(ISC)²-Zertifizierung zum CISSP

CISSP-Zertifizierung für IT-Sicherheitsexperten

| Autor / Redakteur: Thomas Hemker, zertifizierter CISSP / Stephan Augsten

Die Zertifizierung zum CISSP genießt weltweites Ansehen.
Die Zertifizierung zum CISSP genießt weltweites Ansehen. (Bild: (ISC)² / Archiv)

Weiterbildungsmaßnahmen haben sich etabliert, auch im Bereich der IT-Sicherheit. Neben herstellerspezifischen Zertifizierungen erwerben auch immer mehr Berufstätige sogenannte Security-Management-Zertifikate. Weltweit anerkannt ist dabei der Certified Information Systems Security Professional (CISSP).

Das CISSP-Zertifikat nahm seinen Ursprung in den USA mit der Gründung der Non-Profit-Organisation (ISC)² im Jahr 1989. Wer es erlangen möchte, muss über eine zumindest fünfjährige Berufspraxis verfügen und sich durch Weiterbildungen auf dem aktuellen Stand halten. Dies ist bei vielen Computerführerscheinen und produkt- bzw. herstellerspezifischen Lehrgangsnachweisen nicht der Fall.

Eine andere Möglichkeit die Auszeichnung zu erlangen: mit einem Universitätsabschluss und vier Jahren Berufserfahrung kann man sein Wissen in zwei oder mehr der zehn CBK-Domänen (Common Body of Knowledge) nachweisen.

Es ist auch möglich, die Zertifizierung zu beginnen, wenn die erforderliche Berufserfahrung noch nicht erlangt wurde. In diesem Fall bekommt der Anwärter den Titel „Associate of (ISC)²“ verliehen und darf die Prüfung ablegen, wenn er die erforderlichen vier oder fünf Jahre erreicht hat.

Grundsätzlich ist es für die Prüfung egal, welche Position im Unternehmen bekleidet wird. Die Prüfung steht allen Berufsbezeichnungen offen – also dem IT-Administrator, IT-Sicherheitsanalysten, IT-Sicherheitsberater und Security Systems Engineer ebenso wie dem IT-Leiter, CISO oder CIO.

Die Domänen umfassen alle in der Informationstechnik relevanten Sicherheitsthemen:

  • Information Security Governance and Risk Management,
  • Access Control,
  • Cryptography,
  • Physical (Environmental) Security,
  • Security Architecture and Design,
  • Business Continuity and Disaster Recovery Planning, Telecommunications and Network Security,
  • Software Development Security,
  • Operations Security sowie
  • Legal, Regulations, Compliance and Investigations.

CISSP-Prüfung und Code of Ethics

Um den CISSP zu erlangen, muss eine kostenpflichtige Prüfung abgelegt werden, die aus 250 Multiple-Choice Fragen besteht und alle CBK-Domains umfasst. Innerhalb von sechs Stunden müssen diese Fragen richtig beantwortet und 700 Punkte erreicht werden, um die Zertifizierung erfolgreich abzuschließen.

Die Kandidaten müssen allerdings keine Trainings absolvieren, um die Zertifizierung zu erhalten. Sie müssen lediglich in der Lage sein, die Prüfung zu bestehen – und sie können sich mit verschiedenen Materialien freiwillig darauf vorbereiten, beispielsweise indem sie individuell lernen oder aber an einem Kurs teilnehmen, der die einzelnen CBK-Domänen beleuchtet.

(ISC)2 hat eine Vielzahl von Möglichkeiten entwickelt, um sich auf die Prüfung vorzubereiten. Dazu gehören, ein offizielles Textbook und die bereits eingeführten CBK Trainings, die von bereits zertifizierten Mitgliedern geleitet werden, die dafür in speziellen Schulungen ausgebildet wurden.

Eine weitere Möglichkeit besteht darin, das studiSCope online self-assessment Tool und Beispiel Prüfungen zu absolvieren. Darüber hinaus steht auch noch ein von Ausbildern geführtes oder selbst durchzuführendes eLearning zur Verfügung.

Ein erster Schritt, um das Ziel der Prüfung zu verstehen, ist das Candidate Information Bulletin herunterzuladen und einen der Domain Preview Webcast anzuschauen. Damit erhalten alle Kandidaten eine Art Prüfungs-Skizze zusammen mit Lese-Empfehlungen und sie können sich so selbst prüfen und auf den Test vorbereiten.

Wichtig ist auch festzuhalten, dass das Bestehen der Prüfung nicht nur eine Zertifizierung des Wissens darstellt. Damit einher geht auch die Mitgliedschaft bei der (ISC)2 als professionelle Organisation. Wer hier aufgenommen werden will, muss von einem anderen Mitglied empfohlen werden.

