(ISC)² Blog:信息安全的杂草和鲜花

信息安全的杂草和鲜花

为什么必须要有经验——而不仅仅是通过CISSP考试?

种植信息安全的花园

想想你的信息安全之路。花了很多功夫,学习了很多东西。没有人一出生就懂得信息安全,也没有哪个游乐场的孩子说过 “等我长大了,我要考个CISSP证书”。信息安全是目前最热门的职业之一,预计在可预见的未来,对合格的信息安全专业人员的需求将持续增长。

任何伟大的花园都需要认真的照顾和喂养,你的信息安全事业也不例外。它需要不断地打理,但这也是信息安全成为一个有趣的、具有挑战性的职业选择的原因之一。不仅大多数信息安全工作的薪资很诱人,而且持续的知识回报也是对所付出努力的巨大激励。拥有CISSP认证的人可以比没有该证书的人要求更高的薪水。也许有人会问为什么会这样?

在除掉所有的杂草之前,先要深入其中

一些备考CISSP考试的人会抱怨,有太多的知识点需要学习,而这些信息不在他们特定工作的主要职责范围之内。可以说,这就像在花园的杂草中迷了路。然而,这些广泛的知识域正是CISSP认证在许多企业环境中受到高度重视的原因,也是为什么获得认证的考生能够拿到更高的薪资。

我们可以从以下几点进行论证:

  • 为什么我需要了解硬件架构?当一个团队选定了一个特定的主板,却忘记了加入关键的安全组件,比如能够加密的TPM芯片,这一点就会很重要。
  • 为什么我需要知道特定攻击的名称和技术?我不是测试员,为什么这么重要?这很重要,因为你需要掌握渗透测试人员的语言,以及安全领域许多其他专业人士的语言。虽然所有CISSP会员不都是测试员,但与您合作的测试员很可能拥有CISSP认证。
  • 为什么我需要了解漏洞状况和漏洞扫描的结果?这对用通俗易懂的语言向非安全受众(如上层管理人员)解释漏洞扫描的结果非常重要。

需要注意的是,CISSP公共知识体系(CBK)的主题内容绝不像一些信息安全学科的杂乱细节那样深奥。但是,杂草丛生的部分,就如同考生的经验之于获得整体认证那般重要。

经验很重要

CISSP中比较棘手的一个问题是,要求候选人必须在两个知识域拥有5年的累计工作经验才能获得认证。作为认证过程的一部分,CISSP候选人还必须获得背书。为什么这很重要?它很重要,因为它可以防止所谓的 “纸质CISSP”,即一个人学习考试,但从未在信息安全领域工作过。在许多认证的早期,只需要通过一次或多次考试,就可以成为认证机构的成员。(ISC)²提供的认证的经验要求大大降低了这种可能性。

给反对者和支持者的陈词滥调、习语和格言

有些人似乎花了很多时间去说CISSP认证的坏话。有些人甚至吹嘘考试有多容易,证书有多无用,或者他们不学习也能通过考试。有的人甚至批评整个(ISC)²组织。对于寻求任何知识所付出的努力,傲慢地吹捧优越感可能不是什么有价值的做法。许多世界级的运动员、音乐家或其他有技能的专家,他们是否对获得成功所需的努力持否定态度?这样做通常会受到听众的怀疑,且它偏离了主要目标,也没有什么其他意义。

请考虑以下几点:

就像打理花园需要细心才能收获美丽的果实一样,CISSP CBK中的信息也值得我们细心关注。它的收获也是有益的,无论是在职业上还是对个人的发展,但前提是要以正确的态度对待。单单从CISSP学习资料中获得的知识,就可以帮助维护和健全一个组织的安全。而证书则是这些辛勤投入的结晶。

CISSP认证如何助您成功?

成为一名成功的信息安全专业人员所需的知识非常广泛,并需要不断扩展。每天都有新的事件重塑安全格局,这需要经验和知识的结合。当一个组织需要学科专长知识时,他们可以依靠那些持有CISSP认证的人,因为他们拥有丰富的知识和经验,而不仅限于信息安全。

CISSP是有经验的安全从业者、经理和有兴趣证明自己在广泛的安全实践和原则方面的知识的高管的理想选择,包括但不限于以下职位的人员:

  • 首席信息安全官
  • IT总监/经理
  • 安全分析员
  • 安全经理

(ISC)²是第一个符合美国国家标准协会(ANSI)ISO/IEC17024标准要求的信息安全认证机构,CISSP认证已符合美国国防部(DoD)8570.1要求。

想了解更多关于CISSP的信息,请阅读我们的白皮书,了解成为一名合格的网络安全专家的重要性

 

原文可见>>https://blog.isc2.org/isc2_blog/2021/02/the-weeds-and-flowers-of-information-security.html

Comments are closed.