渗透测试和报告提交应由认证的CEH或CISSP进行。

Question

渗透测试和报告提交是否必须由认证的CEH或CISSP完成？还是拥有安全和工具专业知识的人可以执行？如果任何人可以这样做，也可以接受符合任何标准的要求，如ISO 27001，PCI等。

Answer 1

有这么多不同的认证，以至于全球法规不可能要求一个特定的认证。

此外，证书所涵盖的内容也有很大差异。CISSP不为渗透测试做准备。CEH可以被看作是太“轻”。提供CEH的组织为渗透测试人员(LPT)提供了单独的认证。

在英国，五酯类化合物的含量最高，在某些监管情况下，这是英国公司所必需的。

目前，对于像ISO 27001和PCI这样的标准，只需证明测试人员具备执行测试的“合格”。

但千万不要因为法规这么说就做点什么。他们不应该是“复选框”的演习，你做的最低限度。他们是一个指南，帮助你做什么是最好的业务。目标是以满足业务目标的方式实现监管需求的最佳形式。

Answer 2

如果任何人可以这样做，也可以接受符合任何标准的要求，如ISO 27001，PCI等。

具体到PCI，DSS声明(例如)：

11.3.1.b Verify that the test was performed by a qualified internal
resource or qualified external third party and, if applicable,
organizational independence of the tester exists (not required to 
be a QSA or ASV).

在这种情况下，“有保留”是指“由执行审计的QSA确定的”。作为PCI公司的一名成员，我进行了渗透测试，审计员要求我看我的简历，其中包括多年的安全经验、CISSP证书和一些(非五旬节) GIAC证书。这对他们来说很容易就够了。

就像在PCI下的任何事情一样，您的里程可能会根据您的QSA而有所不同.而且，回到其他标准的更广泛的问题，如ISO 27001，同样是正确的.对笔试证书的要求一般不是在标准中编码，而是由审计师来判断。