CISSP ja muut ammatilliset sertifioinnit
CISSP – Certified Information Systems Security Professional, on Tietoturva r.y.:n tukema, kansainvälisesti erittäin tunnustettu ja arvostettu ammatillinen tietoturvasertifiointi.
Tämä artikkeli esittelee CISSP- ja muihin tietoturvasertifiointeihin liittyviä perusfaktoja.
CISSP sertifiointeja valvoo (ISC)² (International Information Systems Security Certification Consortium), tarkoitusta varten perustettu kansainvälinen non-profit organisaatio.
Laaja-alainen CISSP-sertifiointi soveltuu hyvin esimerkiksi yrityksen tietoturvapäällikölle, tietoturva-alan konsultille tai tuotekehityksen tietoturvasta vastaavalle henkilölle.
CISSP-sertifonti edellyttää mm että on toiminut vähintään neljä vuotta täysipäiväisesti ja ammattimaisesti tietoturvatehtävissä sekä vaativan kokeen läpäisyä. CISSP-tutkinto kestää kuusi tuntia ja sisältää 250 monivalinta- kysymystä kattaen ISC2:n 10 tietoturvan osaamisalueet, CBK:n.
CBK, Common Body of Knowledege, on (ISC)²:n jatkuvasti päivittyvä määrittely tietoturva-alan ammatillisesta osaamisesta.
CBK:n, vuonna 2006 päivitetyt, osa-alueet ovat:
- Pääsynhallinta
- Sovellusten tietoturva
- Liiketoiminnan jatkuvuuden suunnittelu ja toipumissuunnittelu
- Kryptografia
- Tietoturvajohtaminen ja riskienhallinta
- Lainsäädäntö, vastaavuus ja tutkinta
- Käyttöturvallisuus
- Tila- ja ympäristöturvallisuus
- Turvallisuusarkkitehtuurit ja -mallit
- Tietoliikenne- ja verkkoturvallisuus sekä Internet-turvallisuus
CISSP, (ISC)²ja etiikka
(ISC)² korostaa että korkea moraali ja etiikka sekä lakien noudattaminen on itsestään selvä ja välttämätön osa korkeaa ammatintaitoa. CISSP-sertifiointia tavoittelevien henkilöiden tulee kirjallisesti sitoutua noudattamaan (ISC)²:n eettisiä sääntöjä jotka velvoittavat sertifioituja seuraavaan:
- Turvaa ja suojele yhteisöäsi!
- Ole vastuullinen sekä toimeksiantajaasi että kollegojasi kohtaan
- Toimi aina korkeiden eettisten normien mukaan
- Toimi kunniallisesti, oikein, vastuullisesti ja laillisesti
- Tee työsi toimeksiantajillesi ahkerasti ja ammattitaitoisesti
- Kehitä ja suojaa ammattiasi
(ISC)²:n CISSP seminaari
Suomessa järjestetään normaalisti vuosittain (ISC)²:n virallinen CISSP -seminaari. Seminaarin kouluttajina toimii (ISC)²:n valtuutetut kansainväliset asiantuntijat.
(ISC)²:n CISSP® CBK® Review seminarissa käsitellään turvallisuusalan parhaita käytäntöjä, (ISC)²:n CBK:ta (Common Body of Knowledege). CISSP -tutkintotilaisuus perustuu juuri CBK:n kymmenen domainin perinpohjaiseen hallintaan, ymmärtämiseen ja soveltamiskykyyn.
Seminaarin luentokielenä on englanti, kuten tutkintotilaisuudessakin.
Viisipäiväiseen seminaariin kuuluu:
- Viisi kahdeksan tunnin koulutuspäivää
- Täysin ajan tasalla oleva aineisto
- (ISC)²:n valtuuttama kouluttaja
- Koetesti
Viime vuosina on suomessa järjestetty CISSP-seminaareja myös muiden tahojen kuin (ISC)²:n toimesta. Suomalaiset alan koulutusyritykset ovat tuottaneet itse kehittämiään CISSP-seminaareja.
