CISSP
Dieser Artikel oder Abschnitt besteht hauptsächlich aus Listen, an deren Stelle besser Fließtext stehen sollte.

Der Certified Information Systems Security Professional (CISSP) ist eine Zertifizierung, die vom International Information Systems Security Certification Consortium, Inc. (auch: (ISC)²) angeboten wird und einen internationalen Weiterbildungsstandard auf dem Gebiet Informationssicherheit darstellt.

Von Kritikern wird angeführt, dass der CISSP auf Gegebenheiten in den USA fokussiert ist, die sich teilweise erheblich von deutschen oder europäischen unterscheiden. Als konkurrierende Zertifizierung wurde von einem deutschen Anbieter der TISP entwickelt.


Inhaltsverzeichnis

Nutzen eines CISSP-Zertifikats

Die Prüfung zum Certified Information Systems Security Professional ist eine Wissensprüfung im Bereich Informationssicherheit. Als die erste Zertifizierung, die durch ANSI als ISO-Standard 17024:2003 im Bereich Information Security akkreditiert wurde, bietet die CISSP-Zertifizierung Security Professionals nicht nur eine objektive Bewertung ihrer Kompetenz, sondern auch einen global anerkannten Leistungsstandard.

Um diese Prüfung zu bestehen wird ein großes und detailliertes Fachwissen und mindestens fünf Jahre Berufserfahrung im Securitybereich benötigt. Grundlage ist der aus zehn Themengebieten (Domains) bestehende "Common Body of Knowledge" (CBK).

Im Einzelnen sind dies:

  • Access Control Systems & Methodology
  • Applications & Systems Development
  • Business Continuity Planning
  • Cryptography
  • Law, Investigation & Ethics
  • Operations Security
  • Physical Security
  • Security Architecture & Models
  • Security Management Practices
  • Telecommunications, Network & Internet Security

Eine stringente Prüfung, der Zwang zum Nachweis der relevanten Berufserfahrung, eine notwendige Empfehlung und Referenzen, sowie die Pflicht zur ständigen Weiterbildung, um die Zertifizierung aufrecht zu erhalten, bilden das Fundament für eine der am meisten respektierten Security-Zertifizierungen weltweit.

Die Prüfung ist vor allem für Personen interessant, die im IT-Umfeld oder im IT-Security-Umfeld arbeiten, sofern sie über eine ausreichende Erfahrung verfügen. Immer häufiger findet man heute in Stellenausschreibungen im IT-Umfeld die Anforderung dieser CISSP-Ausbildung.

Erlangung des CISSP-Zertifikats

Nach bestandener Prüfung können sich die Kandidaten um die Registrierung als CISSP im "Endorsement" Verfahren bewerben (endorsement engl. für Empfehlung, Befürwortung). Das Verfahren beruht auf einer Empfehlung ("letter of endorsement") eines anderen CISSP bzw. einer gleichwertig vorgebildeten Person, die die fachliche Eignung und Erfahrung des Kandidaten bezeugt. Damit soll sichergestellt werden, dass der Kandidat die geprüften Kenntnisse auch wirklich in der Praxis erworben und eingesetzt hat.

Aufbau der CISSP-Prüfung

Es handelt sich um eine Multiple Choice-Prüfung. Während sechs Stunden sind 250 Fragen aus zehn Wissensgebieten zu beantworten. Es geht um die schnelle Beantwortung von Fragen, deren Antwort durch entsprechende Lerntechnik gelernt werden sollte. Logisches Herleiten, Nachdenken über Fragen, aktive Beantwortung in freier Rede usw. sind nicht gefragt. Die Prüfung soll einen möglichst breiten Querschnitt des Sicherheitsspektrums abdecken und durch gezielte Fragen das breitbandige Wissen der Kandidatinnen testen.

Die Fragen sind nach einem ganz bestimmten Schema aufgebaut. Die Grundidee der Prüfung ist es, nur so genannte geschlossene Fragen zu stellen. Jede Frage muss also genau so formuliert sein, dass bei vier gegebenen Antwortmöglichkeiten genau eine richtig ist. Es gibt im Grunde nur drei Typen von Fragen: Auswahl (Erkennung), Reihung (Ranking) und Näherung (am besten/am schlechtesten). Diese kehren immer wieder und lassen sich leicht an Schlüsselwörtern ablesen.

Seit 2005 kann die Prüfung auch auf Deutsch absolviert werden. Da die Prüfungsfragen sehr häufig auf Definitionen und Beschreibungen mit einem sehr speziellen Vokabular und bestimmten Schlüsselwörtern abzielen, ist eine rein deutsche Prüfung aber nicht zu empfehlen. Trotzdem sollte man derzeit als Prüfungssprache Deutsch angeben. Man bekommt dann einen zweisprachigen Fragenkatalog und kann so die Vorteile beider Sprachen nutzen.

