Sannsynligvis var Ingen mer overrasket enn ledelsen Av International Information Systems Security Certifications Consortium, (ISC)2, da 16 år Gammel Indisk videregående student Namit Merchant tok og besto den strenge Certified Information Security Systems Professional (CISSP) eksamen i fjor.
SELV før Merchant satt til eksamen, HADDE (ISC)2 lagt grunnlaget for å stramme kravene til bransjens mest kjente profesjonelle legitimasjon. Effektiv januar 2003, vil cissp søkere trenger en fireårig grad eller fire års arbeidserfaring, som er betydelig strengere enn dagens tre års erfaring forutsetning.
endringen er et skritt i riktig retning. HVIS CISSP skal forbli standardbærer av sikkerhetssertifiseringer, må (ISC)2 ordentlig politi søkere for å sikre at bare de mest kvalifiserte oppnår dette kvalitetsmerket. I det minste bør de nye kravene redusere sannsynligheten FOR AT (ISC) 2 vil sertifisere flere tenåringer. (Dette er gode nyheter For Merchant, siden det vil trolig bety at han vil holde tittelen yngste CISSP i lang tid.)
problemet er at (ISC) 2 ikke har infrastrukturen som er nødvendig for å verifisere hver søkers faglige eller pedagogiske historie, noe som betyr at noen mindre omhyggelige kandidater sannsynligvis vil gå gjennom sprekkene.
La oss ikke anta at alle verifikasjonsoversikter vil være skadelige. De eksisterende cissp-sertifiseringskravene er: (1)godta (ISC) 2 Etiske retningslinjer, (2) bestå eksamen og (3) har tre års direkte sikkerhetserfaring i ett eller flere av de 10 domenene. De to første kravene er enkle å administrere – har kandidaten signere Code Of Ethics pledge og ta testen. Men verifisering av kvalifikasjoner er et betydelig foretak.
Full verifisering har blitt gjort tidligere. Før DET var EN cissp eksamen, (ISC)2 gitt sertifiseringer til fagfolk under sin» grandfathering » program basert utelukkende på deres erfaring. De grandfathered fagfolk var de som skapte den opprinnelige Common Body Of Knowledge (CBK) og den første cissp eksamen. Siden bare et lite antall mennesker var bestefar, var et utvalg av frivillige i stand til å håndtere arbeidsbelastningen.
men med tusenvis av søkere fra hele verden hvert år, en enkelt komiteen åpenbart ikke kan bekrefte tusenvis AV CISSP søknader (ISC)2 mottar hvert år. For tiden er søknad, verifisering, testplanlegging og resertifiseringsprosesser kontrahert TIL (ISC)2 Services, en gren av Scholder Measurement Technologies (SMT), testfirmaet som opprettholder og scorer cissp og Systems Security Certified Practioner (SSCP) eksamener. Men Scholder er ikke ansvarlig for å gjøre verifikasjoner.
det monumentale verifikasjonsproblemet betyr ikke at (ISC)2 skal forlate sine høye standarder. I stedet, det bør omfavne andre komplementære kontroller som vil forbedre sin evne til å verifisere cissp kandidatenes kvalifikasjoner.
Spot-checking er en mulig måte å balansere kostnadene og kravene til verifisering, men det er ikke ideelt. Revisorer kan finne sporadisk utsmykning av søkere, men det er fortsatt stor sannsynlighet for at mange ukvalifiserte mennesker vil unnslippe screening.
Sponsing er en praktisk verifikasjonsmetode som krever minimal innsats på (ISC) 2s del. Hver CISSP er pålagt å overholde Etiske Retningslinjer, så (ISC) 2 kan redusere noen av byrden av vetting søkere ved å ha Cissp validere en kandidats valgbarhet. Det er usannsynlig at et medlem i god stand vil risikere å miste sin legitimasjon ved å sponse en ukvalifisert søker. I tillegg, det er mye lettere å slå opp en eksisterende CISSP enn det er å verifisere en søkers utdanning og arbeid historie.
Å Endre måten erfaring rapporteres på, kan også hjelpe. Den nåværende cissp søknadsskjema ber om sysselsetting informasjon, men er blottet for kontaktinformasjon som er nødvendig for bakgrunnen sjekker. Innsamling av stillingsbeskrivelse og verifikasjonskontakter, antall års erfaring og prosentandel av sikkerhetsarbeidet som utføres, vil hjelpe kandidatene til å vurdere deres «direkte arbeid» erfaring og lette verifisering. Stillingsbeskrivelser og prosenter kan sammenlignes med bransjestandarder, og kontaktinformasjon kan brukes til å verifisere sikkerhetskomponenten for hver oppførte posisjon.
disse tiltakene er ikke perfekte, Men de kan forbedre vettingprosessen og redusere antall applikasjoner SOM (ISC)2 må verifisere. Organisasjonens innsats for å opprettholde og øke verdien AV CISSP er absolutt prisverdig. Forhåpentligvis vil (ISC)2 følge opp sine strengere krav med enda mer definitive verifikasjonspraksis.
Om forfatteren: William Stackpole, CISSP, er en aktiv (ISC) 2 frivillig og en tidligere leder og nåværende medlem AV Cissp Test Development Committee.