prawdopodobnie nikt nie był bardziej zaskoczony niż zarządzanie International Information Systems Security Certifications Consortium, (ISC)2, Kiedy 16-letni Indyjski uczeń liceum Namit Merchant wziął i zdał rygorystyczne Certified Information Security Systems Professional (CISSP) egzamin w zeszłym roku.
jeszcze zanim Merchant usiadł na egzaminie, (ISC)2 kładzie podwaliny pod zaostrzenie wymagań dotyczących najbardziej znanych w branży poświadczeń zawodowych. Od stycznia 2003 r. kandydaci CISSP będą potrzebować czteroletniego stopnia lub czteroletniego doświadczenia zawodowego, co jest znacznie bardziej rygorystyczne niż obecny trzyletni warunek doświadczenia.
Zmiana to krok w dobrym kierunku. Jeśli CISSP ma pozostać standardowym posiadaczem certyfikatów bezpieczeństwa, następnie (ISC) 2 musi właściwie policji wnioskodawców w celu zapewnienia, że tylko najbardziej wykwalifikowanych osiągnąć ten znak doskonałości. Co najmniej nowe wymagania powinny zmniejszyć prawdopodobieństwo, że (ISC)2 będzie certyfikować więcej nastolatków. (Jest to dobra wiadomość dla kupca, ponieważ prawdopodobnie będzie to oznaczać, że będzie trzymał tytuł najmłodszego CISSP przez długi czas.)
problem polega na tym, że (ISC)2 nie ma infrastruktury niezbędnej do weryfikacji historii zawodowej lub edukacyjnej każdego kandydata, co oznacza, że niektórzy mniej skrupulatni kandydaci prawdopodobnie wymkną się przez szczeliny.
nie przypuszczajmy, że wszelkie przeoczenia weryfikacyjne będą złośliwe. Istniejące wymagania certyfikacyjne CISSP są: (1)zgadzają się z Kodeksem Etycznym (ISC) 2, (2) zdają egzamin i (3) mają trzyletnie bezpośrednie doświadczenie w zakresie bezpieczeństwa w jednej lub więcej z 10 dziedzin. Pierwsze dwa wymagania są proste do zarządzania-niech kandydat podpisze się pod Kodeksem Etyki i zda test. Ale weryfikacja kwalifikacji jest znaczącym przedsięwzięciem.
pełna weryfikacja została przeprowadzona w przeszłości. Zanim nie było egzaminu CISSP, (ISC) 2 przyznane certyfikaty profesjonalistom w ramach jego” grandfathering ” program oparty wyłącznie na ich doświadczeniu. Ci dziadkowie byli tymi, którzy stworzyli oryginalny wspólny zbiór wiedzy (CBK) i pierwszy egzamin CISSP. Ponieważ tylko niewielka liczba osób była dziadkami, Komitet wolontariuszy był w stanie poradzić sobie z obciążeniem pracą.
ale z tysiącami wnioskodawców z całego świata każdego roku, jeden Komitet oczywiście nie może zweryfikować tysiące Aplikacji CISSP (ISC) 2 otrzymuje każdego roku. Obecnie aplikacja, weryfikacja, planowanie testów i procesy recertyfikacji są zakontraktowane (ISC)2 Services, oddział Scholder Measurement Technologies (SMT), firma testująca, która utrzymuje i wyniki CISSP i Systems Security Certified Practioner (SSCP) egzaminy. Ale Scholder nie jest odpowiedzialny za weryfikacje.
monumentalny problem z weryfikacją nie oznacza, że (ISC)2 powinien porzucić swoje wysokie standardy. Zamiast tego, powinien obejmować inne uzupełniające kontrole, które poprawią jego zdolność do weryfikacji kwalifikacji kandydatów CISSP.
kontrola punktowa jest jednym z możliwych sposobów zrównoważenia kosztów i wymagań weryfikacji, ale nie jest idealna. Audytorzy mogą znaleźć okazjonalne upiększanie przez kandydatów, ale nadal istnieje duże prawdopodobieństwo, że wiele niewykwalifikowanych osób uniknie kontroli.
Sponsoring to praktyczna metoda weryfikacji, która wymaga minimalnego wysiłku w części (ISC)2. Każdy CISSP jest zobowiązany do przestrzegania Kodeksu Etyki, tak (ISC)2 może zmniejszyć niektóre obciążenia lustracji wnioskodawców poprzez cissps potwierdzić kwalifikowalność kandydata. Jest mało prawdopodobne, aby członek o dobrej reputacji ryzykował utratę swojego poświadczenia poprzez sponsorowanie niewykwalifikowanego kandydata. Poza tym, jest to znacznie łatwiejsze do wyszukania istniejącego CISSP niż jest w celu weryfikacji edukacji wnioskodawcy i historii pracy.
zmiana sposobu raportowania doświadczeń może również pomóc. Obecny formularz zgłoszeniowy CISSP nie żąda informacji o zatrudnieniu, ale jest pozbawiony danych kontaktowych niezbędnych do kontroli przeszłości. Zbieranie opisu stanowiska i kontaktów weryfikacyjnych, liczby lat doświadczenia i odsetka wykonywanej pracy ochroniarskiej pomogłoby kandydatom w prawidłowej ocenie ich doświadczenia w pracy bezpośredniej i ułatwiło weryfikację. Opisy stanowisk i wartości procentowe można porównać z normami branżowymi, a informacje kontaktowe można wykorzystać do weryfikacji składnika bezpieczeństwa każdej z wymienionych pozycji.
te środki nie są idealne, ale mogą usprawnić proces weryfikacji i zmniejszyć liczbę aplikacji, które (ISC)2 musiałoby zweryfikować. Wysiłek organizacji w celu utrzymania i zwiększenia wartości CISSP jest z pewnością godne pochwały. Miejmy nadzieję, że (ISC)2 będzie kontynuować swoje bardziej rygorystyczne wymagania, stosując jeszcze bardziej ostateczne praktyki weryfikacyjne.
o autorze: William Stackpole, CISSP, jest aktywny (ISC)2 wolontariusz i były przewodniczący i obecny członek Komitetu Rozwoju Test CISSP.