Förnyelsekrav för CISSP

CISSP-förnyelsekrav

I dagens digitala tidsålder sker allt fler attacker och hot via cyberrymden. Brott som identitetsstöld, bankrån på nätet, säkerhetsöverträdelser, med flera, är mycket mer utbredda idag än för tio år sedan. Därför prioriterar företag och verksamheter att ha kompetenta informationssäkerhetsavdelningar, vars huvuduppgift är att se till att dessa företags tillgångar och vitala information skyddas.

Alla personer som är eller vill bli säkerhetskonsulter, säkerhetssystemingenjörer, säkerhetsarkitekter, säkerhetschefer, IT-chefer, säkerhetsdirektörer och liknande rekommenderas att ha en CISSP-certifiering. Enligt en artikel i Washington Post kräver 56 procent av cyberjobben inom kontraktsindustrin denna certifiering.

En certifiering som Certified Information Systems Security Professional (CISSP) anses vara den gyllene standarden när det gäller informationssäkerhetsreferenser. En person med denna certifiering anses ha tillräckliga tekniska kunskaper och färdigheter för att utveckla och/eller förbättra ett säkerhetsprogram jämfört med världsomspännande standardmätningar. Denna legitimation utfärdas av International Information System Security Consortium, Inc, eller förkortat (ISC)², som är en ideell organisation som ägnar sig åt informationssäkerhet.

Det finns stränga krav som måste uppfyllas för att bli erkänd som CISSP:

  1. Det krävs först en erfarenhet på cirka fem år inom säkerhetsrelaterade områden som erkänns av (ISC)².
  2. När man har skaffat sig den nödvändiga erfarenheten kan man sedan schemalägga och avlägga provet, som innehåller 250 frågor och tar cirka sex timmar.
  3. När man framgångsrikt genomfört och klarat provet måste man sedan bli vederbörligen godkänd av en (ISC)²-certifierad yrkesman som för närvarande är en aktiv medlem. Detta godkännande måste ske senast nio månader efter datumet för provet, annars måste man göra om provet.
  4. När en CISSP-certifiering har beviljats krävs omcertifiering vart tredje år för att upprätthålla standarden.

För att omcertifiera eller förnya CISSP-certifieringen krävs att vissa förnyelsekrav uppfylls. För en korrekt förståelse av hela förnyelseprocessen och kraven finns här några svar på de vanligaste frågorna om omcertifiering.

Hur länge är CISSP-certifieringen giltig?

CISSP-certifieringen är giltig i tre år. Det finns dock vissa krav som måste uppfyllas under denna period för att en medlem med god status ska kunna kvalificera sig för omcertifiering, annars kommer certifieringen att upphöra. Dessa krav omfattar bland annat att uppfylla kraven för fortbildning (CPE), betala årliga underhållsavgifter (AMF) och följa (ISC)²:s etiska kod.

Vad är CISSP CPE:s?

(ISC)² ser till att medlemmarna alltid är konkurrenskraftiga och inte slappa efter att de uppnått sin CISSP-certifiering, vilket är anledningen till att denna certifiering måste förnyas vart tredje år. En del av förnyelsekraven är att uppfylla ett visst antal CISSP CPE-poäng årligen och under treårsperioden. Krediterna erhålls genom att medlemmarna deltar i olika CISSP CPE-aktiviteter, som delas in i grupp A och grupp B-krediter. Krediter i grupp A ges för aktiviteter som är direkt domänrelaterade till certifieringen, medan krediter i grupp B ges för aktiviteter som ligger utanför domänen, men som är användbara för medlemmen, särskilt när det gäller allmän yrkesmässig utveckling.

Vad är CISSP AMFs?

CISSP AMFs hänvisar helt enkelt till de årliga underhållsavgifter som måste betalas som en del av förnyelsekraven för CISSP-certifieringen. Varje år måste medlemmen betala 85 dollar, totalt 255 dollar under den treåriga cykeln. För CISSP:s med en eller flera koncentrationer (ISSAP, ISSEP och ISSMP) krävs också en årlig avgift på 35 dollar per koncentration. Om en medlem till exempel har två koncentrationer blir det 70 dollar per år plus 85 dollar för CISSP AMF.

