CISSP

CISSP (ראשי תיבות באנגלית של: Certified Information Systems Security Professional, תרגום: מוסמך אבטחת מערכות מידע מקצועי) היא תעודת הסמכה פרטית באבטחת מידע הניתנת על ידי ISC)²) (אנ'), הקונסורציום הבינלאומי להסמכות באבטחת מערכות מידע.

נכון לינואר 2022 יש בעולם 152,632 מחזיקי תעודת CISSP, ‏94,320 מתוכם בארצות הברית ו- 414 בישראל^[1].

ב־14 ביוני 2004, נכנס CISSP לתקן ANSI ISO/IEC 17024:2003^[2]^[3]. ואושרה רשמית על ידי מחלקת ההגנה האמריקאית (ה-DoD)^[4]. ה-CISSP אומצה כנקודת מוצא עבור תוכנית ISSEP של הסוכנות לביטחון לאומי^[5].

במאי 2020 הכיר מרכז המידע הלאומי להכרה אקדמית בבריטניה (UK NARIC) במחזיקי ההסמכה כמקבילים לרמה 7, שהיא הרמה המקבילה לתואר שני (Master Degree). הכרה זו חשובה והופכת להיות מקובלת באיחוד האירופי גם כן. קיימים מגעים להכרה דומה גם בישראל, דרך מערך הסייבר הלאומי.

יתרונות החברות בקונסורציום - ²(ISC)[עריכת קוד מקור | עריכה]

חברות בקונסורציום יכולה לאפשר קורסים מקצועיים ללא תשלום, הנחות והטבות לכנסי אבטחת מידע ובתי עסק, רכישת ספרי לימוד מקצועיים של הקונסורציום ועוד^[6].

הבהרות בדבר מעמד ודרישות קבלת ההסמכה[עריכת קוד מקור | עריכה]

מעבר בחינת ההסמכה לבדו אינו הופך את המועמד להסמכה למוסמך מיידית. מועמד שעבר את בחינת ההסמכה אינו רשאי להציג עצמו כמוסמך CISSP. מי שעבר את הבחינה נדרש להוכיח 5 שנות ניסיון מקצועיות מצטברות בהיקף משרה מלאה (ע"פ דרישות הקונסורציום) בתחום אבטחת המידע/הגנת סייבר בטרם קבלת תעודת ההסמכה וזאת רק לאחר שצלח את מבחן ההסמכה. תארים אקדמיים מסוימים בתחום או תעודת הסמכה מוכרת (מתוך רשימת מאושרות) מהוות אישור בעבור שנת ניסיון אחת בלבד ומכאן שבצירופם יידרש המועמד להציג רק 4 שנות ניסיון במקרים מסוימים ע"פ שיקול דעתו הבלעדי של הקונסורציום^[7].

את תעודת ההסמכה ניתן לקבל בשתי דרכים בלבד:

על ידי המלצה ממחזיק תעודת CISSP המאשרת את הניסיון הרלוונטי.
על ידי המלצה מנציג וועדת אשרורים מקצועית מטעם הקונסורציום (תהליך ארוך ומדויק יותר) תוך הצגת מסמכי הוכחת ניסיון רלוונטי, תהליך קבלת ההסמכה מכונה Endorsement באנגלית ואורכו עומד על בין שבועיים ל-90 יום. גם אם המועמד בחר לבחור בהמלצה ממחזיק תעודת CISSP ייתכן והוא יידרש לעבור וועדה מקצועית כחלק מתהליך ביקורת פנימית ואימות מקצועי הנערך כל העת על ידי הקונסורציום למחזיקי התעודות והמועמדים לקבלת תעודות ההסמכה.

מחזיקי תעודת ההסמכה מחויבים לקוד האתי של הקונסורציום בכל עת המורכב מ-4 סעיפים עיקריים ותוכנם: אבטחת ביטחון הציבור ואמון הציבור, חוקיות, הוגנות, יושרה, כבוד הדדי וכנות, מקצועיות חסרת פשרות, קידום והגנה על המקצוע. שכן החזקת ההסמכה היא זכות מחייבת^[8].

