(ISC)2 推出新安全認證以助減少應用程式漏洞

CSSLP認證確認安全知識; 獲微軟、Symantec及思科等國際機構支持

香港2008年9月26日電 /新華美通/ --為全球資訊保安專業人員提供教育及認證服務的非牟利組織(ISC)2(R)（讀作「ISC-squared」，中譯名為「國際信息系統安全核準聯盟」), 今天宣佈準備推出一項新的關於安全軟件開發常規及資格的認證，以正視應用程式漏洞頻生的問題。

CSSLP (Certified Secure Software Lifecycle Professional) 認證通過制定较佳工作常規 (best practice)，以及對個別人員在整個軟件生命週期（SLC-Software Lifecycle）中解決安全問題的能力予以資格認證,從以遏止因為軟件開發過程中的不足而造成的應用程式漏洞問題。CSSLP採用整全方式來解決軟件的安全問題。由於CSSLP採用的是中性代碼語言，所以適用於軟件生命週期（SLC）中涉及的所有人員，包括分析員、開發人員、軟件工程師、軟件架構師、項目經理、軟件質量保證測試人員以及編程人員。

「超過70%的安全漏洞問題存在於應用層面上*，對全世界的用戶造成了嚴重且直接的威脅，」(ISC)2(R) 董事會成員及信息安全論壇（ISF）新任主席 Howard A. Schmidt 稱，「安全防護往往是軟件生命週期中的最後一環,針對已暴露的威脅。現在是時候行動了，因為每天都有新開發且缺乏基本安全監控應用程式面世，而且目前數以千計的安全漏洞也常常被忽略。」

「缺乏安全防護的軟件不僅對企業是一個威脅，同時也會增加生產成本，延緩軟件開發，另外還使終端用戶不得不安排額外人員來維護軟件，」擁有 CISSP-ISSEP、CAP、CISA及 CNSS 資格的(ISC)2(R) 總幹事 W. Hord Tipton表示，「CSSLP 將成為對關鍵基礎設施進行更好的保護、減少軟件事故訴訟風險，以及更好地遵守行業和政府有關條例的關鍵因素。」

許多著名機構已表達了他們對CSSLP的支持，當中包括微軟、Symantec、商業應用軟件開發商協會(BASDA) 、印度數據安全委員會(Data Security Council of India-DSCI)（隸屬印度軟件與服務企業聯合會，NASSCOM）、SANS、SRA國際、较佳代碼軟件保護論壇(SAFECode)、思科、Xerox、ISSA、以及Frost & Sullivan等。其中的一些機構正準備選派他們的合資格軟件工作人員參加培訓和考試。以下是一些表示支持的機構之意見：

「為了更好地保護用戶免受不斷出現的威脅影響，軟件業必須共同努力，把安全防護更早地融入軟件開發生命週期。微軟大力支持軟件業為培訓和認證安全開發人員作出的努力，尤其對那些於資源有限的企業工作的人員。認證和培訓跟執行措施承諾、工具運用以及良好的程序一樣，都是軟件安全開發的關鍵。」

-- Steven B. Lipner，微軟安全工程戰略部高級總監

「面對數據安全和隱私所面臨的無法預知的挑戰，印度數據安全委員會(DSCI)歡迎 (ISC)2針對解決整個軟件生命週期中安全問題的計劃。我們認為(ISC)2 的 CSSLP 認證能滿足軟件生命週期過程中的決策者對以程序為中心，並且廠商中立的國際專業安全認證的需求。同時，它還為軟件廠商尋求向它們的客戶提供符合國際以及嚴格內部安全合規政策的高質量產品，提供了良好的解決方案。」

-- Kamlesh Bajaj 博士，DSCI（由印度軟件與服務企業聯合會NASSCOM發起成立）行政總裁

「隨著全球對信息和通訊技術的依賴不斷增加，用戶越來越關心軟件的安全問題，尤其是政府、關鍵基礎設施以及企業部門使用的軟件。通過向軟件專業人士提供認證，確保他們在整個開發過程中採取安全應用常規，(ISC)2 的 CSSLP 認證將幫助這個行業進一步解決『人材』的問題。」

-- Paul Kurtz，SAFECode 執行董事

「有組織的犯罪集團把注意力頻繁地放在對應用程式漏洞的攻擊上，同時亦增加了攻擊的頻率，使軟件安全成為保護敏感資料的首要考慮因素。我們認為 (ISC)2 新推出的 CSSLP 認證為解決這一關鍵問題提供了一條很好的解決途徑。CSSLP 可以補充SANS用於測試軟件開發人員安全編碼技能的GIAC安全軟件編程工程師 (GSSP)認證。」

-- Alan Paller，SANS 研究總監

CSSLP 考試的項目包括軟件生命週期、漏洞、風險、資訊保安基本知識和遵從等方面。參加考試的人員必須在軟件生命週期過程中有四年的實際工作經驗或者三年的工作經驗及資訊科技有關的學士學位（或地區性的同等學歷）。

CSSLP CBK(R) 包括了關於安全軟件項目的七個領域：

-- 安全軟件的概念

-- 安全軟件的要求

-- 安全軟件的設計

-- 安全軟件的實施和編碼

-- 安全軟件的測試

-- 軟件驗收

-- 軟件配置、操作、維護和處置

Tipton 補充說，「CSSLP 將保證我們在這場戰爭中的第一道防線，即人的因素上，擁有恰當的工具和知識來在整個軟件生命週期中，實踐和加強安全。」

首次 CSSLP 考試定於2009年6月底進行。目前，(ISC)2 正在接受符合經驗和其他要求的專業人士報名參加評估。這些人將成為首批CSSLP資格擁有者，並且將被邀請參與考試開發程序以及協助其他項目的開發任務。2008年9月25日（美國時間）至2009年3月31日為 CSSLP 經驗評估的接受申報期，第一期培訓班預定於2009年一季度舉辦。如需瞭解更多信息以及報名參加經驗評估，請瀏覽 http://www.isc2.org/CSSLP 。

(ISC)2 簡介

(ISC)2(R) (International Information Systems Security Certification Consortium, Inc.; 中譯名為國際信息系統安全核准聯盟）是一家為全球信息保安從業員提供國際金牌認證的組織。(ISC)2成立於1989年，已在130多個國家為超過60,000多信息保安菁英提供了資格認證。(ISC)2總部位於美國佛羅里達州棕櫚港，在美國華盛頓、英國倫敦、香港以及東京設有辦事處。(ISC)2 主要向達到標準的人士提供三種主要資格認證和相關專修教育：Certified Information Systems Security Professional（信息系統安全認證專家）(CISSP (R)) 及 CISSP 專業領域認證、Certification and Accreditation Professional（認證和鑒定專家）(CAP (R))，及 Systems Security Certified Practitioner（系統安全認證從業人員）(SSCP (R))。(ISC)2認證是首批符合 ANSI/ISO/IEC17024 全球人才評估認證標準下嚴格要求的信息技術證書。(ISC)2 亦提供 (ISC)2 CBK(R) 的教育產品及服務，進行全球信息安全從業員人力研究及發表報告。欲瞭解更多有關(ISC)2詳情，請登陸網站： http://www.isc2.org 。

(C) 2008, (ISC)2 Inc. (ISC)2, CISSP, ISSAP, ISSMP, ISSEP, and CAP, SSCP和 CBK 是(ISC)2, Inc. (國際信息系統安全核準聯盟) 的註冊標誌。

*來源：Gartner Group, 2005

聯繫人：

鍾嘉儀

(ISC)2 Asia-Pacific

電話: +852-3520-4001

電郵: kchung@isc2.org