做了四年CISP運營管理,經(jīng)常遇到有朋友問關(guān)于CISP、CISSP這兩個信息安全類認證應該考哪個的問題,所以萌生了寫一篇關(guān)于這兩個認證的對比說明,幫助需要在信息安全領(lǐng)域獲取認證的同學們更好的選擇一個適合自己的認證。
一、認證的選擇
談到認證的選擇,首先第一條就是先想清楚為什么要考一個證書?如果是單位安排的,那這個問題就不用談了,如果可以自己選擇,那么就想清楚,選擇認證的目的是什么,或者獲得認證的目的是什么。這個明確了,我相信應該大致清楚選擇哪個認證了??颊J證無外乎就這么幾個目的:
1) 鍍金以提高身價
如果行業(yè)或者公司有相關(guān)規(guī)定或文件,那我想就不用考慮了,這個選擇就簡單了。哪個對升職加薪有幫助當然選哪個,或者說行業(yè)、公司更認可哪個認證就考哪個好了。至于希望證書抬高身價的,先問問目前有沒有哪個公司會因為持有某個認證而額外給予更高薪資的。就我所了解的還沒有,基本上都是比較務實,最多是招聘時標注有XX認證的優(yōu)先考慮。
2)求職的敲門磚
想拿認證當求職的敲門磚,更好找工作的,先想想自己求職的目標在哪?這個清楚了才好說該怎么選你的敲門磚。目前信息安全領(lǐng)域是沒有職業(yè)資格證書的,也就是說所有證書都不是執(zhí)業(yè)必須的,所有號稱職業(yè)資格的基本都是忽悠。既然是非職業(yè)資格,那么證書是否重要,就看證書代表了什么,也就是說證書能證明你什么能力。CISP和CISSP都算信息安全領(lǐng)域中算比較知名的認證了,兩個認證知識體系都是“一英里寬一英寸深”的特點,也就是說兩個認證都是大而全的知識體系,都不會把知識深入太多,但是基本都覆蓋了,讓學員有信息安全的總體知識概括,未來想在哪個領(lǐng)域發(fā)展,肯定還需要深入學習。那么CISSP和CISP能幫助對安全沒有整體概念的打好了基礎(chǔ),建立了體系化的概念,幫助有一定基礎(chǔ)的人員梳理和體系化信息安全知識的總體概念,所以這兩個認證證明持證人員對信息安全知識了解比較全面。
3)想通過認證學習知識的
作為把考取認證當成學習知識的一種方法,這兩個認證基本差不多,沒有本質(zhì)區(qū)別,所以還是建議看認證的適用范圍,畢竟學習的目的還是為了應用。
二、CISP與CISSP差別
之前介紹過,兩個認證都是"一英里寬一英寸深"的 知識體系,也就是說兩個認證都是大而全的知識體系??梢赃@么說,兩個認證基本上定位、知識體系都是一樣的。CISSP從2011年就開始謀求在中國與CISP互認,互認的備忘錄都簽了,當時雙方還做了知識體系的對比,知識體系沒太多差別,基本都是一致的,主要差別在法律法規(guī)上。所以雙方?jīng)]有本質(zhì)區(qū)別。由于CISSP推出時間較早,目前已經(jīng)國際化運作,因此被稱為國際認證。而CISP是中國信息安全測評中心推出,有政府背景給認證做背書,所以兩個認證選什么,主要看認證應用。你想考了出國或者去外企,那當然CISSP首選,如果想在政府、國企及重點行業(yè)從業(yè),CISP起碼發(fā)證單位是中國的,學員信息都在中國政府可控的機構(gòu)手中,你拿個CISSP證書,去國有企業(yè)、政府、軍工單位當信息安全主管?就如同中國的駕照跟美國駕照,哪個國際認可更多,哪個在中國更好用?
