过去的5年里,涌现出了很多国家性和地区性的规则、标准,这些标准大大改变了安全行业的面貌。在美国,很多法律(比如Sarbanes-Oxley法案、HIPAA法案、GLBA法案)和数据安全侵害方面的法律(像加利福尼亚州的SB-1386),还有《联邦信息安全管理法案》(FISMA)都已经将一些安全措施的采用作为遵从标准的一个方面,而不仅仅是一个避免最坏安全情况出现的方法。
虽然PCI数据安全标准不是政府规定要遵守的规则,但是它已经被几个大的信用卡品牌所肯定,被称作非常成功的“隐私”标准。遵从PCI 数据安全标准已经成为商业领域最基本的事情,如果一个企业想继续处理信用卡数据而不想被罚款和制裁的话,那么它就得遵从这个标准。
很多安全工作人员——不管是老手还是新手——经常发现他们自己在遵从规则标准的过程中才知道安全和规则标准存在冲突。然而,当遵从标准能对公司信息安全进程起到推动作用的时候,CISSP认证常常起到了帮助信息安全从业者的作用。
CISSP公共知识体系
信息系统安全专业人员认证(简称CISSP),由国际信息系统安全认证协会((ISC)2)颁发,目的是为考察从业者的专业资格提供一个客观的标准。CISSP的公共知识体系(CBK)定义了CISSP报考者需要掌握的基础知识。这个公共知识体系包含了10个类别,CISSP的报考者应该熟悉它们,从而通过严格的CISSP认证考试。
类别如下:
1. 访问控制
2. 电信和网络安全
3. 信息安全和风险管理
4. 应用安全
5. 加密技术
6. 安全架构和设计
7. 操作安全
8. 业务连续性和灾难恢复规划
9. 法律、规则标准、遵从和调查
10. 物理层(环境)安全
当然,安全标准涉及了所有的这10个方面。比如,“法律、规则标准、遵从和调查”,几年前还叫做“法律,调查和道德规范”。这个变化强有力的证明了安全的一个主要方面跟遵守法律和遵从规则标准有关。在这个类别中,CISSP投考者不仅需要对美国的信息安全相关的标准有所理解,还要对世界上其他地方的有所了解。
另外的类别也已经开始涉及标准。比如,岗位轮换、义务和责任的分离、安全事件的处理等都是安全标准的重要内容;而这些内容包含在“操作安全”类别里面。类似的,“物理安全”类别涵盖了边界安全防卫和设备保护,很多安全标准都包含这些内容。
“安全架构和设计”涉及了用来建立访问控制政策和模型的安全模型。在这个规章管理的时代,这个话题被讨论的几率比过去要频繁的多。“电信和网络安全”涵盖了所有的数据通信保护技术和实践。在Internet时代,这个类别将被充分的实践。CBK中其他的类别同样涉及了被一个或多个安全法律要求的内容。
CISSP对标准的互补作用
CISSP认证的重点集中在安全技术和管理上,但是在标准和遵从标准领域中,该认证的效用要薄弱许多,因为这两个方面在一定程度上被人们从安全本身中剥离了。而这些方面包含在安全治理和管理中,属于“信息安全和风险管理”这一类。
一个富有治理和管理经验的CISSP认证人员很容易理解当下所实施的安全规则标准,尤其是那些比较规范的规则标准,比如HIPAA 和 PCI。CISSP公共知识体系事实上已经涵盖了所有的安全技术领域,这将帮助CISSP认证人员知道怎样去执行具体的规则标准。
然而,还有一些跟遵从标准相关的内容,CISSP认证并没有为其报考者准备。比如商业控制开发、内部审计、规则标准的解释和应用等,这些在CISSP认证中几乎看不到。其他的认证如注册信息系统审计员认证(CISA),则专注于控制和内部审计方面。
【编辑推荐】
- 专题:CISSP认证成长之路
- CISSP认证考试介绍
- CISSP认证——信息安全领域高手进阶
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/135823.html<
