nèi)容耀進行復(fù)習(xí)。喉油CISSP寸考試復(fù)習(xí)中懂可以用到的份資源：耕復(fù)習(xí)書籍勝目捆前市面上C黨ISSP考厲試復(fù)習(xí)的書裙籍不少，內(nèi)罩容雖然大同詳小異，但寫禮作風(fēng)格寫作揪水平是大不冒相同，有的坑追求語言生旅動易懂，有桌的則比較詳赴細(xì)枯燥?？及采绾芜x擇形適合自己的圾CISSP篇復(fù)習(xí)材料？配J0ker閃覺得選擇的楚標(biāo)準(zhǔn)應(yīng)該由賓考生自身的哭語言水平、藝信息安全從始業(yè)經(jīng)驗等來職決定，在語于言水平差不恥多的情況下紛，如果考生投的從業(yè)經(jīng)驗都較多，但對臥概念的把握礦上仍有欠缺貍，可以選擇芬CISSP貓offi老cial爭guide疤解釋概念較蜜為詳細(xì)的材領(lǐng)料；如果考膠生平時主要沉從事咨詢或歷管理類的工閃作，具體技運術(shù)方面的經(jīng)離驗不足，則倘可以選擇C版ISSP婦Alli錫nOne小3rd或捐者Pre襲guide騎2nd這盜樣的材料，張它們生動的偏描述會使技男術(shù)方面的難帖題變得容易御理解；還可蟲以準(zhǔn)備一本旋Exam巴Cram的俊CISSP拘小書，出差塌或旅行時可兩以隨手翻閱隊。臣在線資源國淡在準(zhǔn)備CI減SSP考試朱時，考生同友樣有豐富的妹在線資源可國以選擇，不粥過首選的依考然是(IS休C)2的官買方網(wǎng)站，考薦生可以從上包面得到最新動的考試通知盛、考試資源日等，(IS廚C)2官方恨所提供的R模esour鳳ceGu壘ide也包虜含了許多對徒CISSP博考試很有用脆的在線資源妹、參考資料業(yè)等。另外，植國外的cc醉ure.o傾rg也有不噴少的在線資腰源可供選擇宵，比如電子駐雜志、論壇杏、免費的在暢線視頻等。炮模擬題庫利模灑擬題庫在C需ISSP考張試的復(fù)習(xí)中誰可以起到查遞漏補缺的作秋用，也可以幫幫助考生熟恢悉CISS撥P考試的難隱度和出題方皺式，不過選帳擇模擬題庫孫也不是題越吳多越好，關(guān)丘鍵還是要看準(zhǔn)模擬題庫的織題量是否適耀中，出題的渠難度和問法枝是否和真實絡(luò)考試接近。較J0ker詠認(rèn)為，Cc感ure.o雞rg上所提六供的CIS贊SP在線測愉試題庫（1魚000題）躺和Acut當(dāng)altes桌t提供的C栗ISSP模尤擬題庫都比耀較好用，C蜂cure.午org的題星較淺但覆蓋廢知識點也較澇全，Acu降talte寫st的題的倆問法更接近病真實的CI控SSP考試撫。J0ke茄r當(dāng)時主要召用的就是A涌cutal印test的得題庫，盡管止在真實CI掀SSP考試王中找不到和灶A(yù)cuta首ltest景題庫相同的枕題目，但A塵cutal分test題當(dāng)貼近真實考想題的特點使瓶J0ker魯在考試能得夜以提高不小擔(dān)作答的速度砌和準(zhǔn)確率。腰Where四toa終sk待如執(zhí)果考生在復(fù)匆習(xí)CISS屆P知識的過董程中遇到問協(xié)題，可以選溜擇論壇等在艙線途徑向C吵ISSP們樣請教，國外奮較好的是C鐮cure.降org的論咱壇，因為在稀ccure非.org的榨論壇上回答寧一定數(shù)量的肚問題可以得饅到CPE的陷獎勵，CI寫SSP們通燙常會比較樂灘意回答論壇妖上的問題?？形姆矫娴母百Y源可以選統(tǒng)擇國內(nèi)的c資hinac炕issp.哈com的論單壇，上面同填樣有許多熱高心的CIS肢SP會回答膝考生各方面析問題，不僅濕僅是CIS謀SP知識點裂，還包括C券ISSP考仍試的方方面券面。J0k縫er也歡迎儀大家來詢問神CISSP粱方面的問題凍，J0ke釋r會盡自己譽一份微薄之冷力為大家的成CISSP街歷程提供盡晚可能多的幫嬸助:)擴

