Certified Information System Security Professional
Origem: Wikipédia, a enciclopédia livre.
CISSP é o acrônimo para Certified Information System Security Professional, um certificado profissional emitido e mantido pelo consórcio ISC2, fundado com o objetivo de estabelecer critérios para avaliar profissionais que trabalham com segurança da informação.
De acordo com o consórcio ISC2, existem mais de 49.000 profissionais de segurança certificados em mais de 120 países[1]. Recentemente foi designada com a certificação ANSI ISO/IEC Padrão 17024:2003 -- trata-se da primeira certificação profissional a receber esta designação em caráter mundial.
A certificação é fundada sob um conjunto de melhores práticas estabelecidas pelo consórcio que foram agregadas na forma de 10 domínios.
Para se certificar, o profissional de segurança da informação deve passar em um exame de conehcimentos específico, aceitar o Código de Ética do ISC2, comprovar um tempo mínimo de experiência na área e ser "apadrinhado" por outro profissional.
[editar] Metodologia e Sistema de Controle de Acesso
Este domínio trata das melhores práticas para o desenvolvimento de metodologias de controle de acesso. De controles técnicos a controles gerenciais, trata-se de todo e qualquer mecanismo que tenha por objetivo estabelecer o tripo A (AAA - Autenticação, autorização e asserção - do inglês Authentication, authorization and accounting).
[editar] Segurança em Telecomunicações, Redes e Internet
Este domínio trata dos principais controles, técnicas e metodologias para assegurar a confidencialidade, integridade e disponibilidade de sistemas de informação através de mecanismos telemáticos, redes de informação e Internet.
[editar] Práticas de Gestão de Segurança
Trata-se do domínio que descreve as principais práticas de gestão da segurança de sistemas de informação. Está inserido neste contexto questões regulamentares (agências supra-governamentais), legislação específica (governo), gestão de políticas de segurança (diretrizes administrativas) e continuidade do negócio.
[editar] Desenvolvimento de Aplicações e Sistemas
Este domínio compreende todas as práticas para gerir o desenvolvimento de aplicações e sistemas informativos com o foco em assegurar a confidencialidade, integridade e disponibilidade dos dados.
[editar] Criptografia
O conjunto de melhores práticas para uso de algoritmos de criptografia simétricos, assimétricos e hash estão listados neste domínio. Considera-se também métodos de utilização híbridos que comportem a funcionalidade de autenticação, integridade e não-repúdio da informação.
[editar] Arquitetura e Modelos de Segurança
Este domínio reune os principais modelos de segurança utilizados para certificação de ambientes computacionais. São exemplos de modelos de certificação o ITSEC (Europa), TCSEC EUA (Orange Book), BS7799 Inglaterra e Common Criteria.
[editar] Segurança Operacional
Este domínio sugere uma compilação de boas práticas para a gestão operacional da segurança da informação, incluindo questões de armazenamento de cópias de segurança (técnicas de backup), controle operacional de turnos, contratação de recursos humanos, etc.
[editar] Plano de Continuidade de Negócios
O domínio mais próximo das necessidades da operação de negócios das empresas. Trata-se de uma compilação de melhores práticas para estabelecer um plano bem sucedido de continuidade de negócios, incluido procedimentos de contingência para componentes separados de negócio e, em casos mais tradicionais e custosos, um plano de recuperação de desastres.
[editar] Lei, Investigação e Ética
Este domínio trata das questões legais que tangem o universo da segurança da informação. De exemplos concretos como os atos de proteção a sistemas de telecomunicação (1996) nos EUA à condição atual da legislação européia, o objetivo é compreender a motivação para estabelecer regulamentações de proteção a informação em uma sociedade, processos investigativos para sustentar o devido processo legal e condição ética necessária para os profissionais envolvidos.
[editar] Segurança Física
Conjunto de melhores práticas para avaliar e estabelecer controles técnicos, operacionais e gerenciais de proteção física de um ambiente de processamento de dados.
