漫談信息安全認證(CISP與CISSP)
做了四年CISP運營管理,經常遇到有朋友問關於CISP、CISSP這兩個信息安全類認證應該考哪個的問題,所以萌生了寫一篇關於這兩個認證的對比說明,幫助需要在信息安全領域獲取認證的同學們更好的選擇一個適合自己的認證。
一、認證的選擇
談到認證的選擇,首先第一條就是先想清楚為什麼要考一個證書?如果是單位安排的,那這個問題就不用談了,如果可以自己選擇,那麼就想清楚,選擇認證的目的是什麼,或者獲得認證的目的是什麼。這個明確了,我相信應該大致清楚選擇哪個認證了。考認證無外乎就這麼幾個目的:
1) 鍍金以提高身價
如果行業或者公司有相關規定或文件,那我想就不用考慮了,這個選擇就簡單了。哪個對升職加薪有幫助當然選哪個,或者說行業、公司更認可哪個認證就考哪個好了。至於希望證書抬高身價的,先問問目前有沒有哪個公司會因為持有某個認證而額外給予更高薪資的。就我所了解的還沒有,基本上都是比較務實,最多是招聘時標註有XX認證的優先考慮。
2)求職的敲門磚
想拿認證當求職的敲門磚,更好找工作的,先想想自己求職的目標在哪?這個清楚了才好說該怎麼選你的敲門磚。目前信息安全領域是沒有職業資格證書的,也就是說所有證書都不是執業必須的,所有號稱職業資格的基本都是忽悠。既然是非職業資格,那麼證書是否重要,就看證書代表了什麼,也就是說證書能證明你什麼能力。CISP和CISSP都算信息安全領域中算比較知名的認證了,兩個認證知識體系都是「一英里寬一英寸深」的特點,也就是說兩個認證都是大而全的知識體系,都不會把知識深入太多,但是基本都覆蓋了,讓學員有信息安全的總體知識概括,未來想在哪個領域發展,肯定還需要深入學習。那麼CISSP和CISP能幫助對安全沒有整體概念的打好了基礎,建立了體系化的概念,幫助有一定基礎的人員梳理和體系化信息安全知識的總體概念,所以這兩個認證證明持證人員對信息安全知識了解比較全面。
3)想通過認證學習知識的
作為把考取認證當成學習知識的一種方法,這兩個認證基本差不多,沒有本質區別,所以還是建議看認證的適用範圍,畢竟學習的目的還是為了應用。
二、CISP與CISSP差別
之前介紹過,兩個認證都是"一英里寬一英寸深"的 知識體系,也就是說兩個認證都是大而全的知識體系。可以這麼說,兩個認證基本上定位、知識體系都是一樣的。CISSP從2011年就開始謀求在中國與CISP互認,互認的備忘錄都簽了,當時雙方還做了知識體系的對比,知識體系沒太多差別,基本都是一致的,主要差別在法律法規上。所以雙方沒有本質區別。由於CISSP推出時間較早,目前已經國際化運作,因此被稱為國際認證。而CISP是中國信息安全測評中心推出,有政府背景給認證做背書,所以兩個認證選什麼,主要看認證應用。你想考了出國或者去外企,那當然CISSP首選,如果想在政府、國企及重點行業從業,CISP起碼發證單位是中國的,學員信息都在中國政府可控的機構手中,你拿個CISSP證書,去國有企業、政府、軍工單位當信息安全主管?就如同中國的駕照跟美國駕照,哪個國際認可更多,哪個在中國更好用?
