萌新三问:个人有哪些安全证书?企业有哪些安全资质?跟投标有什么关系? – 作者:redhatd

1  序

怕自己写文章顺序会乱还是先列个大纲吧

A1.png

2  哪些机构颁发安全资质

国内主要的企业安全资质颁发机构主要有:“中国网络安全审查技术与认证中心(ISCCC)、“中国信息安全评测中心” 、“中国通信企业协会-通信网络安全专业委员会”、“云安全联盟(中国)”   详细介绍不叙述,访问网站即可。


2.1 中国网络安全审查技术与认证中心 (http://www.isccc.gov.cn/


image.png

中国网络安全审查技术与认证中心(CCRC,以前的中国信息安全认证中心) 也有ISCCC(中国信息安全认证中心)的缩写  。CISWA个人证书也由该机构颁发。


2.2 中国信息安全测评中心(http://www.itsec.gov.cn/

image.png中国信息安全测评中心是我国专门从事信息技术安全测试和风险评估的权威职能机构。


2.3  中国通信企业协会-通信网络安全专业委员会 (http://www.cace-ns.org.cn/

image.png

属于通信企业协会的下属单位,基本做运营商业务,需要此单位评定服务能力并颁发的资质。


2.4 云安全联盟(中国)

image.png

云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。

这里说的云安全联盟(中国),也叫云安全联盟中华大区。


3. 企业网络安全服务有哪些资质?

因为资质种类比较多,我这里主要列一些主要的,次要的我大概截图或简单描述一下。主要常见和有用的。

一般资质申请流程在对应网站查找即可,费用自行咨询,一般还需要一些项目文档作为支撑,以发证机构要求的东西根据申请资质不同而不同,但基本大同小异,这里不赘述。(觉得赶时间的找代办公司也行)

3.1 “中国网络安全审查技术与认证中心的资质

ISCCC 的资质以下这些 

image.png

最主要的 还是《安全集成服务资质认证》、《风险评估服务资质认证》、《安全运维服务资质认证

特别说明的是   一级为最高  三级为最低, 一般申请只能先申请三级。


3.2 “中国信息安全测评中心” 的资质

风险评估   安全工程   安全开发    灾难恢复   信息系统审计   大数据安全    云计算安全等

image.png

主要的:信息安全服务资质(安全工程类一级  )(风险评估 类一级

特别说明的是 一级为最低  三级为最高   跟上面的资质是相反的


3.3 ”中国通信企业协会-通信网络安全专业委员会”的资质

运营商业务必要的资质类别

风险评估、安全设计与集成 、应急响应服务、安全培训

image.png 


主要的:  风险评估、安全设计与集成

特别说明 一级为最低    其他依次增高   但目前申请情况  最高也只看到二级

image.png

3.4 “云安全联盟(中国)”的资质

对于企业一般加入会员就够, 收会员费   (不做云安全的厂家  就不太适用)

个人认证有CCSK、CCSMP、CCSSP

目前来讲 CCSK(云安全认证)  是见得比较多的。



4、安全从业者需要考什么证书/资质?

这个部分主要针对个人的证书

“我想从事安全行业需要什么证书?  这是很多才入行的萌新都有的疑问。

我个人认为 但是作为安全行业从业者需要的是对行业保持足够高热情和兴趣,也需要多年技术上的沉淀才行。在专业知识上也要有足够深度和广度。

不过在别人不了解你情况下证书是个挺好的敲门砖。

 这里分为   企业需要证书(投标用)  个人提高证书(国外)

4.1  企业需要证书(投标用)

出现顺序以个人经验排序,不作为客观依据,仅作为看过很多标书要求后的排名。

这里特别说明一下 考证的协议问题,大多公司要求你考证,但是会签一个协议,大体意思是考试费用公司出,但是你需要在公司工作2-3年,服役期满考试费用不扣,如果中途离职会需要扣除考试费用。 

还有就是如果你没考上下次考的话可能是自费,有些公司会有2次机会有些就1次机会。只要培训机构关系靠谱,自己认真看看背背题大概率都能过的。前提是你的工作要停下来,认真学习。这样概率大一些。