蚊在《J0濾ker的C遣ISSP之防路》系列的袍上一篇文章夜《復(fù)習(xí)流程舒和資源》里菊，J0ke袋r給大家介貪紹了一般的易復(fù)習(xí)流程和除對復(fù)習(xí)比較叛有幫助的資桌源。從本文郵開始，J0銜ker將帶婚大家進入C咐ISSP考蹲試的正式復(fù)模習(xí)過程：2眠007年(劈ISC)2民修改過CI食SSP考試機的各CBK積名稱和內(nèi)容參，雖然新內(nèi)告容絕大部分題和原來的C枝ISSPC喬BK相同，寄但還是增加逗了一些新內(nèi)料容。J0k險er手上只四有比較老的長CISSP巷Offi塌cial卡Guide既和CISS喚PAlli活nOne鎖3rd（J辭0ker準(zhǔn)汽備考試時也縱是用這兩本宰資料，對增已加新內(nèi)容的竹考試還可以煤應(yīng)付），所尺以在本系列蒙文章中依然遠(yuǎn)沿用(IS群C)2修改朱前的CBK蹈名稱和內(nèi)容歌，J0ke燒r會按照C瘋ISSP嘗Offic季ialG補uide的吧內(nèi)容安排給守大家介紹一步下復(fù)習(xí)中的愉心得和要點滋，限于J0何ker自己位水平和各人遣的情況不同浪可能有所不誠足，請大家攜原諒。何迫乓CISS爽P復(fù)習(xí)的第極一章Inf維ormat戲ionS絕ecuri灘tyMa必nagem倦ent面田安全行業(yè)憐有句行話，剖“三分技術(shù)評，七分管理套”，意為安味全技術(shù)應(yīng)該跑從屬于管理竿。不少安全水廠商在推銷孫自己的產(chǎn)品或時，常常只朗顧鼓吹說自孫己的產(chǎn)品有哈多好，卻沒滲有向客戶說花明產(chǎn)品是否寄適用于目標(biāo)防企業(yè)的實際擇環(huán)境。CI察SSP需要撒明白，安全臣技術(shù)也好，犁安全產(chǎn)品也格好，都是必死須從屬于安料全管理，只巴能因管理而絨技術(shù)，從安勝全技術(shù)和產(chǎn)雜品的使用去奉推導(dǎo)安全管池理應(yīng)該怎么基做，就是本朱末倒置了。黃因此CIS澡SPCB店K中引入了痛Infor嶺matio賤nSec姿urity陣Mana柏gemen舅t這一概念評，假如把企臥業(yè)的信息安物全計劃比作擾一艘船，信臟息安全管理裹就如同燈塔撞，指揮著船日往哪里走，紹怎么走，如低果舵手（C倚ISSP）裁不按照燈塔享（Info水rmati扣onSe踏curit窩yMan揀ageme萄nt）的指科示走，船就號很可能觸礁槳沉沒（安全下項目失敗，艷或達不到想梢要的效果）足都?xì)缧畔踩芾恚蛘吲艺f所有的信獲息安全項目別，都是圍繞撥著實現(xiàn)信息危資產(chǎn)的A-唯I-C三角歡而設(shè)計和實盤施的。所謂朱的A-I-術(shù)C三角，也刷即信息資產(chǎn)期的三個重要得屬性：廣奪Avai矛labil登ity，可扎用性，保證蝴信息資產(chǎn)對麥?zhǔn)跈?quán)的用戶李隨時可用；罵公Inte尿grity縮，完整性，謠保證信息資火產(chǎn)不受有意瞇或無意的未騎授權(quán)修改；咸冒Conf其ident桑ialit鑄y，保密性膨，保證信息虹資產(chǎn)不受未叮經(jīng)授權(quán)的訪制問。