A CISSP megújítási követelményei

CISSP megújítási követelmények

A mai digitális korban egyre több támadás és fenyegetés történik a kibertéren keresztül. Az olyan bűncselekmények, mint a személyazonosság-lopás, az online bankrablások, a biztonsági rések stb. ma sokkal jobban elharapóznak, mint egy évtizeddel ezelőtt. Ezért a vállalatok és vállalkozások kiemelt fontosságúnak tartják, hogy kompetens információbiztonsági részlegekkel rendelkezzenek, amelyek fő feladata, hogy gondoskodjanak a cégek vagyonának és létfontosságú információinak védelméről.

Minden olyan személynek, aki biztonsági tanácsadó, biztonsági rendszermérnök, biztonsági építész, biztonsági vezető, informatikai igazgató, biztonsági igazgató és hasonlók, ajánlott a CISSP tanúsítvány megszerzése. A Washington Post cikke szerint a szerződéses iparágban a kibermunkák 56 százaléka megköveteli ezt a minősítést.

A Certified Information Systems Security Professional (CISSP) minősítést az információbiztonsági bizonyítványok arany standardjának tekintik. Az ezzel a tanúsítvánnyal rendelkező személyt úgy tekintik, hogy a világszerte szokásos mérésekhez képest elegendő technikai tudással és készséggel rendelkezik egy biztonsági program kidolgozásához és/vagy továbbfejlesztéséhez. Ezt a bizonyítványt az International Information System Security Consortium, Inc. adja ki, vagy röviden (ISC)², amely az információbiztonság területével foglalkozó nonprofit szervezet.

A CISSP elismeréséhez szigorú követelményeket kell teljesíteni:

1. Először körülbelül ötéves, az (ISC)² által elismert, biztonsággal kapcsolatos területeken szerzett tapasztalatot kell szerezni.
2. A szükséges tapasztalat megszerzése után lehet beütemezni és letenni a vizsgát, amely 250 kérdést tartalmaz és körülbelül hat órát vesz igénybe.
3. A sikeres vizsga letétele és sikeres letétele után egy (ISC)² által tanúsított, jelenleg aktív tagsággal rendelkező szakembernek kell megfelelően jóváhagynia a vizsgát. Ennek a jóváhagyásnak legkésőbb a vizsga időpontját követő kilenc hónapon belül meg kell történnie, ellenkező esetben meg kell ismételni a vizsgát.
4. A CISSP tanúsítvány megszerzése után háromévente újratanúsítás szükséges a szabvány fenntartása érdekében.

A CISSP tanúsítvány újratanúsításához vagy megújításához bizonyos megújítási követelmények teljesítése szükséges. A teljes megújítási folyamat és a követelmények megfelelő megértése érdekében itt talál néhány választ az újratanúsítással kapcsolatos gyakran ismételt kérdésekre.

Meddig érvényes a CISSP-tanúsítvány?

A CISSP-tanúsítvány három évig érvényes. Vannak azonban bizonyos követelmények, amelyeknek ezen időszak alatt teljesülniük kell ahhoz, hogy a jóhiszemű tag jogosult legyen az újratanúsításra; ellenkező esetben a tanúsítás megszűnik. Ezek a követelmények közé tartozik a folyamatos szakmai továbbképzési kreditek teljesítése, az éves fenntartási díjak (AMF) megfizetése és az (ISC)² etikai kódex betartása.

Mi a CISSP CPE?

A (ISC)² gondoskodik arról, hogy a CISSP minősítés megszerzése után a tagok mindig versenyképesek és ne lazsáljanak, ezért ezt a minősítést háromévente meg kell újítani. A megújítási követelmények része a CISSP CPE kreditpontok bizonyos mennyiségének teljesítése évente, illetve a hároméves időszak alatt. A krediteket a tagok különböző CISSP CPE-tevékenységekben való részvétellel szerezhetik meg, amelyek A és B csoportba sorolhatók. Az A csoportba tartozó krediteket olyan tevékenységekért kapják, amelyek közvetlenül kapcsolódnak a tanúsításhoz, míg a B csoportba tartozó kreditek a szakterületen kívüli, de a tag számára hasznos tevékenységekért járnak, különösen az általános szakmai fejlődés szempontjából.

Mi a CISSP AMF?

A CISSP AMF-ek egyszerűen az éves fenntartási díjakat jelentik, amelyeket a CISSP tanúsítás megújítási követelményeinek részeként kell megfizetni. A tagnak minden évben 85 dollárt, összesen 255 dollárt kell fizetnie a hároméves ciklus alatt. Az egy vagy több koncentrációval (ISSAP, ISSEP és ISSMP) rendelkező CISSP-k esetében koncentrációnként 35 dolláros éves díjat is kell fizetni. Például, ha egy tag két koncentrációval rendelkezik, ez évi 70 dollárt jelent, plusz a CISSP AMF 85 dolláros díját.

