Fornyelseskrav til CISSP

CISSP-fornyelseskrav

I nutidens digitale tidsalder sker der flere og flere angreb og trusler via cyberspace. Forbrydelser som identitetstyveri, bankrøverier på nettet, sikkerhedsbrud m.m. er langt mere udbredt i dag, end de var for ti år siden. Derfor prioriterer virksomheder og forretninger at have kompetente informationssikkerhedsafdelinger, hvis vigtigste opgave er at sikre, at disse virksomheders aktiver og vitale oplysninger er beskyttet.

Alle personer, der er eller ønsker at være sikkerhedskonsulent, sikkerhedssystemingeniør, sikkerhedsarkitekt, sikkerhedschef, IT-direktør, sikkerhedsdirektør og lignende, anbefales at have en CISSP-certificering. En artikel i Washington Post fortæller, at 56 procent af cyberjobbene i entreprenørbranchen kræver denne certificering.

En certificering som Certified Information Systems Security Professional (CISSP) anses for at være guldstandarden inden for informationssikkerhedscertifikater. En person med denne certificering anses for at have tilstrækkelig teknisk viden og færdigheder til at udvikle og/eller forbedre et sikkerhedsprogram sammenlignet med standardmålinger på verdensplan. Denne legitimation udstedes af International Information System Security Consortium, Inc, eller forkortet (ISC)², som er en nonprofitorganisation, der beskæftiger sig med informationssikkerhed.

Der er strenge krav, der skal opfyldes for at blive anerkendt som CISSP:

  1. Der skal først opnås en erfaring på ca. fem år inden for sikkerhedsrelaterede områder, der er anerkendt af (ISC)².
  2. Når man har opnået den nødvendige erfaring, kan man derefter planlægge og tage eksamen, som indeholder 250 spørgsmål og tager ca. seks timer.
  3. Når man har bestået eksamen, skal man derefter være behørigt godkendt af en (ISC)²-certificeret professionel, som i øjeblikket er et aktivt medlem. Denne godkendelse skal ske senest ni måneder efter eksamensdatoen, ellers er det nødvendigt at tage eksamen igen.
  4. Når en CISSP-certificering er udstedt, kræves der omcertificering hvert tredje år for at opretholde standarden.

Omcertificering eller fornyelse af CISSP-certificeringen kræver, at visse fornyelseskrav er opfyldt. For at få en ordentlig forståelse af hele fornyelsesprocessen og -kravene er her nogle svar på de hyppigt stillede spørgsmål om recertificering.

Hvor længe er CISSP-certificeringen gyldig?

CISSP-certificeringen er gyldig i tre år. Der er dog visse krav, der skal opfyldes i denne periode, for at et medlem i god stand kan kvalificere sig til gencertificering; ellers vil certificeringen blive opsagt. Disse krav omfatter opfyldelse af CPE-point (continuing professional education), betaling af årlige vedligeholdelsesgebyrer (AMF’er) og overholdelse af (ISC)² Code of Ethics.

Hvad er CISSP CPE’er?

(ISC)² sørger for, at medlemmerne altid er konkurrencedygtige og ikke slappe, efter at de har opnået deres CISSP-certificering, hvilket er grunden til, at denne certificering skal fornys hvert tredje år. En del af fornyelseskravene er at opfylde et vist antal CISSP CPE-point årligt og i løbet af den treårige periode. Kreditterne optjenes ved at medlemmerne deltager i forskellige CISSP CPE-aktiviteter, der er kategoriseret i gruppe A- og gruppe B-kreditter. Gruppe A-kreditter gives for aktiviteter, der er direkte domænerelaterede til certificeringen, mens gruppe B-kreditter er for aktiviteter uden for domænet, men som er nyttige for medlemmet, især i forbindelse med generel faglig udvikling.

Hvad er CISSP AMF’er?

CISSP AMF’er henviser simpelthen til de årlige vedligeholdelsesgebyrer, der skal betales som en del af fornyelseskravene for CISSP-certificeringen. Hvert år skal medlemmet betale 85 dollars, i alt 255 dollars i løbet af den treårige cyklus. For CISSP’er med en eller flere koncentrationer (ISSAP, ISSEP og ISSMP) skal der også betales et årligt gebyr på 35 USD pr. koncentration. Hvis et medlem f.eks. har to koncentrationer, svarer det til 70 dollars om året plus de 85 dollars for CISSP AMF.