Vad är den etiska koden?

Den etiska koden, även kallad ”koden”, måste följas av alla informationssäkerhetsexperter som erkänns och certifieras av (ISC)², inte bara CISSP:er. Koden består av fyra obligatoriska kanoner, som är:

  • Skydda samhället, det allmänna bästa, nödvändigt offentligt förtroende och infrastruktur.
  • Agera hederligt, ärligt, rättvist, ansvarsfullt och lagligt.
  • Göra omsorgsfulla och kompetenta tjänster för principer.
  • Förbättra och skydda yrket.

Medlemmar som bryter mot någon klausul i koden, medvetet eller omedvetet, kommer att bli föremål för åtgärder som eventuellt kan resultera i att deras certifiering upphävs.

What Are the CISSP CPE Maintenance Requirements?

CISSP-certifierade medlemmar måste tjäna in och lämna in inte bara ett minsta antal CPE-poäng för hela treårsperioden, utan de måste också uppfylla en årlig totalsumma. De krediter som intjänas årligen adderas till det totala antalet krediter som krävs för de tre åren. För varje år i cykeln krävs minst 40 CISSP CPE-poäng, vilket ger totalt 120 poäng för hela den treåriga cykeln. Om en medlem har en eller flera koncentrationer måste han/hon tjäna 20 CPE-poäng per år som är direkt relaterade till den koncentrationen. Även dessa kommer att gälla för det totala kravet på minst 40 poäng per år.

Dessa CISSP CPE-aktiviteter måste slutföras under treårsperioden och senast det utgångsdatum som anges i certifieringen. CISSP CPE-poäng kan lämnas in efter utgångsdatumet (men inte mer än 90 dagar efter), men dessa poäng måste ha förvärvats före det angivna utgångsdatumet.

Vad är de olika CISSP CPE-verksamheterna?

Arbeten som utförs som en del av en CISSP:s ordinarie arbete berättigar inte till CISSP CPE-poäng. Krediterna intjänas när en medlem besöker eller deltar i utbildningar, konferenser, seminarier och liknande aktiviteter där han/hon kan skaffa sig kunskap och expertis. De delas in i grupp A (direkt relaterade till området) och grupp B-krediter (professionell utveckling utanför området). Här är några exempel på CISSP CPE-aktiviteter för vilka en medlem kan få poäng:

GROUP A GROUP B
Security Engineering Team Development Skills
Kommunikations- och nätverkssäkerhet Redovisningskurser
Säkerhetsarbete Färdigheter i mellanmänsklig kommunikation
Säkerhet och riskhantering Kurser i förvaltning
Förmögenhetssäkerhet Programmeringsspråk

Det finns andra aktiviteter som kan tas ut som CPE-poäng; Tabellen ovan visar bara några exempel. CISSP CPE-aktiviteter är inte begränsade till dessa exempel.

Medlemmar med god status behöver inte oroa sig för CPE-aktiviteter, eftersom (ISC)² har gjort det enkelt för sina medlemmar att få tillgång till dessa aktiviteter. Utbildningskurser och seminarier kan man delta i genom att skaffa information från (ISC)².

Hur beräknas CPE-poäng?

I grund och botten vägs CPE-poängen av de CPE-aktiviteter man besöker eller deltar i. I allmänhet tjänar en medlem en CPE-poäng per timme som han eller hon deltar i en utbildningsaktivitet, även om det finns vissa aktiviteter som är värda fler poäng. Nedan följer vanliga exempel på hur tillgodoräknanden beräknas utifrån aktiviteterna:

  • Deltagande i utbildningskurser eller seminarier (båda grupperna) – Deltagare i kurser eller seminarier som är relaterade till domänen kommer att få en grupp A-kredit per timme, medan en enda grupp B-kredit kommer att tilldelas per timme om den inte är relaterad till domänen. Kurserna kan genomföras på en utbildningsinstitution eller via online-kurser.