Mi az etikai kódex?

Az etikai kódexet, amelyet egyszerűen csak “A kódex”-nek is neveznek, minden, az (ISC)² által elismert és tanúsított információbiztonsági szakembernek be kell tartania, nem csak a CISSP-nek. A Kódex négy kötelező kánonból áll, amelyek a következők:

• Védje a társadalmat, a közjót, a szükséges közbizalmat és közbizalmat, valamint az infrastruktúrát.
• Működjön becsületesen, tisztességesen, igazságosan, felelősségteljesen és jogszerűen.
• Tegyen szorgalmas és hozzáértő szolgálatot az elveknek.
• Elősítse és védje a szakmát.

A Kódex bármely pontját tudatosan vagy tudtán kívül megsértő tagok ellen eljárást indítanak, ami adott esetben a tanúsításuk visszavonásához vezethet.

Melyek a CISSP CPE fenntartási követelményei?

A CISSP tanúsított tagoknak nemcsak a teljes hároméves időszak alatt kell minimális számú CPE kreditet szerezniük és benyújtaniuk, hanem egy éves összpontszámot is teljesíteniük kell. Az évente megszerzett krediteket összeadják a három évre előírt teljes kreditszámhoz. A ciklus minden egyes évében legalább 40 CISSP CPE kreditpontra van szükség, összesen 120-ra a teljes hároméves ciklusban. Ha egy tag egy vagy több koncentrációval rendelkezik, akkor évente 20 CPE kreditet kell szereznie közvetlenül az adott koncentrációhoz kapcsolódóan. Ezek is beleszámítanak az évi legalább 40 kreditpontos teljes követelménybe.

Ezeket a CISSP CPE-tevékenységeket a hároméves időszak alatt, de legkésőbb a tanúsítványban feltüntetett lejárati időpontig kell elvégezni. A CISSP CPE krediteket a lejárati dátum után is be lehet nyújtani (de legfeljebb 90 nappal később); azonban ezeket a krediteket a megadott lejárati dátum előtt kell megszerezni.

Melyek a különböző CISSP CPE tevékenységek?

A CISSP rendszeres munkája részeként végzett munka nem felel meg a CISSP CPE krediteknek. A kreditpontokat akkor lehet megszerezni, ha a tag részt vesz vagy részt vesz olyan képzéseken, konferenciákon, szemináriumokon és hasonló tevékenységeken, ahol tudást és szakértelmet szerezhet. A kreditek A csoportra (közvetlenül a szakterülethez kapcsolódó) és B csoportra (a szakterületen kívüli szakmai fejlődés) oszlanak. Íme néhány példa a CISSP CPE-tevékenységekre, amelyekért a tag kreditpontokat szerezhet:

.

.

GROUP A	GROUP B
Security Engineering	Team Development Skills
Kommunikáció- és hálózatbiztonság	Könyvelési tanfolyamok
Biztonsági műveletek	Személyközi kommunikációs készségek
Biztonság és kockázatkezelés	Vezetői tanfolyamok
Vagyonbiztonság	Programozási nyelvek

Vannak más tevékenységek is, amelyek CPE kreditpontként igényelhetők; a fenti táblázat csak néhány példát mutat. A CISSP CPE-tevékenységek nem korlátozódnak ezekre a példákra.

A jóhiszemű tagoknak nem kell aggódniuk a CPE-tevékenységek miatt, mert az (ISC)² egyszerűvé tette tagjai számára, hogy hozzáférjenek ezekhez a tevékenységekhez. Az oktatási tanfolyamokon és szemináriumokon az (ISC)²-től való tájékozódással lehet részt venni.

Hogyan számítják ki a CPE krediteket?

A CPE krediteket alapvetően a CPE tevékenységek alapján mérik, amelyeken valaki részt vesz, vagy amelyeken részt vesz. Általában a tag egy oktatási tevékenységben eltöltött óránként egy CPE kreditet kap, bár vannak olyan tevékenységek, amelyek több kreditet érnek. Az alábbiakban általános példákat találunk arra, hogy a kreditek kiszámítása hogyan történik a tevékenységek alapján:

• Oktatási tanfolyamokon vagy szemináriumokon való részvétel (mindkét csoport) – A szakterülettel kapcsolatos tanfolyamokon vagy szemináriumokon való részvételért óránként egy A csoportos kredit jár, míg a B csoportos kreditekért óránként egy kredit jár, ha az nem kapcsolódik a szakterülethez. A tanfolyamok látogathatók oktatási intézményben vagy online tanfolyamokon keresztül.