三、認證獲取
目前信息安全認證基本分三類,第一類是廠商認證,依託廠商在行業的影響力、產品壟斷等優勢而推出的認證,由廠商對認證進行背書。第二類就是行業認證,同樣依託行業影響力或相關標準的制定等提供認證的背書。第三類是有政府背景的機構來提供認證。
1)CISP(註冊信息安全專業人員),見百度百科 CISP 詞條。
證書類型:第三類
發證機構:中國信息安全測評中心
考證要求:需要工作經驗
考取難度:☆☆
適應類型: 國有企業、政府、軍工、8+2行業信息安全主管及為國內提供信息安全服務的安全公司從業人員
費用:培訓、考試費為12800 人民幣(費用包括兩次補考費用),也就是說有三次考試機會,再考就每次500考試費。
認證說明: CISP是認證類型總稱,實際上分為CISE、CISO、CISP-A和CISD四項認證證書。面向對象不同,適用面也不同。CISE/CISO分別側重安全技術和安全管理,教材一樣,課程一樣,同班上課,只是考卷不同而已。報考時要選擇考試類型,根據自己能力和擅長方向選擇,如果一直干技術工作的,建議選CISE,一直干管理或諮詢的,建議選CISO,不要因為聽誰說哪個好考就考哪個。我見過一個長期做測評和管理諮詢的,參加過地方相關標準編寫,因為聽說CISE好過,選擇了CISE然後沒考過的,然後補考時候申請改考CISO才過的。也見過一直做技術工作的,升到管理崗之後,覺得CISO好像更適合安全管理而選擇CISO,然後沒考過的。所以選擇你擅長的類別考試就好了,在用於申請中國信息安全測評中心的企業安全服務資質時,這兩個認證是一樣的,不區分。CISP-A原來叫CISP-Audit ,側重安全審計方面的知識,CISD是面向軟體開發人員,側重軟體安全開發,申請中國信息安全測評中心軟體安全開發企業認證綁定的是個證書,所以要申請開發類企業認證的,注意要考的是CISD。
另外需要注意的是CISP為強制培訓,也就是說不能直接考試,必須報一個授權培訓機構(培訓也採取授權制,必須有授權才能培訓和考試)接受8天的陪後才能參加考試(2018年起調整為五天),未來會逐步結合在線學習等,降低培訓時間要求。
2) CISSP 具體介紹見百度百科 CISSP 詞條
證書類型:第二類
發證機構:(ISC)2 國際信息系統安全認證協會(Internationa Information Systems Security Cerification Consortium)
考證要求:需要工作經驗
考取難度:☆(比CISP難度多一星因為英語和6小時的考試時間,比較摧殘人)
適應類型:外企、涉外服務、大型企業(包括國有企業,有不少國企也比較認CISSP)如銀行等信息安全主管和信息安全從業者。
費用: 培訓不強制,國內很多培訓公司都提供,無需培訓也可直接考試。考試費599美元。(這是一次考試的費用,如果沒通過,下次還要交考試費)認證說明:CISSP因為推出比較早,所以相對比較知名,(ISC)2 一共推出了9項認證,所以我們在這談CISSP認證包含了是由CISSP延伸出來的系列認證。分別如下:
- (ISC)2 註冊信息系統安全師(CISSP?)
- (ISC)2 註冊軟體生命周期安全師(CSSLP?)
- (ISC)2 註冊網路取證師(CCFPSM)
- (ISC)2 註冊信息安全許可師(CAP?)
- (ISC)2 註冊系統安全員(SSCP?)
- (ISC)2 醫療信息與隱私安全員 (HCISPPSM)
- CISSP 專項加強認證:CISSP-ISSAP (Information Systems Security Architecture Professional) 信息系統安全架構專家CISSP-ISSEP(Information Systems Security Engineering Professional)信息系統安全工程專家CISSP-ISSMP(Information System Security Management Professional)信息系統安全管理專家
目前認證中也就CISSP因為資格老,比較多人知道,所以考的較多,其他的嘛,屈指可數。CISSP考試難點在於兩個地方,一是英文考試,二是考試時間。考卷250道題,其中50道是不計分的(哪50道題都不知道),考試時間6小時,也就是360分鐘,平均不到一分半要答一道題,中間還需要上廁所,吃東西,所以每道題時間就一分鐘多,對英語的要求不是一點半點的高,後來改成中英文都有,願意看中文的看中文,不願意看中文的看英文。不過根據之前參加考試的反饋,中文題翻譯的質量實在不咋的,很多人題都讀不懂,還不如用英文。並且六個小時的考試,大腦高度緊張,壓力是真不小的。
推薦閱讀:
※「奇異熊」黑客組織黑航空航天公司幹啥?
※乾貨 | malware新姿勢:使用Windows管理規範逃避安全檢測
※rubygems.org遠程命令執行漏洞分析
※世界第一黑客凱文·米特尼克再出山:這次教你如何在線隱身
※Google Play驚現36個冒牌安全APP,他們會靜默收集用戶數據