壞狠A-I-妄C三角也是霞貫穿整個C元ISSPC嚷BK內(nèi)容的徒宗旨。因此記，對一個組考織實體來說粒，信息安全考管理的內(nèi)容丈就是識別信盼息資產(chǎn)的類駕型價值，并則通過開發(fā)、樓記錄和實施主安全策略（鎖Polic錯ies）、制標(biāo)準(zhǔn)（St變andar枕ds）、流暖程（Pro掉cedur焦es）和指贈導(dǎo)（Gui危delin動es）來確豎保信息資產(chǎn)艦的A-I-爹C屬性。在食這個過程中穿，需要對信插息資產(chǎn)進行姑識別和分級斥、識別可能扮威脅信息資艷產(chǎn)的威脅、咳并對可能存嗓在的漏洞進怠行評估，我敗們可以使用犯數(shù)據(jù)分級（掘Datac卡lassi扯ficat援ion）、這安全意識教愚育(Sec趁urity呼Awar諒eness薦Trai縱ning)沸、風(fēng)險評估疲(Risk峰Asse刻ssmen屋t)和風(fēng)險盆分析（Ri跳skAn產(chǎn)alysi啞s）這些工拋具來完成。姐J0ker收將在接下去搶的文章里面助再給大家詳唱細(xì)解釋上面專提到的各個臟名詞。涼色示在CISS坊PCBK邁中還可以看箭到一個和信涌息安全管理疑相似的名詞徒——繼風(fēng)險管理竊(Risk殖Mana犯gemen蔑t)雙，信息安全逐管理是從管扮理流程的角留度實現(xiàn)信息故資產(chǎn)的保護廉，而風(fēng)險管泰理則是從風(fēng)隙險防范的角辣度出發(fā)，將私風(fēng)險對信息漆資產(chǎn)的損害極降到最低。喬風(fēng)險管理是絨識別、評估克、控制和最礦小化風(fēng)險或批未確定因素鹽對信息資產(chǎn)痛的損害的過閥程，它包括歐整體安全評霸估（終Overa邪l(fā)lSe羅curit籮yRev夠iews缺）、風(fēng)險分通析（拍Risk放Analy頑sis圖）、防御方琴案的選擇和漆評估（曬Evalu窯ation芒andS呢elect皇ionof渣Safe橡guard多）、效能分倆析（鳴Cost/追Benef催itAn貧alysi恢s君）、管理決灌策（嫩Manag果ement厚Deci繼sion魔）、防御方軍案部署（薪Safeg頸uard箏Imple京menta底tion踐）和效能評訓(xùn)估（密Effec診tiven章essR仇eview縮s提）等步驟。駁賊滴竄A-I-C嗽三角是貫穿餡CISSP盼CBK的渡宗旨，這也爪是我們在C羨ISSP復(fù)股習(xí)中遇到的塵第一個重點臟，如何把抽厭象的A-I鈴-C概念，征轉(zhuǎn)化成具體刮的知識？J泥0ker打慕算用實際應(yīng)悲用中的例子娛說明一下：旱隱Avail諷abili籠ty，是確乎保信息資產(chǎn)迅對授權(quán)用戶粱隨時可用的尾能力，在實售際應(yīng)用中，濟我們可以把太有可能損害毛可用性的威孟脅分成2類組：塊短1、Den偶ialo案fSer均vice拒告絕服務(wù)拜臘2、會造成毀數(shù)據(jù)處理所噴需設(shè)備損失完的自然災(zāi)害鄭（火災(zāi)、水伏災(zāi)、地震等摩）或人為因勁素（恐怖襲授擊等）廢涂拒絕服務(wù)通塔常指因為用存戶或入侵者達的原因?qū)е赂夷硞€數(shù)據(jù)服陜務(wù)無法向其丹用戶提供服鞠務(wù)的故障，鈴比如計算資湯源的耗盡導(dǎo)凈致的計算機描鎖死、存儲弄器資源的耗印盡導(dǎo)致的文形件讀寫失敗賓、網(wǎng)絡(luò)資源繭耗盡導(dǎo)致的里網(wǎng)站無法訪鼻問等，但拒韻絕服務(wù)通常麥不會物理損喬壞數(shù)據(jù)服務(wù)母所依靠的設(shè)畫備，進行釋濫放資源之類株的相關(guān)處理和便可恢復(fù)正正常。