想要通过CISSP认证考试，必须具备以下几个条件：

1、遵守(ISC)²的规章制度。

2、在信息系统安全CBK（Common Body of Knowledge）规定的8个考试领域中最少2个范围的专业经验5年。

3、每3年需要重新认证，需要你在3年内获得120个Continuing Professional Education （CPE）信用分。

只有具备了以上三个条件，你才能有资格参加CISSP的认证考试，是不是很苛刻呢？但门槛越高，意味着你将获得的能力也越高，付出和收获总是成正比的。

另外，从2002年6月1日起，(ISC)²把取得CISSP的过程划分为两个步骤：认证和考试。通过考试之后，还必须取得第三方的认可才可以最终获得CISSP证书，第三方可以是参考者的雇主、或者是其他已获得认证的专业人士。这一举措增加了获得CISSP的难度，但也更明确了CISSP和其他安全认证的区别，保持了CISSP的权威性。

报考者必须具备至少五年的工作经验，拥有大学本科学历，需要五年工作经验，研究生学历仍需四年工作经验。工作经验应为CBK规定的8个知识域中的2个或多个范畴

签署并承诺遵守(ISC)²制定的职业守则（Code of Ethics）

支付599美元的报考费用，确定报考地点，参加长达6小时的CISSP考试

(ISC)²要求每个考生在报考时签署并承诺遵守(ISC)²以下的职业守则，若违背守则，(ISC)²有权收回

CISSP资质：.保护社会、全体国民和国家基础设施（Protectsociety,thecommonwealth,andtheinfrastructure）

诚实、正直、公正、合理和合法的行为（Acthonorably,honestly,justly,responsibly,and

legally）

对雇主提供勤勉和胜任的服务（Providediligentandcompetentservicetoprincipals）

发展和维护专家身份和荣誉（Advanceandprotecttheprofession）对于职业守则的理解，请参阅《信息安全专业人员职业守则导读》

自2002年6月起，将(ISC)²将考试和认证过程分开。在考生结束考试后立即知道考试成绩，若未能通过考试，邮件将告知考生其实际的分数和CBK每个范畴的得分情况，以便于为下次考试作准备。

若考生收到的邮件以祝贺（Congratulation）开头，那代表您已经通过分数线，但(ISC)²并不告知您获得的实际分数，同时邮件将附一份书面认可文件（endorsement）并要求您提供一份简历，该文件需要由CISSP、CISA、CPA或雇主签署，以证明您的简历符合实际情况。

只有在将简历和书面认可文件寄回(ISC)²后（有5%左右的申请者将接受抽查），您才正式成为一名合格的CISSP。您将收到一份正式的证书和徽章，另外还包括一张方便携带的名片卡、(ISC)²网站的登陆ID和密码文件，同时你可以将自己的信息在(ISC)²网站上公布以及可以加入CISSP论坛。

信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。

面对越来越严重的安全威胁，不单在IT技术领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验，保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如：

1、 适应市场中越来越热的对信息安全人才的需求

2、 增加对信息安全的知识和概念的理解

3、 为当前的工作增加信息安全的理念

4、 在日益激烈的职场竞争中增强自身优势

5、 在薪水增长和职务提升上更有优势

2004年（国内最早的CISSP之一）说起CISSP是国际上最权威的信息安全认证，CISSP其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识，同时好好的补充了其他七个CBK的知识，也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP，本身就是一个对学习者安全知识体系进行完善的过程。

国外的情况，以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为Senior Security Analyst/Engineer、Security Team Leader、Security Consultant、Security Manager等。最后， CISSP会进入企业管理高层，管理整个企业的信息安全或IT，头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。

国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2官方站点上的Member Directory功能中查询。

最后说说大家最感兴趣的CISSP薪水问题，在此就借用(ISC)² 2006年度的官方报告来说一下，CISSP薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，2006年CISSP的平均年收入为：

IT Administrator： $45000-$55000

Information Security Administrator：$75000

Security Analyst/Engineer：$80000

Manager， Information Security : $100000

CISO, CSO ：$150000 及以上

另外，国内和国外相同的一点是，拿到CISSP认证之后通常待遇都会有所提升。