4.1.1  CISP

个人认为真是出现标书要求频次最高的。  没有之一。不过现在国内培训机构的问题,基本培训是一周左右时间,拉完几本书课程,然后背题库。

国内考试大多如此,题海战术没有错的。 CISP 新出 CISP-PTE  但是大多标书没有这样细化要求。

CISP考试报名条件:研究生及以上1年工作经验;本科2年工作经验;专科4年工作经验。(也有见过培训机构PS毕业证改工作年限的骚套路 好像也还行)

CISP即“注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全产品测评认证中心实施国家认证。系国家对信息安全人员资质的最高认可。

注册信息安全专业人员 ,根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”简称CISE; “注册信息安全管理人员”简称CISO,“注册信息安全审核员” 简称CISA。其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。–引用百度百科

4.1.2 CISWA

CISWA 有4个等级 预备级  基础级 专业级 专业高级    

主要方向:安全软件、安全集成、安全管理、安全咨询、安全运维、安全审计、风险管理、应急服务、灾备服务、业务连续性、网络攻防、工控安全、云安全、物联网安全、电子认证。

基本培训机构培训也是一周左右时间,拉完几本书课程,然后背题库。 

CISWA 专业级资格  我记得是6年非同类专业工作经验,或2年网络安全相关工作经验,具体还是问培训机构吧。   每个等级对工作年限有不同要求。

CISAW 是英文Certified Information Security Assurance Worker的首字母组合,中文是“信息安全保障人员认证”。

CISAW是中国信息安全认证中心  历经六年,集业界专家、企业精英、高校及研究机构学者参与打磨的针对信息安全保障不同专业技术方向、应用领域和保障岗位,依据国际标准ISO/IEC 17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。–引用百度百科

4.1.3 CCSK 

CCSK(Certification of Cloud Security Knowledge)是由CSA 2011年推出的云安全人才认证领域最权威的认证之一。

CSA(Cloud Security Alliance)云安全联盟,是在2009年美国RSA大会上成立的非营利性国际性组织,致力于研究云计算环境下的安全问题,旨在提供云计算环境下的最优解决方案。  –引用百度

这个周围没有考过的人,一般做虚拟化和云应该有必要考一个


4.1.4 ISO9001&ISO27001内审员

一般做外企或者一些跨国公司业务是很需要的,因为ISO是国际标准,还有一点就是很大的公司才需要内审这种角色和单位。这个考试相对冷门一些,但是也是有市场需求的。

ISO9001 ISO27001 大标准自己看多看看没坏处。

什么是内审员?

企业内部为了强化管理,而设置的内部审查机制。由富有经验、专业技术、专业职能的人员,经企业最高决策人评审。

根据 ISO9000 标准的要求,任何单位要取得 ISO9000 认证证书,必须由本单位内部定期进行内部质量审核(简称内审),而实施内审的人员必须是经过培训的有能力的内审员,ISO9000标准没有强制要求内审员需要取得资格证书,也能在单位中承担内审的任务。

所以,内审员资格证即具有内部审核资格的认定证书。

内审员资格证分类:

ISO9001:2008内审员

ISO14001:2004内审员

TS16949:2009内审员

OHSAS18001:2007内审员

ISO13485:2003内审员

ISO22000内审员

ISO27001内审员

4.2 个人提高证书(国外)

这里说的认证基本是标书很少提到的,基本考试属于偏“硬”而且有含金量(考试费用死贵)的,对提升自己能力有帮助的。

4.2.1  OSCP 

网站介绍:https://www.offensive-security.com/pwk-oscp/

OSCP 对于知道KALI 应该不陌生了。

OSCP认证,是一个专门针对Kali Linux渗透测试培训课程的专业认证。该认证机构声称,OSCP认证是一个区别于所有其它认证的考试,考试全程采取手动操作的方式,而不设笔试环节。

认证条件:

考试形式:OSCP的认证考试也是另类的存在,考生拥有24小时的时间(实际是23小时45分钟)去完成考试,具体如何分配时间由考生自己决定。题目是5台主机(随机抽取),目标是攻入并拿到最高权限(ROOT/SYSTEM)。基于难度级别,成功执行的攻击会获得相应的积分。24小时结束之后,你还有24小时去完成并提交考试报告(需要详细说明攻击步骤和里程碑截屏来证明确实攻破并获得相应权限)。

