為什麼說在國内考CISP比CISSP要好？

本文作者：沈傳甯

做了四年CISP營運管理，經常遇到有朋友問關于CISP、CISSP這兩個資訊安全類認證應該考哪個的問題，是以萌生了寫一篇關于這兩個認證的對比說明，幫助需要在資訊安全領域擷取認證的同學們更好的選擇一個适合自己的認證。

一. 認證的選擇

談到認證的選擇，首先第一條就是先想清楚為什麼要考一個證書？如果是機關安排的，那這個問題就不用談了，如果可以自己選擇，那麼就想清楚，選擇認證的目的是什麼，或者獲得認證的目的是什麼。這個明确了，我相信應該大緻清楚選擇哪個認證了。考認證無外乎就這麼幾個目的：

1） 鍍金以提高身價

如果行業或者公司有相關規定或檔案，那我想就不用考慮了，這個選擇就簡單了。哪個對升職加薪有幫助當然選哪個，或者說行業、公司更認可哪個認證就考哪個好了。至于希望證書擡高身價的，先問問目前有沒有哪個公司會因為持有某個認證而額外給予更高薪資的。就我所了解的還沒有，基本上都是比較務實，最多是招聘時标注有XX認證的優先考慮。

2）求職的敲門磚

想拿認證當求職的敲門磚，更好找工作的，先想想自己求職的目标在哪？這個清楚了才好說該怎麼選你的敲門磚。目前資訊安全領域是沒有職業資格證書的，也就是說所有證書都不是執業必須的，所有号稱職業資格的基本都是忽悠。既然是非職業資格，那麼證書是否重要，就看證書代表了什麼，也就是說證書能證明你什麼能力。CISP和CISSP都算資訊安全領域中算比較知名的認證了，兩個認證知識體系都是“一英裡寬一英寸深”的特點，也就是說兩個認證都是大而全的知識體系，都不會把知識深入太多，但是基本都覆寫了，讓學員有資訊安全的總體知識概括，未來想在哪個領域發展，肯定還需要深入學習。那麼CISSP和CISP能幫助對安全沒有整體概念的打好了基礎，建立了體系化的概念，幫助有一定基礎的人員梳理和體系化資訊安全知識的總體概念，是以這兩個認證證明持證人員對資訊安全知識了解比較全面。

3）想通過認證學習知識的

作為把考取認證當成學習知識的一種方法，這兩個認證基本差不多，沒有本質差別，是以還是建議看認證的适用範圍，畢竟學習的目的還是為了應用。

二. CISP與CISSP差别

之前介紹過，兩個認證都是"一英裡寬一英寸深"的 知識體系，也就是說兩個認證都是大而全的知識體系。可以這麼說，兩個認證基本上定位、知識體系都是一樣的。

CISSP從2011年就開始謀求在中國與CISP互認，互認的備忘錄都簽了，當時雙方還做了知識體系的對比，知識體系沒太多差别，基本都是一緻的，主要差别在法律法規上。是以雙方沒有本質差別。由于CISSP推出時間較早，目前已經國際化運作，是以被稱為國際認證。

而CISP是中國資訊安全測評中心推出，有政府背景給認證做背書，是以兩個認證選什麼，主要看認證應用。你想考了出國或者去外企，那當然CISSP首選，如果想在政府、國企及重點行業從業，CISP起碼發證機關是中國的，學員資訊都在中國政府可控的機構手中，你拿個CISSP證書，去國有企業、政府、軍工機關當資訊安全主管？就如同中國的駕照跟美國駕照，哪個國際認可更多，哪個在中國更好用？

三. 認證擷取

目前資訊安全認證基本分三類，第一類是廠商認證，依托廠商在行業的影響力、産品壟斷等優勢而推出的認證，由廠商對認證進行背書。第二類就是行業認證，同樣依托行業影響力或相關标準的制定等提供認證的背書。第三類是有政府背景的機構來提供認證。

1. CISP（注冊資訊安全專業人員）

具體介紹見百度百科 CISP 詞條。

證書類型：第三類

發證機構：中國資訊安全測評中心

考證要求：需要工作經驗

考取難度：★★★☆☆

适應類型：國有企業、政府、軍工、8+2行業資訊安全主管及為國内提供資訊安全服務的安全公司從業人員

費用：教育訓練、考試費為12800 人民币（費用包括兩次補考費用），也就是說有三次考試機會，再考就每次500考試費。

認證說明：CISP是認證類型總稱，實際上分為CISE、CISO、CISP-A和CISD四項認證證書。面向對象不同，适用面也不同。CISE/CISO分别側重安全技術和安全管理，教材一樣，課程一樣，同班上課，隻是考卷不同而已。報考時要選擇考試類型，根據自己能力和擅長方向選擇，如果一直幹技術工作的，建議選CISE，一直幹管理或咨詢的，建議選CISO，不要因為聽誰說哪個好考就考哪個。我見過一個長期做測評和管理咨詢的，參加過地方相關标準編寫，因為聽說CISE好過，選擇了CISE然後沒考過的，然後補考時候申請改考CISO才過的。也見過一直做技術工作的，升到管理崗之後，覺得CISO好像更适合安全管理而選擇CISO，然後沒考過的。是以選擇你擅長的類别考試就好了，在用于申請中國資訊安全測評中心的企業安全服務資質時，這兩個認證是一樣的，不區分。CISP-A原來叫CISP-Audit ,側重安全審計方面的知識，CISD是面向軟體開發人員，側重軟體安全開發，申請中國資訊安全測評中心軟體安全開發企業認證綁定的是個證書，是以要申請開發類企業認證的，注意要考的是CISD。

另外需要注意的是CISP為強制教育訓練，也就是說不能直接考試，必須報一個授權教育訓練機構（教育訓練也采取授權制，必須有授權才能教育訓練和考試）接受8天的陪後才能參加考試（2018年起調整為五天），未來會逐漸結合線上學習等，降低教育訓練時間要求。

2. CISSP

具體介紹見百度百科 CISSP 詞條

證書類型：第二類

發證機構：(ISC)2 國際資訊系統安全認證協會(Internationa Information Systems Security Cerification Consortium)

考證要求：需要工作經驗

考取難度：★★★★☆（比CISP難度多一星因為英語和6小時的考試時間，比較摧殘人）

适應類型：外企、涉外服務、大型企業（包括國有企業，有不少國企也比較認CISSP）如銀行等資訊安全主管和資訊安全從業者。費用： 教育訓練不強制，國内很多教育訓練公司都提供，無需教育訓練也可直接考試。考試費599美元。(這是一次考試的費用，如果沒通過，下次還要交考試費)

認證說明：CISSP因為推出比較早，是以相對比較知名，(ISC)2 一共推出了9項認證，是以我們在這談CISSP認證包含了是由CISSP延伸出來的系列認證。分别如下：

(ISC) 注冊資訊系統安全師（CISSP）

(ISC) 注冊軟體生命周期安全師（CSSLP）

(ISC) 注冊網絡驗證師（CCFPSM）

(ISC) 注冊資訊安全許可師（CAP）

(ISC) 注冊系統安全員（SSCP）

(ISC) 醫療資訊與隐私安全員 (HCISPPSM)