Tag till exempel en universitetskurs på tre krediter, som normalt pågår i cirka 16 veckor (under en termin). Om en kandidat väljer att delta i och fullfölja denna kurs innebär det totalt 40 undervisningstimmar, vilket sedan översätts till 40 CPE-poäng. Dessa 40 CPE-poäng uppfyller redan det årliga minimikravet för omcertifiering.

  • Deltagande i konferenser (båda grupperna) – Deltagare i konferenser med anknytning till cybersäkerhet kommer att kvalificera sig för en grupp A-kredit per timme, medan andra utbildningskonferenser får en grupp B-kredit per timme.
  • Deltagande i leverantörspresentationer (endast grupp A) – För varje halvtimme av deltagande i en leverantörspresentation tilldelas en grupp A-kredit, så länge presentationen är av pedagogisk karaktär och relaterad till området.

  • Genomförande av självstudier, datorbaserad utbildning (CBT) och podcasts (båda grupperna) – Deltagande och genomförande av någon av dessa ger en kredit per timme för medlemmen. Medlemmarna bör föra protokoll över sin närvaro vid någon av dessa för att kunna bevisa sin närvaro om de skulle bli granskade.
  • Volontärarbete för statliga och välgörenhetsorganisationer (endast grupp A) – Varje timmes volontärarbete ger en CPE-poäng. Detta volontärarbete måste vara relaterat till medlemmens legitimation, eftersom endast CPE-poäng i grupp A kommer att erkännas.
  • Läsa böcker om cybersäkerhet (endast grupp A) – En avslutad bok per år motsvarar fem CISSP CPE-poäng. Endast en bok per år är tillåten i detta fall. Efter att ha läst boken måste medlemmen ladda upp en kort sammanfattning av informationen från boken för att få dessa poäng.

Vad händer om jag inte uppfyller kraven för förnyelse?

Om en medlem inte uppfyller något av de krav som anges ovan kommer han/hon att få sin CISSP-certifiering annullerad eller återkallad. Om en medlem låter sin certifiering löpa ut utan att förnya den före utgångsdatumet anses certifieringen också vara återkallad. Medlemskapet kan dock återfås även efter att certifieringen har återkallats.

Det finns två sätt att återfå medlemskapet om certifieringen återkallas: Genom att göra om provet eller genom att överklaga. Det kommer att finnas en avgift på 35 dollar för återinförande som måste betalas vid återcertifiering, oavsett om det sker genom överklagande eller genom att göra om provet.

  • Överklagande – (ISC)²-styrelsen hör överklagandena. För att formellt lämna in ett överklagande måste medlemmarna skriva det skriftligen och lämna in det till styrelsen inom 90 dagar efter en händelse (förnekande av CPE-poäng, upphörande av certifiering etc.). Styrelsen kommer att sammanträda och ett beslut och ett formellt skriftligt svar kommer att skickas ut. Detta beslut betraktas som slutgiltigt.
  • Att göra om provet – En medlem kan göra om provet för att på nytt erhålla en certifiering. Medlemmen måste gå igenom samma process som han/hon gjorde första gången, när det gäller att boka in tentamen, betala tentamensavgiften och genomföra och framgångsrikt klara tentamen. Om en tidigare medlem klarar provet måste han/hon kontakta medlemsavdelningen för att återaktivera certifieringen.

Sammanfattning

Stråken för att erhålla och bibehålla ett CISSP-certifikat kan vara tråkiga, men det är ett nödvändigt krav eftersom den digitala säkerhetsvärlden är i ständig utveckling. (ISC)² har utarbetat dessa riktlinjer för att säkerställa största möjliga professionalism och högsta standard när det gäller cybersäkerhet. Företag och verksamheter som behöver informationsteknisk säkerhet behöver inte leta längre än till en certifierad CISSP. De kan lita på att de anlitar en certifierad CISSP, eftersom de vet att (ISC)² håller alla sina medlemmar på högsta nivå för att alltid garantera kvalitet. Hela processen, inklusive den treåriga certifieringscykeln, den ständiga utvecklingen tack vare kravet på CISSP CPE-poäng årligen och upprätthållandet av en etisk kod, bevisar detta.

Lämna ett svar

Din e-postadress kommer inte publiceras.