三、認證獲取
目前信息安全認證基本分三類,第一類是廠商認證,依托廠商在行業(yè)的影響力、產(chǎn)品壟斷等優(yōu)勢而推出的認證,由廠商對認證進行背書。第二類就是行業(yè)認證,同樣依托行業(yè)影響力或相關(guān)標準的制定等提供認證的背書。第三類是有政府背景的機構(gòu)來提供認證。
1)CISP(注冊信息安全專業(yè)人員),見百度百科 CISP 詞條。
證書類型:第三類
發(fā)證機構(gòu):中國信息安全測評中心
考證要求:需要工作經(jīng)驗
考取難度:★★★☆☆
適應類型: 國有企業(yè)、政府、軍工、8+2行業(yè)信息安全主管及為國內(nèi)提供信息安全服務的安全公司從業(yè)人員
費用:培訓、考試費為12800 人民幣(費用包括兩次補考費用),也就是說有三次考試機會,再考就每次500考試費。
認證說明: CISP是認證類型總稱,實際上分為CISE、CISO、CISP-A和CISD四項認證證書。面向?qū)ο蟛煌?,適用面也不同。CISE/CISO分別側(cè)重安全技術(shù)和安全管理,教材一樣,課程一樣,同班上課,只是考卷不同而已。報考時要選擇考試類型,根據(jù)自己能力和擅長方向選擇,如果一直干技術(shù)工作的,建議選CISE,一直干管理或咨詢的,建議選CISO,不要因為聽誰說哪個好考就考哪個。我見過一個長期做測評和管理咨詢的,參加過地方相關(guān)標準編寫,因為聽說CISE好過,選擇了CISE然后沒考過的,然后補考時候申請改考CISO才過的。也見過一直做技術(shù)工作的,升到管理崗之后,覺得CISO好像更適合安全管理而選擇CISO,然后沒考過的。所以選擇你擅長的類別考試就好了,在用于申請中國信息安全測評中心的企業(yè)安全服務資質(zhì)時,這兩個認證是一樣的,不區(qū)分。CISP-A原來叫CISP-Audit ,側(cè)重安全審計方面的知識,CISD是面向軟件開發(fā)人員,側(cè)重軟件安全開發(fā),申請中國信息安全測評中心軟件安全開發(fā)企業(yè)認證綁定的是個證書,所以要申請開發(fā)類企業(yè)認證的,注意要考的是CISD。
另外需要注意的是CISP為強制培訓,也就是說不能直接考試,必須報一個授權(quán)培訓機構(gòu)(培訓也采取授權(quán)制,必須有授權(quán)才能培訓和考試)接受8天的陪后才能參加考試(2018年起調(diào)整為五天),未來會逐步結(jié)合在線學習等,降低培訓時間要求。
2) CISSP 具體介紹見百度百科 CISSP 詞條
證書類型:第二類
發(fā)證機構(gòu):(ISC)2 國際信息系統(tǒng)安全認證協(xié)會(Internationa Information Systems Security Cerification Consortium)
考證要求:需要工作經(jīng)驗
考取難度:★★★★☆(比CISP難度多一星因為英語和6小時的考試時間,比較摧殘人)
適應類型:外企、涉外服務、大型企業(yè)(包括國有企業(yè),有不少國企也比較認CISSP)如銀行等信息安全主管和信息安全從業(yè)者。
費用: 培訓不強制,國內(nèi)很多培訓公司都提供,無需培訓也可直接考試。考試費699美元。(這是一次考試的費用,如果沒通過,下次還要交考試費)
認證說明:CISSP因為推出比較早,所以相對比較知名,(ISC)2 一共推出了9項認證,所以我們在這談CISSP認證包含了是由CISSP延伸出來的系列認證。分別如下:
-
(ISC)2 注冊信息系統(tǒng)安全師(CISSP?)
-
(ISC)2 注冊軟件生命周期安全師(CSSLP?)
-
(ISC)2 注冊網(wǎng)絡取證師(CCFPSM)
-
(ISC)2 注冊信息安全許可師(CAP?)
-
(ISC)2 注冊系統(tǒng)安全員(SSCP?)
-
(ISC)2 醫(yī)療信息與隱私安全員 (HCISPPSM)
-
CISSP 專項加強認證:
CISSP-ISSAP (Information Systems Security Architecture Professional) 信息系統(tǒng)安全架構(gòu)專家
CISSP-ISSEP(Information Systems Security Engineering Professional)信息系統(tǒng)安全工程專家
CISSP-ISSMP(Information System Security Management Professional)信息系統(tǒng)安全管理專家
目前認證中也就CISSP因為資格老,比較多人知道,所以考的較多,其他的嘛,屈指可數(shù)。CISSP考試難點在于兩個地方,一是英文考試,二是考試時間。考卷250道題,其中50道是不計分的(哪50道題都不知道),考試時間6小時,也就是360分鐘,平均不到一分半要答一道題,中間還需要上廁所,吃東西,所以每道題時間就一分鐘多,對英語的要求不是一點半點的高,后來改成中英文都有,愿意看中文的看中文,不愿意看中文的看英文。不過根據(jù)之前參加考試的反饋,中文題翻譯的質(zhì)量實在不咋的,很多人題都讀不懂,還不如用英文。并且六個小時的考試,大腦高度緊張,壓力是真不小的。