רק לאחר השלמת מעבר הבחינה, השלמת תהליך ה-Endorsement וחתימה על הקוד האתי, יוכל המועמד להסמכה להציג את עצמו כמוסמך CISSP.

במדינות רבות בעולם, ההסמכה מקבילה לתואר שני ומהווה סטנדרט זהב לכשירות למקצוע אבטחת המידע או הגנת הסייבר. באירופה למשל, על פי דירוג מסגרת הכשירות המקצועית האירופאית (EQF)^[9], ההסמכה מקבילה בפועל לתואר שני מתקדם בדרגה 7 מתוך 8 הדרגות המקסימליות האפשריות וכך גם באנגליה, שם נהוג דירוג RQF^[10], במאי 2020 - הקונסורציום שחרר הודעה רשמית בנושא זה^[11]. בישראל המצב מעט שונה, ייתכן שבהשפעת הכשרות שמבוצעות במסגרת השירות הצבאי.

מבנה המבחן והשוואה מול מבחני הסמכה אחרים[עריכת קוד מקור | עריכה]

מבחן ה-CISSP הוא מבחן אדפטיבי ממוחשב (CAT), מורכב מ-100–150 שאלות, ומבוסס על 8 תחומי ה-CBK עליהם ייבחן המועמד בקפידה ובהם המועמד להסמכה חייב להוכיח בקיאות בחומר, ניתוח עסקי, יישום פרקטי וכן ראייה אסטרטגית (בכל אחד ואחד בלמעלה מ-300 הנושאים שנבדקים במבחן לאורכם ורוחבם של 8 תחומים), למועמד יעמדו 3 שעות בלבד לצלוח את המבחן בהצלחה, ועליו לעבור את המבחן בציון 700 לפחות מתוך 1000^[12]^[13].

מבחן ה-CISSP מוכר בכינויו: "Mile wide and an Inch deep", בתרגום ישיר לעברית, "רחב כמייל ועמוק כאינץ' ". הכוונה בביטוי זה היא שהמבחן כולל הרבה נושאים אך לא נכנס לפירוט מעמיק יתר על המידה בכל נושא. המבחן נחשב לאחד המבחנים המאתגרים מבין כלל מבחני הסמכות ה-IT/ICT ו-Cybersecurity הקיימים בשוק כגון: RHCSA ,CCNP, MCSE, CISM, CISA, CEH, GSEC, CCISO, OSCP.

מחיר הבחינה[עריכת קוד מקור | עריכה]

מחיר הבחינה בפברואר 2020 עמד על 699$ דולר, כ-2400 ש"ח^[14].

הצהרה בדבר זכאות להסמכה[עריכת קוד מקור | עריכה]

על המועמד למבחן ההסמכה לענות על 4 שאלות זכאות להסמכה בטרם הבחינה בהתאם לדרישות בדיקות הרקע של הקונסורציום^[15].

מועמד בעל רישום פלילי אינו רשאי להיבחן או להחזיק בהסמכות הקונסורציום.

תוכן ההסמכה[עריכת קוד מקור | עריכה]

תוכנית הלימודים לקראת CISSP מכסה מגוון נושאים של אבטחת מידע^[16]. הבחינה מבוססת על גוף הידע המשותף CBK (ראשי תיבות של Common Body of Knowledge) שמוגדר על ידי ISC)²). "ה-CBK הוא טקסונומיה – אוסף של נושאים רלוונטיים למומחי אבטחת מידע ברחבי העולם. CBK קובע מסגרת משותפת של מונחי אבטחת מידע, ועקרונות המאפשרים לאנשי מקצוע בתחום אבטחת המידע ברחבי העולם לדון, ולפתור נושאים הנוגעים למקצוע עם הבנה משותפת."^[17]

