CISSP(Certified Information Systems Security Professional)

1. CISSP 자격증 제도의 제정 배경

■ 보안전문가의 역할

- 조직의 컴퓨터시스템과 통신상의 보안문제 파악 및 대책 수립            
- 기술적인 보안솔루션 제공
- 보안정책, 표준 및 지침 수립 및 통제절차 마련

■ CISSP 자격증 제도의 제정 과정

1980년대 중반이후 - 보안전문가 전문자격 제도의 필요성 증가
1988년 11월 - 정보보호전문가 자격 인증제도 개발을 위한 컨소시엄을 구성
1989년 중반 - 정보시스템보안전문가 자격인증제도 개발 목적으로 (ISC)2 출범

■ (ISC)2(International Information Systems Security Certification Consortium)는 비영리단체  [참고] (ISC)2 참여기관

ISSA(Information System Security Association), CSI(Computer Security Institute)
DPMA(Data Processing Management Association)의 SIG-CS,
CIPS(Canadian Information Processing Society),
International Federation of Information Processing,
미국과 캐나다 정부기관, 아이다호 주립대학 등

2. CISSP 자격증의 의의

■ CISSP(Certified Information Systems Security Professional)

=> 국제공인 정보시스템 보안전문가를 일컫는 명칭

■ 일반적인 의미 :

컴퓨터시스템, 정보통신망, 응용시스템 및 관련시설을 보호할 수 있는 기술적인 솔루션을 제공함과 동시에 정보보호정책, 표준 및 절차 등을 제정, 선택, 수행 및 관리할 수 있는 기술과 지식 보유

■ 실제적인 의미

- (ISC)2의 직업윤리강령 준수
- 정보보호분야 또는 유관분야에서 전문가로서 3년 이상 경력자
- 대부분의 조직에서 널리 받아들여지며 인정되는 정보시스템 보안에 관련된 전문 지식 (Common Body of Knowledge) 10개 도메인을 모두 포함하는 자격 시험에 합격하였음

3. 직업윤리강령(Code of Ethics)

■ (ISC)2가 인증한 보안전문가(CISSP)는 시험 합격과 자격심사를 통해 얻고 유지해야 하는 특권임을 인식해야 하며 이를 위해 모든 CISSP는 직업윤리강령(Code of Ethics)을 서명하고 준수하여야 한다. 직업윤리강령(Code of Ethics)을 의도적이든 비의도적이든 위반하는 모든 CISSP는 자격정지를 결정할 수 있는 징계위원회(Peer Review Panel)에 회부된다.

■ 직업윤리강령의 구성

- 기본원칙 : 전문가의 윤리적인 판단으로 대치할 수 없는 절대적인 준수사항
- 가이드라인 : 각 기본원칙별로 부가적인 가이드라인은 절대적인 준수사항은 아니지만  보안전문가가 직면할 수 있는 윤리적, 도덕적 딜레마를 해결하는데 도움을 주는 데 목적

3. CISSP 자격시험 응시자격

■ (ISC)2의 직업윤리강령(Code of Ethics)에 반드시 서명

■ 정보시스템보안과 연관된 지식과 기술을 요구하는 보안업무종사자, 보안감사사, 보안컨설턴트, 보안제공업자, 컴퓨터범죄수사관, 보안제품 개발자 등 실제로 보안과 관련하여 정규직원(Full time)으로 3년 이상 근무한 경력자. 즉, 보안관련 경력은 CBK의 10개 도메인 중 하나이상의 도메인에서 근무한 경력을 모두 합하여 3년 이상이 되어야 응시할 수 있음.