Rezertifizierungsanforderungen

Um seine Zertifizierung zu behalten, muss der CISSP Weiterbildungsaktivitäten (CPE = continuous professional education) unternehmen, um in einer Dreijahresperiode 120 CPE-Punkte zu sammeln. Möglichkeiten sind Hersteller-Training, Besuch von Sicherheitskongressen, Studiengänge an Hochschulen im Bereich Sicherheit, Veröffentlichung eines Artikels oder Buchs, Tätigkeit als Trainer in der Sicherheit, Mitgliedschaft im Vorstand eines Berufsverbandes in der Sicherheit, Selbststudium, Lesen eines sicherheitsrelevanten Buchs oder Ehrenamtliche Arbeit für das (ISC)². Die Details hierzu findet man auf der Website des Anbieters (ISC)².

Code of Ethics

Jeder CISSP ist bestimmten ethischen Grundsätzen unterstellt. Handelt ein CISSP nicht nach diesen Grundsätzen oder verfügt er über nicht genügend Fachwissen, kann er jederzeit durch einen anderen CISSP bei der (ISC)² gemeldet werden. Dies kann ein formelles Audit zur Folge haben, welches bis zu der Revozierung des Titels und Ausschluss führen kann.

Der Code hat folgende Bestimmungen:

  • Beschütze die Gesellschaft, das Gemeinwesen und die Infrastruktur.
  • Handle ehrenwert, ehrlich, gerecht, verantwortungsvoll und den Gesetzen entsprechend.
  • Arbeite gewissenhaft und kompetent.
  • Fördere und beschütze den Berufsstand.

Access Control Systems & Methodology – Domain 1

In diesem Themengebiet (Domain) werden vor allem die Grundmechaniken der Zugriffskontrolle abgehandelt. Zugriffskontrollen werden allgemein in vier Kategorien aufgeteilt:

  • Physikalische Zugriffskontrolle
  • Administrative Zugriffskontrolle
  • Logische Zugriffskontrolle
  • Datenbasierende Zugriffkontrolle

Vorschriften für den Zugriff (Access Control Policies)

Modelle für die Zugriffsbeschränkung

Identifikations- und Authentifikationstechniken

Biometrische Zugriffskontrolle

Tokens

Tickets

Andere

  • RADIUS
  • TACACS Terminal Access Controller Access Control System

Monitoring

Penetrationstesting

Telecommunications, Network & Internet Security – Domain 2

Physikalische Charakteristiken

Netzwerk Layouts

Routers und Firewalls

Protokolle

Services

Sicherheitsrelevante Techniken

Weitere Themen

Security Management Practices – Domain 3

Basics

Änderungsmanagement

Interne Kontroll Standards

Datenklassifizierung

  • Kommerzielle Daten Klassifizierung
  • Behörden Daten Klassifizierung

Personalmanagement

Policy, Standards, Guidelines und Procedures

Security Awareness Programme

Business Continuity Planning – Domain 4

BCP und DRP

Weblinks


Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • CISSP — (Certified Information Systems Security Professional) es una certificación de alto nivel profesional otorgada por la (ISC)2 (International Information Systems Security Certification Consortium, Inc), con el objetivo de ayudar a las empresas a… …   Wikipedia Español

  • CISSP — Certified Information Systems Security Professional CISSP (en anglais : Certified Information Systems Security Professional), est une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d… …   Wikipédia en Français

  • CISSP — Certified Information Systems Security Professional (Computing » Security) * Certified Information System Security Professional (Business » Positions) …   Abbreviations dictionary

  • CISSP —    See Certified Information Systems Security Professional …   Dictionary of networking

  • Certified Information Systems Security Professional — CISSP Logo Certified Information Systems Security Professional (CISSP) is an independent information security certification governed by International Information Systems Security Certification Consortium (ISC)². (ISC)² is a self declared… …   Wikipedia

  • Certified Information Systems Security Professional — CISSP (en anglais : Certified Information Systems Security Professional), est une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d information. Le programme de certification est géré par …   Wikipédia en Français

  • Certified Information Systems Security Professional — Der Certified Information Systems Security Professional (CISSP) ist eine Zertifizierung, die vom International Information Systems Security Certification Consortium, Inc. (auch: (ISC)²) angeboten wird. Es handelt sich bei dem Zertifikat um einen… …   Deutsch Wikipedia

  • Teletrust Information Security Professional — Der T.I.S.P. (TeleTrusT Information Security Professional) ist ein unabhängiges Weiterbildungszertifikat für den Bereich Informationssicherheit. Die Zertifizierung zum T.I.S.P. ist ähnlich angelegt wie der CISSP, berücksichtigt aber die… …   Deutsch Wikipedia

  • Michael Gregg — is an American computer security specialist, noted speaker at security related events, and an author/coauthor of multiple books such as Build Your Own Network Security Lab and Inside Network Security Assessment [1] He is CEO of Superior Solutions …   Wikipedia

  • Information security — Components: or qualities, i.e., Confidentiality, Integrity and Availability (CIA). Information Systems are decomposed in three main portions, hardware, software and communications with the purpose to identify and apply information security… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”