CISSP 信息安全专业人士认证
Certified Information Systems Security Professional。由 (ISC)² 颁发,信息安全行业最受认可的认证之一。
为什么 CISSP 含金量高
- 全球认可 —— 北美、欧洲、亚洲都吃
- 难度大 —— 6 小时考试,250 道题(自适应版 100-150 题)
- 5 年经验门槛 —— 没经验不能拿证(可先拿”Associate of (ISC)²”)
- 持续教育要求(CPE) —— 每 3 年 120 学分,不学就失效
- 伦理守则 —— 见 Security Ethics
- 岗位认可度 —— 很多 Senior Security 岗位 JD 直接写”CISSP preferred”
考试内容(8 大 Domain)
| Domain | 内容 |
|---|---|
| 1. Security and Risk Management | 治理 / 合规 / 风险评估 |
| 2. Asset Security | 资产 分类与保护 |
| 3. Security Architecture | 系统/网络/密码学设计 |
| 4. Communication and Network Security | 网络协议、防火墙、VPN |
| 5. Identity and Access Management(IAM) | 身份、认证、授权 |
| 6. Security Assessment and Testing | 漏洞评估、渗透测试 |
| 7. Security Operations | 事件响应、取证、灾备 |
| 8. Software Development Security | 安全开发生命周期 |
CISSP vs 其他认证
| 认证 | 定位 | 难度 |
|---|---|---|
| CompTIA Security+ | 入门 | 低 |
| CISSP | 管理层 + 资深 | 高 |
| CISM | 安全管理 | 高 |
| CEH | 渗透测试入门 | 中 |
| OSCP | 渗透测试实战 | 极高 |
| CISA | 安全审计 | 高 |
适不适合考
- 适合: 想进 Security 管理/Senior 岗位、有 5+ 年经验的人
- 不太适合: 完全没经验的(先拿 Security+);只做技术不做管理的(OSCP 更值)
跟 Security Ethics 强相关 —— CISSP 持证人必须遵守 (ISC)² Code of Ethics,违反可吊销。