4. 시험 응시 요령

■ 출제방식 :

객관식 250문제(6시간)
각 질문에 대한 정답은 오직 하나
언급한 CBK 10개의 도메인에서 무작위 출제, 도메인별 순서 없음
사용언어 : 영어
시험응시지역 : 미국을 포함한 약 20여 개국(1년에 수 차례 시행)

■ 응시요령

(ISC)2 의 홈페이지에서 응시원서를 신청
자신이 응시할 날짜와 지역 등을 표기한 응시원서를 (ISC)2에 제출
응시료 : 395달러(21일전 접수기준)
일단 접수가 되면 시험장소와 날짜에 대한 확인편지가 응시자에게 발송

■ 시험결과

시험일로부터 약 6-8주가 지난 후 시험결과(합격/불합격) 통보
예상합격선 : 70%이상 득점
불합격 시 최소 3개월 간은 재응시 불가

5. 시험 준비 요령

■ CISSP CBK Review Seminar과정

10개의 시험 도메인에 대한 교육 제공
4일짜리 2개 모듈로 구성(총8일)
상세 일정은 (ISC)2 홈페이지에서 참조

■ CISSP Certification Common Body of Knowledge Study Guide

시험준비를 위한 기본책자/준비서
각 도메인별 개요 및 도메인을 구성하는 이슈들에 대한 항목 열거

6. CISSP 자격시험 국내 시행 및 준비과정

① CISSP 자격시험 국내 최초 시행
- 시험일시 : 2000년 12월 16일(토요일) 09:00 ~ (총 6시간)
- 시험장소 : 동국대학교내 지정 강당
- 접수방법 : www.isc2.org에서 직접 신청(자세한 내용은 홈페이지 참조)

② CISSP 자격시험 준비 과정

- 과정일정 : 2000년 11월 4, 5, 11, 12, 18, 19, 25, 26일 (총 8일간)
- 접수처 : 동국대학교 국제정보대학원 교학부 허광도 과장(전화 : 02-2260-3733)
- 접수기간 : 9월 1일부터 10월 31일까지
- 강사진 : 국내 CISSP 보유자(정보보호기술 이성권 대표이사, 인포섹코리아 오경희 컨설팅팀장) 및 각계 정보보호전문가

7. 참고서적  

1. CISSP EXAMINATION TEXTBOOKS, 2권, First Edition,
(Volume 1: 519 페이지, Volume 2: 472 페이지)

2. Information Security Management Handbook, Fourth Edition (728 페이지)
by Micki Krause(Editor), Harold F. Tipton(Editor). CRC Press

3. Computer Security Basics (464 페이지)
by Deborah Russell, G. T. Gangemi. O'Reilly & Associates

4. Computer Security HandBook, Third Edition
by Arthur E. Hutt (Editor), Seymour Bosworth (Editor), Douglas B. Hoyt. John Wiley & Sons

5. Network Intrusion Detection: An Analysts' Handbook (267 페이지)
by Stephen Northcutt. New Riders Publishing

8. CBK(Common Body of Knowledge)

CBK는 정보보호전문가가 기본적으로 이해하며 서로 공유할 수 있는 일반적인 내용으로 구성된다. CBK의 내용들은 전문가들 간에 대화 및 이해를 원활히 하는 중요수단이 될 수 있다. 따라서 CBK는 특정 기술과 업무에 종속되지 말아야 하며 전문가들 사이에 널리 사용되는 일반적인 내용들이어야 한다.

CBK를 구성하는 10개의 도메인은 다음과 같다.

① 접근제어시스템 및 방법론(Access Control Systems & Methodology)
② 통신망 및 네트웍 보안(Telecommunications & Network Security)
③ 보안관리(Security Management Practices)
④ 응용프로그램 및 시스템 개발(Application & Systems Development)
⑤ 암호학(Cryptography)
⑥ 보안 아키텍쳐 및 모델(Security Architecture & Models)
⑦ 컴퓨터운용 보안(Operations Security)
⑧ 사업연속계획 및 비상복구계획(Business Continuity & Disaster Recovery Planning)
⑨ 법, 수사 및 윤리(Law, Investigations & Ethics)
⑩ 물리적보안(Physical Security)