Nach dem Bestehen der Prüfung müssen alle Absolventen den Code of Ethics unterschreiben. Dieser Kodex verpflichtet zur Einhaltung von definierten Richtlinien und zu lebenslangem Lernen, das heißt zur Fortsetzung der Qualifizierungsmaßnahmen.

Erhaltung des CISSP

Danach gilt der CISSP drei Jahre lang, allerdings müssen in diesem Zeitraum 120 sogenannte CPE-Punkte (Continuing Professional Education) gesammelt werden. Sollte dies nicht gelingen, verfällt das Zertifikat und die Prüfung muss erneut durchgeführt werden. Werden die Punkte erreicht, verlängert sich die Zertifizierung um weitere drei Jahr.

In diesem Zeitraum müssen wiederum 120 CPEs gesammelt werden. Damit stellt die Organisation sicher, dass der Qualifikations-Standard kontinuierlich wächst und verbessert wird. Neben der Prüfungsgebühr muss jedes Jahr eine Verwaltungsgebühr in Höhe von 85 US-Dollar gezahlt werden.

Vorteile und Nutzen der Zertifizierung

CISSP-Zertifizierte werden weltweit als Security-Spezialisten anerkannt und verdienen nach den Recherchen der (ISC)2 in der Regel mehr als ihre nicht zertifizierten Kollegen. Für Unternehmen ist es beispielsweise wichtig zu wissen, dass ihre Angestellten sich fortbilden und auf neue Technologien und Trends vorbereitet sind. Hier spielt der Ansatz des lebenslangen Lernens der Organisation den Zertifizierten in die Karten.

Nach außen hin kann das Unternehmen darüber hinaus auch mit den Qualifikationen der eigenen Mitarbeiter werben und Vertrauen bei Partnern und Kunden gewinnen. Für Freiberufler, die in IT-Sicherheitsprojekten engagiert sind, stellt der CISSP eine bedeutende Auszeichnung dar.

Letztlich aber ist der wichtigste Aspekt der Zertifizierung das Training im Bereich Security Management. Da Experten mit der Zeit immer mehr Verantwortung übernehmen müssen, also Budgetverantwortung tragen und strategische Entscheidungen treffen müssen, wird dieses Feld immer wichtiger.

Informationssicherheit ist ein Querschnittsthema, das alle Businessbereiche eines Unternehmens betrifft und demzufolge umfassend betrachtet werden muss. Sowohl die unternehmensinternen Prozesse als auch die nach außen sichtbaren Server (Web/Mail/VPN) sowie Audit und Revisionsanforderungen in den richtigen Zusammenhang zu setzen, ist eine zunehmend häufigere Anforderung an Security-Experten, für die eine CISSP-Zertifizierung eine Grundlage bildet.

Tätigkeiten der Organisation und Erlangung der CPEs

Der Vorteil liegt neben dem umfangreichen Wissen, dass vor und nach der Prüfung vermittelt und erlernt wird auch in den Tätigkeiten der Organisation selbst. Die zertifizierten Experten werden teil einer internationalen Gemeinschaft mit vielen Möglichkeiten on- und offline.

Sie können beispielsweise kostenlos an (ISC)2 organisierten Konferenzen („Security Leadership“-Serie), Initiativen aus der Industrie oder verschiedenen Chapter-Programmen in den einzelnen Ländern teilnehmen. Darüber hinaus organisiert die (ISC)2 immer wieder Veranstaltungen für den fachlichen Austausch, Online-Foren und e-Symposien zu den unterschiedlichen Themen.

Mit dem sozialen Netzwerk InterSeC steht außerdem eine Online-Plattform zur Verfügung, in der sich Experten mit Gleichgesinnten aus aller Welt in Verbindung setzen können. Alle Zertifizierten können bei fast allen dieser hier kurz vorgestellten Aktionen CPEs für ihr Engagement verdienen.

Weitere Möglichkeiten bestehen durch die Rezension eines für die Branche relevanten Buches, für das Schreiben eines Fachbeitrags oder aber für die Teilnahme an themenzentrierten Kongressen. Dadurch erhalten sie sogar einen kleinen Verdienst dafür, dass sie ihr Wissen und ihre Fähigkeiten stetig reflektieren und verbessern.

Über den Autor

Thomas Hemker ist CISSP und Vorstandsvorsitzender für Öffentlichkeitsarbeit beim (ISC)2 Chapter Germany e.V.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42351098 / Security Management)