Tegyük fel például egy három kreditpontos egyetemi tanfolyamot, amely általában körülbelül 16 hétig tart (egy félévben). Ha a jelölt úgy dönt, hogy részt vesz ezen a tanfolyamon, és elvégzi azt, akkor ez összesen 40 tanórát jelent, ami 40 CPE kreditpontot jelent. Ez a 40 CPE kredit már megfelel az újraminősítéshez szükséges éves minimumkövetelménynek.

• Konferenciákon való részvétel (mindkét csoport) – A kiberbiztonsággal kapcsolatos konferenciákon való részvétel óránként egy A csoportos kreditet, míg az egyéb oktatási konferenciákon való részvétel óránként egy B csoportos kreditet ér.

• Forgalmazói előadásokon való részvétel (csak az A csoport) – minden félórányi forgalmazói előadáson való részvételért egy A csoportos kredit jár, amennyiben az előadás oktatási jellegű és a szakterülethez kapcsolódik.

• Önképzés, számítógépes képzés (CBT) és podcastok teljesítése (mindkét csoport) – A részvétel és ezek bármelyikének teljesítése óránként egy kreditet ad a tagnak. A tagoknak nyilvántartást kell vezetniük az ezeken való részvételről, hogy auditálás esetén igazolni tudják a részvételüket.

• Önkéntes munka kormányzati és jótékonysági szervezetek számára (csak az A csoport) – Minden egyes óra önkéntes munka egy CPE kreditet von maga után. Ennek az önkéntes munkának kapcsolódnia kell a tag megbízólevélhez, mivel csak az A csoportba tartozó kreditpontokat ismerik el.

• Kiberbiztonsági könyvek olvasása (csak A csoport) – Évente egy befejezett könyv öt CISSP CPE kreditnek felel meg. Ebben az esetben évente csak egy könyv vehető figyelembe. A könyv befejezése után a tagnak fel kell töltenie egy rövid összefoglalót a könyvből szerzett információkról, hogy megszerezze ezeket a kreditpontokat.

Mi történik, ha nem teljesítem a megújítás követelményeit?

Ha a tag nem teljesíti a fenti követelmények bármelyikét, a CISSP-tanúsítványát törlik vagy visszavonják. Ha a tag hagyja, hogy a tanúsítványa lejárjon anélkül, hogy a lejárati dátum előtt megújítaná, a tanúsítványt szintén érvénytelenítettnek tekintik. A tagság azonban a tanúsítvány visszavonása után is visszaszerezhető.

A tanúsítvány visszavonása esetén a tagság visszaszerzésének két módja van: A vizsga újbóli letételével vagy fellebbezéssel. A visszaállítás díja 35 dollár, amelyet az újbóli tanúsításkor kell megfizetni, akár fellebbezéssel, akár a vizsga újbóli letételével történik.

• Fellebbezés – A fellebbezéseket az (ISC)² Testület bírálja el. A fellebbezés hivatalos benyújtásához a tagoknak azt írásban kell megfogalmazniuk és benyújtaniuk a testülethez bármely eseményt (CPE kreditpontok megtagadása, a tanúsítás lejárta stb.) követő 90 napon belül. A testület összeül, és határozatot, valamint hivatalos írásbeli választ küld. Ez a döntés véglegesnek minősül.

• A vizsga megismétlése – A tag a minősítés újbóli megszerzése érdekében megismételheti a vizsgát. A tagnak ugyanazt a folyamatot kell végigjárnia, mint az első alkalommal, ami a vizsga ütemezését, a vizsgadíj befizetését, valamint a vizsga letételét és sikeres letételét illeti. Ha a korábbi tag sikeresen leteszi a vizsgát, a tanúsítás újbóli aktiválása érdekében fel kell vennie a kapcsolatot a tagszervezeti részleggel.

Összefoglaló

A CISSP tanúsítvány megszerzésének és fenntartásának lépései fárasztóak lehetnek, de szükséges követelmény, mivel a digitális biztonság világa folyamatosan fejlődik. Az (ISC)² azért dolgozta ki ezeket az irányelveket, hogy a kiberbiztonság terén a lehető legnagyobb szakmaiságot és a legmagasabb színvonalat biztosítsa. Az informatikai biztonságot igénylő vállalatoknak és vállalkozásoknak nem kell tovább keresniük, mint egy tanúsított CISSP-t. Bátran alkalmazhatnak tanúsított CISSP-t, mert tudják, hogy az (ISC)² minden tagját a legmagasabb színvonalon tartja, hogy mindig biztosítsa a minőséget. Ezt bizonyítja az egész folyamat, beleértve a tanúsítás hároméves ciklusát, a CISSP CPE kreditek éves követelményének köszönhető folyamatos fejlődést és az etikai kódex fenntartását is.