Hvad er den etiske kodeks?

Den etiske kodeks, også blot kendt som “kodekset”, skal overholdes af alle fagfolk inden for informationssikkerhed, der er anerkendt og certificeret af (ISC)², og ikke kun CISSP’er. Kodekset består af fire obligatoriske kanoner, som er:

  • Beskyt samfundet, det fælles bedste, den nødvendige offentlige tillid og tillid og infrastrukturen.
  • Handl ærefuldt, ærligt, retfærdigt, retfærdigt, ansvarligt og lovligt.
  • Betjening af principperne på en omhyggelig og kompetent måde.
  • Fremme og beskytte professionen.

Medlemmer, der overtræder en bestemmelse i kodekset, bevidst eller ubevidst, vil blive udsat for foranstaltninger, som muligvis kan resultere i annullering af deres certificering.

Hvad er CISSP CPE-vedligeholdelseskravene?

CISSP-certificerede medlemmer skal ikke kun optjene og indsende et minimum antal CPE-point for hele treårsperioden, men de skal også opfylde et årligt total. De kreditter, der optjenes årligt, lægges sammen til det samlede krævede antal kreditter for de tre år. For hvert år i cyklussen er der behov for mindst 40 CISSP CPE-point, hvilket giver et samlet antal på 120 for hele den treårige cyklus. Hvis et medlem har en eller flere koncentrationer, skal han/hun optjene 20 CPE-point, der er direkte relateret til den pågældende koncentration, hvert år. Disse vil også gælde for det samlede krav på mindst 40 credits om året.

Disse CISSP CPE-aktiviteter skal gennemføres i løbet af den treårige periode og senest på den udløbsdato, der er angivet i certificeringen. CISSP CPE-kreditterne kan indsendes efter udløbsdatoen (men ikke mere end 90 dage efter); disse kreditter skal dog være optjent før den angivne udløbsdato.

Hvad er de forskellige CISSP CPE-aktiviteter?

Arbejde, der udføres som en del af en CISSP’s normale arbejde, kvalificerer ikke til CISSP CPE-kreditter. Kreditterne optjenes, når et medlem deltager i eller deltager i træningssessioner, konferencer, seminarer og lignende aktiviteter, hvor han/hun kan opnå viden og ekspertise. De er opdelt i gruppe A-kreditter (direkte relateret til området) og gruppe B-kreditter (faglig udvikling uden for området). Her er nogle eksempler på CISSP CPE-aktiviteter, som et medlem kan optjene point for:

GROUP A GROUP B
Security Engineering Team Development Skills
Kommunikations- og netværkssikkerhed Regnskabskurser
Sikkerhedsoperationer
Sikkerhedsoperationer Færdigheder i interpersonel kommunikation
Sikkerhed og risikostyring Kurser i ledelse
Asset Security Programmeringssprog

Der er andre aktiviteter, der kan kræves som CPE-point; ovenstående tabel viser kun nogle eksempler. CISSP CPE-aktiviteter er ikke begrænset til disse eksempler.

Medlemmer i god stand behøver ikke at bekymre sig om CPE-aktiviteter, fordi (ISC)² har gjort det nemt for sine medlemmer at få adgang til disse aktiviteter. Man kan deltage i uddannelseskurser og seminarer ved at indhente oplysninger fra (ISC)².

Hvordan beregnes CPE-kreditter?

Helt grundlæggende vejes CPE-kreditterne ud fra de CPE-aktiviteter, man deltager i eller deltager i. Generelt vil et medlem optjene ét CPE-kredit pr. time, der bruges på en uddannelsesaktivitet, selv om der er nogle aktiviteter, der er flere kreditter værd. Nedenfor er almindelige eksempler på, hvordan kreditterne beregnes på grundlag af aktiviteterne:

  • Deltagelse i uddannelseskurser eller seminarer (begge grupper) – Deltagere i kurser eller seminarer, der er relateret til domænet, vil få ét gruppe A-kredit pr. time, mens der vil blive tildelt et enkelt gruppe B-kredit pr. time, hvis det ikke er relateret til domænet. Kurser kan tages på en uddannelsesinstitution eller via onlinekurser.