מ-15 באפריל 2018, CISSP תוכנית הלימודים כוללת את הנושאים הבאים:^[18]

אבטחה וניהול סיכונים
אבטחת נכסים
תכנון והנדסת אבטחה
תקשורת ואבטחת רשת
ניהול זהויות וגישה (IAM)
הערכת אבטחה ובדיקות
פעולות אבטחה
אבטחת תוכנה ופיתוח

הכנה למבחן[עריכת קוד מקור | עריכה]

מבחן ה-CISSP מקיף תחומי ידע רבים ועל כן נדרשת הכנה משמעותית אליו. ניתן להתכונן אליו במגוון דרכים, קורסי הכנה מקצועיים במכללות מורשות ובעלות אישור מיוחד להכנה למבחן מטעם הקונסורציום, ספרי לימוד רשמיים מטעם הקונוסורציום, קייטנת לימוד - Bootcamp, הדרכת און-ליין, הדרכה פרטית, כיתות הדרכה ייחודיות ועוד^[19].

דרישות חידוש הסמכה[עריכת קוד מקור | עריכה]

ההסמכה תקפה לשלוש שנים בלבד אך ניתן לחדשה לשלוש שנים נוספות בהינתן עמידה בדרישות הבאות:

תשלום דמי חבר במשך כל שנה במהלך כל שלוש השנים לתוקפה של ההסמכה^[20].
צבירת נקודות (שעות) המשך השכלה מקצועיות בהתאם לדרישות הסף (CPE)^[21].

ניתן לחדש את ההסמכה גם על ידי מעבר בחינה סמוך לתאריך תום 3 השנים לתוקפה של ההסמכה אך גישה זו לחלוטין אינה מומלצת ממספר סיבות:

עולה הרבה יותר
מצריך משאבי זמן רבים יותר
הבחינה אינה מבטיחה את צליחתה בצורה אוטומטית

התמחויות לאחר CISSP[עריכת קוד מקור | עריכה]

מחזיק תעודת הסמכת CISSP במצב מקצועי טוב (Good Standing) כפי שמוגדר על ידי קונסורציום הוא מי שעמד בכל החובות והזכויות שלו באשר להחזקת תעודת ההסמכה CISSP, והוא יכול לבחור להמשיך ולהתקדם לעבר תעודת הסמכה התמחות מיוחדת

CISSP Concentration, נכון לשנת 2020, ההתמחויות כלל אינן מוכרות בישראל, ולרוב^[^{דרוש מקור]} אינו מסייע למי שעובד בשוק המקומי בלבד ואינו עובד בחברות בינלאומיות או מול גורמים בינלאומיים הדורשים התמחות CISSP. לעיתים, בעבור פרויקטים מיוחדים, נדרשת תעודת הסמכה מיוחדת המכונה הסמכת עילית, מספר המחזיקים בהם בספירה כלל עולמית הוא 4,497, נכון לינואר 2020^[22].

ההתמחויות הן:

מוסמך הנדסת אבטחת מערכות מידע מקצועי ,CISSP-ISSEP.
מוסמך ארכיטקטורת אבטחת מערכות מידע מקצועי ,CISSP-ISSAP.
מוסמך ניהול אבטחת מערכות מידע מקצועי, CISSP-ISSMP.

על המועמד להתמחות המיוחדת לעבור מבחן הסמכה ייחודי בהתאם ל-CBK של ההתמחות המבוקשת, ועליו להוכיח 2 שנות ניסיון רלוונטיות להתמחות בלבד ולהשלים תהליך Endorsement מקוצר, כמו כן, על המועמד לחדש את תעודת ההתמחות על ידי צבירת נקודות (שעות) המשך השכלה מקצועית בהתאם לדרישות הסף (CPE) הרלוונטיות לתחום ההתמחות שלו בלבד (הנדסת אבטחת מידע, ארכיטקטורת אבטחת מידע, ניהול אבטחת מידע).