SSCP, ISSAP, ISSEP, ISSMP
(ISC)² on jonkun aikaa järjestänyt myös muita tietoturvatutkintoja CISSP -tutkinnon rinnalla. SSCP, Systems Security Certified Practitioner, on hieman suppeampi ja enemmän tekniseen tietoturvaan keskittynyt tutkinto.
SSCP-tutkinto kattaa seuraavat alueet:
- Pääsynhallinta
- Hallinto
- Tarkastus ja valvonta
- Kryptografia
- Tietoliikenne
- Haittaohjelmat
- Riskit, vaste ja toipuminen
(ISC)²:n lisätutkintoja ovat ISSAP® (Concentration in Architecture), ISSEP® (Concentration in Engineering) ja ISSMP® (Concentration in Management).
Sertifionnin jälkeen
Mikäli läpäiset CISSP-tutkinnon tai toisen (ISC)²:n tutkinnon saat postissa sertifikaatin, jonka voi esimerkiksi ripustaa työhuoneensa seinälle tai yrityksensä asiakastiloihin.
Sertifionnin jälkeen voit myös osallistua (ISC)² johdon valintaan, osallistua (ISC)²’s vuosikokoukseen ja toimia (ISC)²:n komiteoissa ja muissa elimissä.
Sertifionnin jälkeen voit myös liittyä CISSP-forumille. Kyseessä on kansainvälinen CISSP-sertifioitujen keskusteluryhmä.
Lisätietoa (ISC)²:n www-sivuilta.
CPE-pisteet
(ISC)²:n sertifiointien voimassa pitäminen edellyttää että sertifioitu todistettavasti ylläpitää osaamistaan. Tätä varten on luotu CPE-järjestelmä (Continuing Professional Education) jonka mukaan CPE-pisteitä voi kerätä seuraavista toimista:
- Osallistuminen alan kursseihin ja seminaareihin
- Osallistuminen turvallisuuskonferenssehin
- Jäsenyys Tietoturva ry:ssä ja osallistuminen yhdistysten toimintaan
- Toimittajien esittelyihin osallistunen
- Yliopisto- ja amk-kurssien suorittaminen
- Koulutuksen tuottaminen
- Kirjojen tai artikkeleiden kirjoittaminen
- Tehtävät alan toimielimissä
- Itseopiskelu
- Vapaaehtoistyö (ISC)²:ssa, kuten tutkintotilaisuuksien valvonta
CISSP-sertifionteja varten tulee kerätä 120 CPE-pisteitä kolmen vuoden aikana. Lisätietoa pisteiden saannista (ISC)²:n www-sivuilta.
Muut sertifionnit
(ISC)²:n sertifiointien lisäksi on olemassa myös muita kansainvälisiä tietoturva-alan ammatillisia sertfionteja, kuten tietoturva-auditointeihin ja -tarkastuksiin suuntautunut CISA (Certified Information Systems Auditor) ja CISM (Certified Information Security Manager) jota organisoi ISACA (Information Systems Audit and Control Association).
Toinen teknisempi sertifiointi on GIAC (Global Information Assurance Certification) jota organisoi SANS (System Administration, Networking and Security institute)
Tietoturva r.y. ei toimi ISACA:n tai SANS:in sertifiointien osapuolena.
CISSP tutkintotilaisuudet Suomessa
CISSP- ja (ISC)²:n muita sertifionteja varten (ISC)² järjestää yhteistyössä Tietoturva ry:n kanssa tutkintotilaisuuksia yleensä kaksi kertaa vuodessa. Tilaisuudet ovat useimmiten pidetty toukokuussa ja marras-jolukuun vaihteessa.
Ilmoittautumiset ja maksut
CISSP -tutkintotilaisuuteen osallistuminen maksaa n. EUR 450 -550 riippuen ilmoittautumistavasta. SSCP -tutkintoon osallistuminen on hieman edullisempaa.
CISSP -seminaari on yleensä maksanut noin EUR 2600.