而自然姿災(zāi)害和人為額因素則是物學(xué)理損壞，只授能重新購置啦部署設(shè)備才且能使數(shù)據(jù)服寶務(wù)恢復(fù)正常穩(wěn)。我們可以曠制定業(yè)務(wù)持愛續(xù)性計劃（錫Conti欄ngenc擴yPla釘nning借），并通過召物理（Ph夕ysica鵝lCon筍trol，雅物理安全及速設(shè)備備份）臟、技術(shù)（T橫echni模calC氣ontro性l，設(shè)備冗貴余、數(shù)據(jù)備去份及訪問控菌制）和管理往(Admi琴nistr席ative簡Cont名rol，各勵種策略流程塊等管理措施遲)手段來保泳證可用性。味略追虎Inte巡grity綠，是確保信善息資產(chǎn)不被慧有意或無意已的未授權(quán)修渾改的能力，呢完整性通常芬由訪問控制沙（Acce木ssCo愚ntrol抽，各種驗證做、授權(quán)手段橋）和安全程色序（Sec脊urity測Prog克ram，保分證信息和處威理流程按照耀設(shè)計好的來弱執(zhí)行，并提撇供數(shù)據(jù)完整比性檢查能力詳）這兩者提音供。另外，記完整性控制澡還有以下三皇個原則：舒漫1、Ne吊edto軍know脖/Leas搜tPri多vileg能e，最低權(quán)據(jù)限策略，用孩戶應(yīng)該只獲省得完成其工渠作的最低限捉度的資源訪江問和操作權(quán)稍限。鎮(zhèn)羞2、Se殘parat吊iono纖fDut貴ies，職須權(quán)分離，確損保較為重要俯的工作流程刪由多人完成甘，防止出現(xiàn)堆欺詐行為。叛比如常見的茅財務(wù)人員和月審計人員分費屬于不同的箱部門便是職刑權(quán)分離的例廉子。勻?qū)?、Ro眠tatio扯nof水Dutie驕s，職務(wù)輪我換，定期輪票換重要職務(wù)羞上的人員，車有助于防止互出現(xiàn)欺詐，啦也可以在當(dāng)廉前人員缺席稼的情況下很斤快使用其他醫(yī)人員替代。唱宇誘Conf伯ident徒ialit薪y(tǒng)，是確保防信息資產(chǎn)不閉被未授權(quán)用凝戶訪問的能魂力，最近幾省年很受關(guān)注盾的身份管理律和隱私問題燦也屬于保密合性這一范疇陸。常見的保漲密性威脅有幅：姐童1、Ha黃cker/刃Crack跡er，系統(tǒng)利的未授權(quán)訪劫問通常是由腐于黑客或駭董客的入侵造輔成的。震輩2、Ma棗squer稍aders態(tài)，授權(quán)用戶段偽裝成另外陜一個授權(quán)用綱戶，或未授贈權(quán)用戶偽裝沾成授權(quán)用戶醫(yī)的非法訪問勉行為。濾藝3、Un看autho層rized狼User脫Acti擠vity，緞授權(quán)或未授為權(quán)用戶對不搞屬于其授權(quán)刷范圍的資源查的訪問行為舉。拾李4、Un蹲prote北ctedd查ownlo螞adedf燦iles，夾用戶違規(guī)把誤保密文件下咬載并存儲在絲沒有保護措衫施的地方。紀(jì)草5、Ne床twork畏s，保密文攪件未經(jīng)加密愚便在網(wǎng)絡(luò)上大傳輸。饑縣6、Tr傘ojan砍Horse鬧s，木馬病賠毒盜取保密畏文件是近年勵來發(fā)生比較情多的安全事盲故蛙廣7、So雞cial觸Engin軋eerin命g，社會工梁程欺騙是這扶兩年的一個遇關(guān)注熱點。屑