משנת 2019 אין צורך בתשלום דמי חבר נוספים בעבור החזקת תעודה נוספת של הקונסוצוריום^[20].

בעוד שתעודת ההסמכה CISSP מאשרת 5 שנות ניסיון מקצועי, תעודת התמחות מאשרת 7 שנות ניסיון מקצועי, 5 כלליות ו-2 נוספות הרלוונטיות להתמחות בלבד.

מחזיק תעודת ההסמכה CISSP במצב טוב אינו מוגבל להתמחות אחת בלבד, ומעטים האנשים שהצליחו לצלוח 3 מבחני התמחות. לרוב מבוצעת התמחות אחת ספציפית - תחום בו המועמד מצטיין במיוחד - הנדסה, ארכטיקטורה או ניהול.

מחיר מבחן התמחות בפברואר 2020 עמד על 599$ דולר, כ־2,055 ש"ח^[14]

תעודות הסמכה אחרות של הקונסורציום[עריכת קוד מקור | עריכה]

הקונסורציום מציע אפשרויות הסמכה גם לאלו שלא צברו 5 שנות ניסיון מקצועיות מצטברות בתחום אבטחת המידע/הגנת הסייבר. קיימות הסמכות כגון SSCP או מסלולי עמית להסמכה - מעמד מיוחד שניתן למי שצולח מבחן הסמכה ואינו בעל הניסיון הנדרש לקבלת ההסמכה,.מעמד זה מאפשר למועמד להסמכה לצבור את הניסיון הרלוונטי ואז לבצע Endorsement, כמו כן, הקונסוצוריום מציע אפשרויות העשרה נוספות להתמחות במגוון תחומים נוספים כגון הסמכות בתחום הענן, המגזר הרפואי, תכנות ועוד. כל זאת בהתאם ל-CBK של תחומים אלה ובכפוף לעמידה בזכויות ובחובות של הקונסורציום, לרבות תשלום דמי חבר פעם בשנה והמשך השכלה מקצועית.

קישורים חיצוניים[עריכת קוד מקור | עריכה]

אתר האינטרנט הרשמי של CISSP

הערות שוליים[עריכת קוד מקור | עריכה]

^ "Member Counts". (ISC)². נבדק ב-1 ינו' 2021. {{cite web}}: (עזרה)
^ ANSI Accreditation Services - International Information Systems Security Certification Consortium, Inc. (ISC)2, ansica.org (ארכיון)
^ "(ISC)² CISSP Security Credential Earns ISO/IEC 17024 Re-accreditation from ANSI" (Press release). Palm Harbor, FL: (ISC)². 26 בספטמבר 2005. אורכב מ-המקור ב-2 במרץ 2010. נבדק ב-25 באוקטובר 2021. {{cite press release}}: (עזרה)
^ "DoD 8570.01-M Information Assurance Workforce Improvement Program" (PDF). מחלקת ההגנה של ארצות הברית. 24 בינואר 2012. נבדק ב-12 באפריל 2012. {{cite web}}: (עזרה)
^ "NSA Partners With (ISC)² To Create New InfoSec Certification". 27 בפברואר 2003. אורכב מ-המקור ב-29 בספטמבר 2011. נבדק ב-3 בדצמבר 2008. {{cite web}}: (עזרה)(הקישור אינו פעיל, 19.2.2020)
^ Why Join (ISC)² | Benefits of Membership, www.isc2.org
^ CISSP Experience Requirements, www.isc2.org
^ Code of Ethics | Complaint Procedures | Committee Members, www.isc2.org
^ European Qualifications Framework
^ National qualifications frameworks in the United Kingdom
^ (ISC)² CISSP Certification Now Comparable to Masters Degree Standard, www.isc2.org
^ Register for Cybersecurity Exam | Find an Examination Near You | (ISC)², www.isc2.org
^ Exam Scoring FAQs | (ISC)², www.isc2.org
^ ¹ ² (ISC)² Exam Pricing | (ISC)², www.isc2.org
^ Background Qualifications | (ISC)², www.isc2.org
^ Conrad; Misenar; Feldman. 11th Hour CISSP. Syngress. ISBN 978-0-12-417142-8.
^ Tipton; Henry. Official (ISC)² Guide to the CISSP CBK. Auerbach Publications. ISBN 0-8493-8231-9.
^ "CISSP-Exam-Outline-121417--Final.ashx". (ISC)². נבדק ב-20 אפר' 2018. {{cite web}}: (עזרה)
^ Cybersecurity Certification Training | Exam Prep, www.isc2.org
^ ¹ ² AMFs Overview | What are AMFs | Pay AMFs, www.isc2.org
^ CPE Portal Questions | (ISC)², www.isc2.org
^ "Member Counts". (ISC)². נבדק ב-15 בינואר 2018. {{cite web}}: (עזרה)