HUOM! Tietoturva r.y.:n jäsenille myönnetään seminaarimaksusta toistaiseksi (vuonna 2006) 20 prosentin alennus seminaarin hinnasta!
CISSP-sertifionnin ylläpidostä pitää myös maksaa! Maksu on noin EUR 210 kolmen vuoden jaksolta.
Ilmoittautuminen Kevään 2006 CISSP-seminaariin: http://nordiceducation.ca.com/courses/courses.asp?step=4&pid=576
Lisätietoa ja ilmoittautumiset (ISC)²:n tutkintoihin:
https://www.isc2.org/
CISSP – Usein kysytyt kysmykset
Koska pitää CISSP-tutkintoon pitää viimeistään ilmoittautua?
On hyvä ilmoittautua viimeistään viikkoa ennen tutkintoa? Saat noin EUR 100 alennusta jos ilmoittaudut 16 päivää ennen koetta.
Minkälaisen sanakirjan saan ottaa mukaan kokeeseen?
Vain yleiset englanti-suomi sanakirjat. Tietosanakirjat ja tietotekniikan sanastot ovat kiellettyjä.
Kuinka moni läpäisee kokeen?
(ISC)² ei julkista tätä tietoa.
Onko CISSP-sertifioinnista hyötyä työmarkkinoilla?
Kyllä!
Hyötyykö työnantajani jos saan CISSP-sertifioinnin?
Kyllä. Ammattitaitosi syvenee ja laajenee. Lisäksi osaamisesi on ulkopuolisen tahon todentama.
Haluan tutustua CISSP-tutkintoon osallistumatta ennen kuin osallistun seminaariin tai menen tutkintotilaisuuteen. Miten teen?
Osta ja lue Official (ISC)² Guide to the CISSP Exam. Saatavissa hyvin varustelluista kirjakaupoista sekä ISC2:n verkkokaupasta.
Saako Tietoturva r.y.:n jäsenet alennusta CISSP-seminaarista ja -tuotteista?
Kyllä. Tietoturva r.y.:n jäsenille myönnetään CISSP-seminaarin hinnasta toistaiseksi (v. 2006) 20 prosentin alennus. Kun ostat tuotteita (ISC)² verkkokaupasta, käytä tuotekoodia joka on näkyvillä yhdistyksen suojatuilla (=salasanallisilla) jäsensivuilla niin saat 10% alennusta.
Montako CISSP-tutkinnon suorittanutta henkilöä on Suomessa?
Noin 150 (Huhtikuu 2006).
Onko CISSP-tutkinto vaikea?
Tutkinto on haastava ja edellyttää pitkäjänteistä valmistautumista.
Saanko ottaa evästä mukaan CISSP-tutkintoon?
Kyllä, sama käytäntö kuin ylioppilaskirjoituksissa
Kuka voi auttaa jos minulla on ongelmia CPE-pisteiden tai muiden CISSP-asioiden kanssa?
Käänny Tietoturva ry:n CISSP-vastaavan puoleen.
Miten voin näyttää että minulla on CISSP-sertifiointi?
On suositeltavaa että käytät CISSP-lyhennettä sähköpostisi allekirjoituksessa ja käyntikortissasi. Lisäksi voit käyttää CISSP-pinssiä, jonka saat kun läpäiset kokeen.
CISSP-pinssini on hukkunut, mistä saa uuden?
Voit ostaa sellaisen ISC2:n verkkokaupasta: http://www.asestores.com/Merchant2/merchant.mv?&Store_Code=ISC2
Saako Tietoturva r.y.:n tilaisuuksista, kuten yritysvierailuista, keskustelutilaisuuksista ja syys- sekä kevätkokouksista CPE-pisteitä?
Kyllä.
Minkälaisia kysymyksiä CISSP-kokeessa on?
Kokeeseen osallistuneet ovat sitoutuneet sertifioinnin menetettämisen uhalla etteivät he kerro kysymyksistä mitään eteenpäin. Tämän vuoksi tähän kysymykseen ei voida tässä vastata. Valmentavassa kirjassa (katso yllä) on esimerkkikysymyksiä.