厚在《J岸0ker的括CISSP編之路》系列鹽的上一篇文迅章《Inf憐ormat燥ionS秩ecuri丸tyMa期nagem帳ent(1四)》里，J吸0ker給落大家介紹了雖信息安全管厚理要實現(xiàn)的殘A-I-C激目標(biāo)和原則膀。在接下去幻的文章，J鈔0ker將棉帶大家逐步這深入信息安暢全管理的領(lǐng)豆域，并結(jié)合邊實際例子給娘大家解釋該曲CISSP描CBK中旅提到的諸多產(chǎn)關(guān)鍵名詞。剛本文將介紹愛Infor灶matio編nSec尚urity吼Mana陶gemen籃tCB欠K中的風(fēng)險潑評估（Ri字skAn砌alysi厚sand段Asse紙ssmen心t）。災(zāi)涼我們經(jīng)?？善惨詮拿襟w或直者各種安全套資訊上看到邊一個詞——夕風(fēng)險（馳Risk森），但具體就到它的含義臣，以及它在喉信息技術(shù)領(lǐng)肝域所代表的大意思，卻沒純有太多的人?？梢哉f的清屆楚。所謂愧“胞風(fēng)險中存在襪機遇弊“伯，人們在選乒擇機會的同撲時，也會遇狼到許多會造泄成損失的不源確定因素，舉這些不確定灰的因素便稱古之為歇”裂風(fēng)險麥“瓣。例如，買扣車能帶來出輪行方便，但睜同時也會因堵為燃料費上闖漲、路費、軌維修等等不東確定的因素凳導(dǎo)致意外的嚷支出，而且海盡管幾率很茄小，也依然讀存在發(fā)生交圈通事故危害舞生命的情況禍。介茂因此，我們賴在選擇一個博機會之前，膝常常會或多凝或少的考慮乎機會之中包副含著的不確協(xié)定因素有哪含些，更進一挪步的，我們改還會想辦法售去了解機會潮之中的不確哀定因素到底乒有多大的可靈能發(fā)生，并筒準(zhǔn)備一些可棉以降低發(fā)生煉幾率或損失敲的措施。同沒時為了更有乏效的準(zhǔn)備和害評估應(yīng)對不泄確定因素的彩防御措施，糾我們還必須仁認(rèn)真的了解描不確定因素每的各個組成態(tài)元素，并搞貍清楚它們之波間的關(guān)系，無這個不確定族因素的識別倆、分析和評返估的過程，瓦便是本文要妨介紹的風(fēng)險支分析和評估抄（Risk招Anal牢ysis載andA辦ssess嶺ment）婦。無進澆行過風(fēng)險分逮析和評估之伶后，接下去描自然就是如卵何應(yīng)對風(fēng)險劑——露在珍CISSP雹CBK遵中，風(fēng)險的知應(yīng)對方式可片以分成三種啊，懷J0ker炊還是用上面恨買車的例子捷來介紹：假蠢設(shè)買了車之茂后，在路上灰發(fā)生追尾事塔故的可能性引為每三個月膨一次，如果擊車主采取了閉在交通繁忙狠時刻降低車籮速，選擇另翠外車流量較頸小的道路或烤者在車上添騎置防追尾的銷設(shè)備，這都賄屬于車主接拖受了風(fēng)險存犁在的事實，見并采取的降流低風(fēng)險發(fā)生郵可能性或損橫失的措施，爺我們稱之為遲Accep選tthe錯Risk言或叔Mitig謎atet少heRi盼sk竟；如果車主油認(rèn)為部署防張追尾的設(shè)備亞成本比追尾婆后修一次車分還貴的多，廁或者因為其圍他原因而無敞視追尾危險模，這樣稱之魄為志Rejec盞tthe遲Risk貌，或惜Ignor助ethe做Risk晶，風(fēng)險并沒病有減輕，只繩是被忽略了邪。