考试费用:$800美元(30天实验室访问+认证)当然也有更多时长的实验室访问套餐,详情如下,具体选哪个可根据自身情况自行选择:

image.png

4.2.2 CISSP

业界知名度高门槛也高的一个。费用和官网了解一下 https://www.isc2.org/

image.png

CISSP (国际注册信息安全专家)

这个认证基本上在安全行业也算知名度很高的了,发证机构是ISC2。 这个认证也是大家公认比较难考的一个,首先是覆盖面广,知识点很多,如果没有相关安全的工作经验,上来就直接复习,是会很烧脑的。另一个是认证方面,即使考试通过以后,想要拿到证书,需要申请人在八个域中至少2个域方面有五年相关工作经验,这个门槛就有点高。但是如果工作经验不足,也是可以参加考试,通过维持成绩的方法,到工作经验足够再去申请认证。

取得CISSP认证,表明持有者拥有完善的信息安全知识体系和丰富的行业经验,以卓越的能力服务于各大IT相关企业及电信、金融、大型制造业、服务业等行业,CISSP的工作能力值得信赖。

4.2.3 CISA

网站了解一下   http://www.isaca.org

image.png

CISA(国际注册信息系统审计师)      

CISA的发证机构是ISACA,这个机构还有CISM CRISC COBIT5.0等认证。先说CISA,这个目前在国内已经有很大影响了,在校生都已经开始意识到它对自己找工作的重要性;另一方面,现在大家可以看看四大咨询、金融证券行业、it审计岗或者是信息科技部门的员工,包括传统审计师对于CISA的青睐。

CISA跟CISSP一样,同样需要5年的工作经验,其中至少2年审计/控制领域的工作经验,工作经验相对CISSP有一些宽松,学历抵扣经验最多可以抵3年,而且成绩有效期是5年,所以可以先参加考试,后申请证书。


4.2.3 CISM

网站上面有了~~

CISM(国际注册信息安全经理)

CISM的发证机构是ISACA,跟上面的CISA是同一个发证机构。这个认证相对CISSP来说不相上下,难度甚至高于CISSP。CISM不同于其他的信息安全认证,在于它的经验要求以及集中在信息安全经理人工作上的执行。其他信息安全认证重点在于特定的技术、作业平台或是产品信息。或是针对信息安全工作的前几年工作。唯有CISM是针对信息安全经理人,重点已经不再是个别的技术或者是技能,而是移转到整个企业的信息安全管理。CISM是针对管理并且监督企业的信息安全的个人,许多人可能在其他领域都已经持有相关的认证。就因为集中在管理上的需要,以致工作经验相对有其重要性,所以CISM要求最少要有5年信息安全管理的经验,而考试的内容也都集中在信息安全经理人日常处理的工作上。

4.2.4 Security+(安全家)

PS: Security+ 初级 推荐  这个稍微价格和网站都友好一点 http://www.comptiachina.org/certification-detail.aspx?id=7

image.png

Security+是美国计算机协会CompTIA颁发的证书。这个认证主要偏向信息安全技术,学习内容相对较浅,适合刚毕业或者是从业经验少,需要转行做信息安全的人员。这对于想要入门安全行业是一个很好的敲门砖,尤其是外资企业对这个认证认可度。比较吸引人的是,对于参加考试的人员没有工作经验以及学历的要求,这对很多安全爱好者来说是很大的一个学习动力。


4.2.5 CCIE 

CCIE 严格的说不算安全认证,但是有一些安全内容,有些做安全真的并不懂网络基础,其实做安全的学学CCNA 内容也是不错的。

另一方面因为的国产化的推广,CCIE认证已经没有以前的风光。部分外企项目会要求CCIE。

CCIE 认证是Cisco认证体系中最顶级的证书。其他依次为CCNA-CCNP-CCIE 

要取得CCIE认证证书,需要取得以下课程考试:

1.CCIE资格考试(即笔试,2.5小时)考试费:450美元

2.CCIE实验考试(即Lab,8小时配置) 考试费:1600美元,北京考点为RMB10800元,移动考点为1900美元

有个同事在香港考的,虽然没有考过,也算完成自己的执念。


4.2.5 CIW

早些年还算可以的认证,现在CIW国际 和CIW中国完全是两个体系。切记。中国CIW有没有含金量?? 我只能呵呵

国内的CIW不要自己花钱去考。当然你要没证混个也行。

我这里推荐下国际的 

https://www.ciwcertified.com/ciw-certifications/web-security-series

image.png


image.png

5 典型的投标人员资质要求


5.1 示例标书一 (这只是对技术驻场的要部分) 

技术需求:


一)1名 10年以上网络安全相关工作经验

1. 建立业主单位信息安全管理体系和技术保障体系;

2. 梳理、评估业主单位信息安全管理水平,从物理安全、网络安全、应用安全、信息安全、运营安全、业务连续性及容灾等多个角度设计业主单位安全架构;合理协调资源与内外协作关系,推动项目顺利执行;

3. 负责信息安全技术及相关产品及项目的引入实施和运营维护;

4. 负责对整体信息架构安全隐患地挖掘、追踪与消除;对信息安全问题导致的紧急与突发事件制定应急预案,并做好预防性措施及定期演练;

5. 定期进行安全审计,并协助安全事件的调查;

6. 定期组织信息安全技术培训,完善信息安全知识库、工具建设;

7. 敏锐感知行业信息安全最新动态,了解前沿信息安全管理政策,定期发出信息安全公告。

8、具有CISP(注册信息安全专业人员)证书。

二)2名 5年以上网络硬件相关工作经验

1、负责服务器及其他硬件运维工作;

2、负责对各业务系统定期进行安全检查和渗透测试,并对发现的重大漏洞制定解决方案;

3、协助业主单位做好漏洞修补和系统加固工作。

4、负责内部网络建设和管理;进行网络架构的规划、设计、调整、性能优化;

5、网络环境的管理,配置,排错,维护;

6、网络设备的安装、配置、管理,提供网络设备维护方案;

7、网络安全,网络质量及网络设备的监控;

8、协助办公网络环境的维护,终端设备的维护。

9,责任心,积极主动,有团队精神,善于沟通。

讲重点   

第一条: 10年以上 安全人员一名 有等保经验 熟悉安全产品 漏洞挖掘 安全培训 漏洞预警 等技术要求  

 证书要求CISP

第二条  2名 5年以上 网络、桌面与服务器运维  协助漏洞整改修复等技术  (由于给网络安全侧关系不大不细写)

很明显对于安全有****要求,对于运维而言只有年限要求。 有些标书要求会写在服务应答表里面。  那个格式不好复制我就略过了。

5.2 标书示例二

四、资格要求

合格投标人应首先符合《中华人民共和国政府采购法》第二十二条规定的基本条件,同时符合根据该项目特点设置的特定资格条件。

(一)基本资格条件

1.具有独立承担民事责任的能力;

2.具有良好的商业信誉和健全的财务会计制度;

3.具有履行合同所必需的设备和专业技术能力;

4.有依法缴纳税收和社会保障资金的良好记录;

5.参加本次采购活动前三年内,在经营活动中没有重大违法记录;

6.法律、行政法规规定的其他条件。

(二)特定资格条件

1.投标人应为安全服务厂商或其授权服务中心。若为授权服务中心参与本次投标,应提供安全服务厂商与投标人的授权服务合同或证书;

2.安全服务厂商具备中国信息安全测评中心颁发的信息安全服务资质认证证书(安全工程类三级);

3.安全服务厂商具备针对本项目的原厂技术人员服务承诺函;

4.分公司参与磋商,需出示总公司的授权委托书原件。


采购法这里不做讨论

1:安全服务厂商或授权的服务中心人员。

2:这里要求的是特定的企业资质  (中国信息安全测评中心颁发的信息安全服务资质认证证书(安全工程类三级)  上面这个 企业资质提过 不赘述了。

3:安全服务厂商对于原厂技术人员服务承诺函

4:不赘述



就写到这把 希望对国内资质、个人证书懵逼的同学有点帮助

来源:freebuf.com 2020-01-06 16:14:04 by: redhatd

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论