過去的5年里，涌現(xiàn)出了很多國家性和地區(qū)性的規(guī)則、標準，這些標準大大改變了安全行業(yè)的面貌。在美國，很多法律（比如Sarbanes-Oxley法案、HIPAA法案、GLBA法案）和數(shù)據(jù)安全侵害方面的法律（像加利福尼亞州的SB-1386），還有《聯(lián)邦信息安全管理法案》（FISMA）都已經將一些安全措施的采用作為遵從標準的一個方面，而不僅僅是一個避免最壞安全情況出現(xiàn)的方法。

雖然PCI數(shù)據(jù)安全標準不是政府規(guī)定要遵守的規(guī)則，但是它已經被幾個大的信用卡品牌所肯定，被稱作非常成功的“隱私”標準。遵從PCI 數(shù)據(jù)安全標準已經成為商業(yè)領域最基本的事情，如果一個企業(yè)想繼續(xù)處理信用卡數(shù)據(jù)而不想被罰款和制裁的話，那么它就得遵從這個標準。

很多安全工作人員——不管是老手還是新手——經常發(fā)現(xiàn)他們自己在遵從規(guī)則標準的過程中才知道安全和規(guī)則標準存在沖突。然而，當遵從標準能對公司信息安全進程起到推動作用的時候，CISSP認證常常起到了幫助信息安全從業(yè)者的作用。

CISSP公共知識體系

信息系統(tǒng)安全專業(yè)人員認證（簡稱CISSP），由國際信息系統(tǒng)安全認證協(xié)會（(ISC)2）頒發(fā)，目的是為考察從業(yè)者的專業(yè)資格提供一個客觀的標準。CISSP的公共知識體系（CBK）定義了CISSP報考者需要掌握的基礎知識。這個公共知識體系包含了10個類別，CISSP的報考者應該熟悉它們，從而通過嚴格的CISSP認證考試。

類別如下：

1. 訪問控制

2. 電信和網(wǎng)絡安全

3. 信息安全和風險管理

4. 應用安全

5. 加密技術

6. 安全架構和設計

7. 操作安全

8. 業(yè)務連續(xù)性和災難恢復規(guī)劃

9. 法律、規(guī)則標準、遵從和調查

10. 物理層（環(huán)境）安全

當然，安全標準涉及了所有的這10個方面。比如，“法律、規(guī)則標準、遵從和調查”，幾年前還叫做“法律，調查和道德規(guī)范”。這個變化強有力的證明了安全的一個主要方面跟遵守法律和遵從規(guī)則標準有關。在這個類別中，CISSP投考者不僅需要對美國的信息安全相關的標準有所理解，還要對世界上其他地方的有所了解。

另外的類別也已經開始涉及標準。比如，崗位輪換、義務和責任的分離、安全事件的處理等都是安全標準的重要內容；而這些內容包含在“操作安全”類別里面。類似的，“物理安全”類別涵蓋了邊界安全防衛(wèi)和設備保護，很多安全標準都包含這些內容。

“安全架構和設計”涉及了用來建立訪問控制政策和模型的安全模型。在這個規(guī)章管理的時代，這個話題被討論的幾率比過去要頻繁的多?！半娦藕途W(wǎng)絡安全”涵蓋了所有的數(shù)據(jù)通信保護技術和實踐。在Internet時代，這個類別將被充分的實踐。CBK中其他的類別同樣涉及了被一個或多個安全法律要求的內容。

CISSP對標準的互補作用

CISSP認證的重點集中在安全技術和管理上，但是在標準和遵從標準領域中，該認證的效用要薄弱許多，因為這兩個方面在一定程度上被人們從安全本身中剝離了。而這些方面包含在安全治理和管理中，屬于“信息安全和風險管理”這一類。

一個富有治理和管理經驗的CISSP認證人員很容易理解當下所實施的安全規(guī)則標準，尤其是那些比較規(guī)范的規(guī)則標準，比如HIPAA 和 PCI。CISSP公共知識體系事實上已經涵蓋了所有的安全技術領域，這將幫助CISSP認證人員知道怎樣去執(zhí)行具體的規(guī)則標準。

然而，還有一些跟遵從標準相關的內容，CISSP認證并沒有為其報考者準備。比如商業(yè)控制開發(fā)、內部審計、規(guī)則標準的解釋和應用等，這些在CISSP認證中幾乎看不到。其他的認證如注冊信息系統(tǒng)審計員認證（CISA），則專注于控制和內部審計方面。

【編輯推薦】

1. 專題：CISSP認證成長之路
2. CISSP認證考試介紹
3. CISSP認證——信息安全領域高手進階