Tag f.eks. et universitetskursus på tre kreditter, som normalt løber over ca. 16 uger (i et semester). Hvis en kandidat vælger at deltage i og gennemføre dette kursus, vil det betyde i alt 40 undervisningstimer, som så omsættes til 40 CPE-point. Disse 40 CPE-kreditter opfylder allerede det årlige minimumskrav for recertificering.

  • Deltagelse i konferencer (begge grupper) – Deltagere i konferencer relateret til cybersikkerhed vil kvalificere sig til et gruppe A-kredit pr. time, mens andre uddannelseskonferencer giver et gruppe B-kredit pr. time.
  • Deltagelse i leverandørpræsentationer (kun gruppe A) – for hver halve times deltagelse i en leverandørpræsentation tildeles et gruppe A-point, så længe præsentationen er af uddannelsesmæssig karakter og relateret til området.
  • Gennemførelse af selvstudium, computerbaseret uddannelse (CBT) og podcasts (begge grupper) – Deltagelse i og gennemførelse af en af disse giver medlemmet et point pr. time. Medlemmerne bør føre optegnelser over deres deltagelse i disse for at kunne bevise deres deltagelse, hvis de skulle blive revideret.
  • Frivilligt arbejde for offentlige og velgørende organisationer (kun gruppe A) – Hver times frivilligt arbejde vil medføre et CPE-point. Dette frivillige arbejde skal være relateret til medlemmets legitimationsbevis, da kun kreditter fra gruppe A vil blive anerkendt.
  • Læsning af cybersikkerhedsbøger (kun gruppe A) – En afsluttet bog om året svarer til fem CISSP CPE-kreditter. Kun én bog pr. år er tilladt i dette tilfælde. Efter at have afsluttet bogen skal medlemmet uploade et kort resumé af de oplysninger, der er opnået fra bogen, for at optjene disse kreditter.

Hvad sker der, hvis jeg ikke opfylder kravene til fornyelse?

Hvis et medlem ikke opfylder nogen af de ovenfor anførte krav, vil han/hun få annulleret eller tilbagekaldt CISSP-certificeringen. Hvis et medlem lader sin certificering udløbe uden at forny den inden udløbsdatoen, anses certificeringen også for at være annulleret. Medlemskabet kan dog genvindes, selv efter at certificeringen er blevet annulleret.

Der er to måder at genvinde medlemskabet på, hvis certificeringen er blevet tilbagekaldt: Ved at tage eksamen igen eller ved at appellere. Der vil være et gebyr på 35 dollars for genindførelse, som skal betales ved gencertificering, uanset om det er ved appel eller ved at tage eksamen igen.

  • Appel – (ISC)²-bestyrelsen behandler appellerne. For at kunne indgive en formel appel skal medlemmerne gøre det skriftligt og indsende den til bestyrelsen inden for 90 dage efter en eventuel begivenhed (afslag på CPE-kreditter, udløb af certificering osv.). Bestyrelsen træder sammen, og der vil blive sendt en afgørelse og et formelt skriftligt svar. Denne beslutning betragtes som endelig.
  • Genoptagelse af eksamen – Et medlem kan genoptage eksamen for at opnå en certificering igen. Medlemmet skal gennemgå den samme proces som første gang med hensyn til planlægning af eksamen, betaling af eksamensgebyret og afholdelse og bestået eksamen. Hvis et tidligere medlem består eksamen med succes, skal han/hun kontakte medlemsserviceafdelingen for at genaktivere certificeringen.

Summary

Trinene for at opnå og vedligeholde et CISSP-certifikat kan være kedelige, men det er et nødvendigt krav, fordi verden af digital sikkerhed er i konstant udvikling. (ISC)² har udtænkt disse retningslinjer for at sikre den største professionalisme og de højeste standarder, når det gælder cybersikkerhed. Virksomheder og virksomheder, der har brug for informationsteknologisk sikkerhed, behøver ikke at lede længere end til en certificeret CISSP. De kan have tillid til at ansætte en certificeret CISSP, da de ved, at (ISC)² holder alle deres medlemmer på højeste niveau for altid at sikre kvalitet. Hele processen, herunder den treårige certificeringscyklus, den konstante udvikling takket være kravet om CISSP CPE-point årligt og opretholdelsen af en etisk kodeks, beviser dette.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.