還有一種播較為常見的繳情況是車主耳通過購買保占險，將追尾闖可能產(chǎn)生的記各種費用轉(zhuǎn)陸移到保險公揭司身上，這燃稱之為記Trans庸fert秒heRi時sk探，即風(fēng)險轉(zhuǎn)廟移。下Accep聞t鄭和墨Trans星fer壯是對待風(fēng)險暈的常用方式克，但在某些東不太重要的郵場合，也可哪以選擇用不暈作為的方式問。橡富風(fēng)險的識別血、分析和評領(lǐng)估、消除、釋轉(zhuǎn)移整個流即程我們稱之弟為風(fēng)險管理捆（Risk閥Mana誤gemen量t），在進煩行風(fēng)險管理流的流程時，制以下的關(guān)鍵嫩的問題需要政弄清楚：翠抵1、Wh蔥atco最uldh持appen珠（Thr做eate承vent，漿風(fēng)險的具體孕形式，威脅蠶）淹鉛2、If腿ith不appen餓ed,h昏owba檢dcou淹ldit迷be（抖Threa鏈timp追act，威勵脅的影響程炸度）禮扣3、Ho蟲woft皮enit拘coul柔dhap滋pen（嶄Threa乏tfre調(diào)quenc叮y，威脅戰(zhàn)發(fā)生的頻率申）座排4、Ho五wcer聲tain恨aret揀hean帶swers覽tot繳hefi社rstt業(yè)hree罵quest本ions燦（Reco飛gniti塌onof拉unce路rtain捆ty，威俊脅發(fā)生的幾路率和不確定妨性）季分這些問題都婆可以從風(fēng)險銀分析和評估吐中獲得答案挖，威脅發(fā)生蟲的不確定性朝是風(fēng)險管理剝中的核心問降題，當(dāng)然，甩誰都希望為蜻所有可能發(fā)撿生的情況做萬好充分的準(zhǔn)禮備，但現(xiàn)實釣常常不允許象我們這樣考寄慮，我們只礎(chǔ)能夠保證優(yōu)暈先度最高的凈部位和風(fēng)險遇最有可能發(fā)彩生的部位能敢部署到風(fēng)險頑管理方案。剛通過風(fēng)險分以析和評估，催我們可以從街上述4個問毒題中發(fā)現(xiàn)一誕些無法忽視主的風(fēng)險(U害nacce服ptabl蔑eRis薄ks)，我討們需要部署秧相應(yīng)的方案湊來應(yīng)對它們耳，以下的問明題需要了解匆清楚：悄服1、Wh兵atca耗nbe澇done（祝Risk跟Mitig衡ation釋，風(fēng)險消除掉方案）墻賴2、Ho粒wmuc簡hwil糖lit濟cost彈（annu聾alize竄d，方案每蹤年平均成本肚）球川3、Is擺itc小oste秘ffect剪ive（升Cost/趨Benef警itAn萬alysi望s，費效比筒分析）斧畜上述問題的脾解答將最終秤決定一個實落體對風(fēng)險對稠象的最終解薄決方案，并只執(zhí)行管理層雹批準(zhǔn)、財務(wù)威提供預(yù)算、闖采購、部署小、維護等流童程進行實施向。對于IT誓領(lǐng)域，風(fēng)險昏管理則更進申一步的細(xì)化尊為Info覽rmati然onRi身skMa江nagem情ent（I冠RM），因笛為IT技術(shù)妄不斷的發(fā)展跳，IRM也透是一個沒有朝結(jié)束