[1] "Member Counts". (ISC)². נבדק ב-1 ינו' 2021. {{cite web}}: (עזרה)

[ansi-17024-2] ANSI Accreditation Services - International Information Systems Security Certification Consortium, Inc. (ISC)2, ansica.org (ארכיון)

[3] "(ISC)² CISSP Security Credential Earns ISO/IEC 17024 Re-accreditation from ANSI" (Press release). Palm Harbor, FL: (ISC)². 26 בספטמבר 2005. אורכב מ-המקור ב-2 במרץ 2010. נבדק ב-25 באוקטובר 2021. {{cite press release}}: (עזרה)

[4] "DoD 8570.01-M Information Assurance Workforce Improvement Program" (PDF). מחלקת ההגנה של ארצות הברית. 24 בינואר 2012. נבדק ב-12 באפריל 2012. {{cite web}}: (עזרה)

[5] "NSA Partners With (ISC)² To Create New InfoSec Certification". 27 בפברואר 2003. אורכב מ-המקור ב-29 בספטמבר 2011. נבדק ב-3 בדצמבר 2008. {{cite web}}: (עזרה)(הקישור אינו פעיל, 19.2.2020)

[6] Why Join (ISC)² | Benefits of Membership, www.isc2.org

[7] CISSP Experience Requirements, www.isc2.org

[8] Code of Ethics | Complaint Procedures | Committee Members, www.isc2.org

[9] European Qualifications Framework

[10] National qualifications frameworks in the United Kingdom

[11] (ISC)² CISSP Certification Now Comparable to Masters Degree Standard, www.isc2.org

[12] Register for Cybersecurity Exam | Find an Examination Near You | (ISC)², www.isc2.org

[13] Exam Scoring FAQs | (ISC)², www.isc2.org

[Pricing-14] ¹ ² (ISC)² Exam Pricing | (ISC)², www.isc2.org

[15] Background Qualifications | (ISC)², www.isc2.org

[11th_hour_book-16] Conrad; Misenar; Feldman. 11th Hour CISSP. Syngress. ISBN 978-0-12-417142-8.

[CBK_BOOK-17] Tipton; Henry. Official (ISC)² Guide to the CISSP CBK. Auerbach Publications. ISBN 0-8493-8231-9.

[18] "CISSP-Exam-Outline-121417--Final.ashx". (ISC)². נבדק ב-20 אפר' 2018. {{cite web}}: (עזרה)

[19] Cybersecurity Certification Training | Exam Prep, www.isc2.org

[AMFS-OVERVIEW-20] ¹ ² AMFs Overview | What are AMFs | Pay AMFs, www.isc2.org

[21] CPE Portal Questions | (ISC)², www.isc2.org

[22] "Member Counts". (ISC)². נבדק ב-15 בינואר 2018. {{cite web}}: (עזרה)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]