那些通过CISSP的人,后来都怎么样了?

CISSP(Certified information System Security Professional, 注册信息系统安全认证专家)是信息安全专业人士证明对网络安全策略的认知和实践经验及执行的理想之选。它表明您拥有设计、开发和管理一个组织整体安全态势的高级知识和技能。

截至2019年5月31日,CISSP国内会员数量仅有2,538人,认证含金量极高。

聂君于首届顾问团会议为大会出谋策划

聂君的安全从业经历

成都 · 世界信息安全大会专家顾问团成员之一的聂君,即是通过CISSP认证的安全从业人员之一。聂君拥有十余年银行证券信息安全从业经历,现任奇安信集团首席安全官兼网络安全部总经理。曾在招商银行总行信息技术部安全团队工作九年,安信证券信息安全总监。维护过网上银行、各类网络安全系统,在安全运营、异常行为模式识别、反钓鱼反欺诈等方面有过经历。2018 年度深圳市产业发展与创新人才,2016 年起担任国际灾难恢复协会(DRI)中国区常委,2014 年任银监会信息科技高层指导委员会联络员。牵头起草金融行业安全运营行业标准,参与了行业标准《证券期货业信息技术服务连续性管理》。个人专著《企业安全建设指南:金融行业安全架构与技术实践》,机械工业出版社,2019年3月上市发售。业余时间维护“君哥的体历”公众号,专注于金融行业企业安全建设实践,企业安全落地最后一公里,订阅量1万+,贡献了大量原创技术文章,广受好评。

由左至右依序为:谭晓生、聂君、刘志乐、戴鹏飞、周景平(黑哥)等顾问团成员参与首届顾问团会议

聂君的CISSP之路

内容来源:聂君专著《企业安全建设指南:金融行业安全架构与技术实践》
CISSP和CISA是我接触比较早的两个认证,某天有个四大的人递过来一张名片,上面写着CISSP、CISA,我想这两个认证可能比较值钱他才会印在自己名字上吧。后来去网上搜了一下,确实在安全界这两个认证还是得到很多人的认可的,也比较火。我想原因有两个:一是这不同于IT厂商推出的认证,没有题库,也不仅仅是讲自己的安全产品的使用,而确实涉及安全的方方面面知识,对于刚进入安全圈子的人来说,开阔知识面,增加阅历是很有帮助的。二是安全理念。我觉得安全是没有标准答案的一门学问,在安全领域,永远没有人可以告诉你做到哪些你们企业就安全了,可以高枕无忧了;恰恰相反,安全是一个持续的过程。安全需要你不断地更新你的知识库,并且你不能仅仅从你的角度出发考虑问题,也不能仅仅从技术角度出发解决问题,安全更多时候面临的是复杂环境,如何做好动态平衡是需要安全从业人员认真学习的一门艺术。从这个角度出发,我觉得老外的这些安全认证给我们很多启发。这些考试普遍需要从多个岗位、多个角度上看问题(安全不是一个人说了算的事情,与每一个人的参与有关),尤其是对风险的管控和对业务的保障,这是不少考试出题的重要视角。

首届大会「主论坛&分论坛」出品人及议题

聂君担任「CSO论坛」出品人

7月11日上午,多位专家顾问团成员,及近百家媒体汇聚中国西部博览城,共同参与了“Informa Markets华西总部设立 暨 INSEC WORLD大会发布会”。当日下午,谭晓生、刘志乐、聂君、周景平、杨卿、吴湘宁、李秋石、王怀宾、谢超首、戴鹏飞,以及成都市经信局代表等出席了首届INSEC WORLD顾问团会议,并由谭晓生董事长主持会议进行。会议上确认了首届大会框架、主论坛主持人、审议议题征集投稿,针对征集到的不同议题集群,重新排列组合分论坛主题与内容。并于会上推举出4位顾问团成员担任分论坛出品人,严选分论坛议题及演讲人。
主论坛议题将围绕信息安全的顶层设计和发展趋势;分论坛依据企业信息安全建设的实际需求出发,设置6个纵衡相结合的主题,充分挖掘与解决企业CSO在各安全工作方面的痛点。
其中,聂君将担任大会首日「CSO论坛出品人,拟定话题包含「甲方企业安全管理」、「红蓝对抗」等。

注册参会,获赠聂君亲笔签名书

成都 · 世界信息安全大会将陆续公布参会活动方案,赠出聂君亲笔签名专著《企业安全建设指南:金融行业安全架构与技术实践》。

全书架构:

全书共两部分25章,读者可以通过浏览目录进一步了解各章的内容,本书介绍了企业安全建设的方方面面,也可以当作一本安全工作参考书,遇到问题时,可以挑选任何所需要的章节进行阅读。  
第一部分安全架构,主要是介绍了企业安全建设涉及领域,金融行业安全建设的一些特点,几大重点安全管理领域如内控合规、外包管理等,对安全团队建设、安全培训、安全考核、安全预算等进行了深入阐述,有助于读者从企业安全建设者的角度了解企业安全的视角和解决问题的思路。这部分内容包括简介、金融行业信息安全、安全规划、内控合规管理、安全团队建设、安全培训、外包安全、安全考核、安全认证和其他,其他包括安全预算、厂商管理、安全总结和安全汇报。 
第二部分技术实战,主要是介绍企业安全建设中的一些安全技术应用实践,包括应用安全、内网安全、数据安全和业务安全,对一些防护重点如邮件、活动目录、补丁管理、抗DDoS攻击等进行了深入阐述,对安全运营、应急响应和安全趋势以及从业者的未来做了一些开放式探讨。这些有助于企业安全负责人更好的掌握全局,顺势而为。附录中介绍了企业安全技能树,还在持续更新中,有兴趣的读者可以和我们互动反馈。

大会高阶培训,CISSP课程

成都‧世界信息安全大会支持单位「(ISC)² 国际信息系统安全认证联盟」旗下的CISSP(Certified Information System Security Professional, 注册信息系统安全认证专家)培训课程为大会高阶培训项目之一。