两个认证都是"一英里宽一英寸深"的 知识体系,也就是说两个认证都是大而全的知识体系。可以这么说,两个认证基本上定位、知识体系都是一样的。
CISSP从2011年就开始谋求在中国与CISP互认,互认的备忘录都签了,当时双方还做了知识体系的对比,知识体系没太多差别,基本都是一致的,主要差别在法律法规上。所以双方没有本质区别。由于CISSP推出时间较早,目前已经国际化运作,因此被称为国际认证。
而CISP是中国信息安全测评中心推出,有政府背景给认证做背书,所以两个认证选什么,主要看认证应用。你想考了出国或者去外企,那当然CISSP首选,如果想在政府、国企及重点行业从业,CISP起码发证单位是中国的,学员信息都在中国政府可控的机构手中,你拿个CISSP证书,去国有企业、政府、军工单位当信息安全主管?就如同中国的驾照跟美国驾照,哪个国际认可更多,哪个在中国更好用?
目前信息安全认证基本分三类,第一类是厂商认证,依托厂商在行业的影响力、产品垄断等优势而推出的认证,由厂商对认证进行背书。第二类就是行业认证,同样依托行业影响力或相关标准的制定等提供认证的背书。第三类是有政府背景的机构来提供认证。
费用:培训、考试费为12800 人民币(费用包括两次补考费用),也就是说有三次考试机会,再考就每次500考试费。
认证说明:CISP是认证类型总称,实际上分为CISE、CISO、CISP-A和CISD四项认证证书。面向对象不同,适用面也不同。
CISE/CISO分别侧重安全技术和安全管理,教材一样,课程一样,同班上课,只是考卷不同而已。报考时要选择考试类型,根据自己能力和擅长方向选择,如果一直干技术工作的,建议选CISE,一直干管理或咨询的,建议选CISO,不要因为听谁说哪个好考就考哪个。
我见过一个长期做测评和管理咨询的,参加过地方相关标准编写,因为听说CISE好过,选择了CISE然后没考过的,然后补考时候申请改考CISO才过的。也见过一直做技术工作的,升到管理岗之后,觉得CISO好像更适合安全管理而选择CISO,然后没考过的。
所以选择你擅长的类别考试就好了,在用于申请中国信息安全测评中心的企业安全服务资质时,这两个认证是一样的,不区分。
CISP-A原来叫CISP-AUDIT ,侧重安全审计方面的知识,CISD是面向软件开发人员,侧重软件安全开发,申请中国信息安全测评中心软件安全开发企业认证绑定的是个证书,所以要申请开发类企业认证的,注意要考的是CISD。
另外需要注意的是CISP为强制培训,也就是说不能直接考试,必须报一个授权培训机构(培训也采取授权制,必须有授权才能培训和考试)接受8天的陪后才能参加考试(2018年起调整为五天),未来会逐步结合在线学习等,降低培训时间要求。
这一证书代表国际信息系统安全从业人员的权威认证,CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员,对从业人员的技术及知识积累进行测试。
考取难度:★★★★☆(比CISP难度多一星因为英语和6小时的考试时间,比较摧残人)
适应类型:外企、涉外服务、大型企业(包括国有企业,有不少国企也比较认CISSP)如银行等信息安全主管和信息安全从业者。费用: 培训不强制,国内很多培训公司都提供,无需培训也可直接考试。考试费599美元。(这是一次考试的费用,如果没通过,下次还要交考试费)
认证说明:CISSP因为推出比较早,所以相对比较知名,(ISC)2 一共推出了9项认证,所以我们在这谈CISSP认证包含了是由CISSP延伸出来的系列认证。分别如下:
目前认证中也就CISSP因为资格老,比较多人知道,所以考得较多,其他的嘛,屈指可数。
CISSP考试难点在于两个地方,一是英文考试,二是考试时间。考卷250道题,其中50道是不计分的(哪50道题都不知道),考试时间6小时,也就是360分钟,平均不到一分半要答一道题,中间还需要上厕所,吃东西,所以每道题时间就一分钟多,对英语的要求不是一点半点的高,后来改成中英文都有,愿意看中文的看中文,不愿意看中文的看英文。不过根据之前参加考试的反馈,中文题翻译的质量实在不咋的,很多人题都读不懂,还不如用英文。并且六个小时的考试,大脑高度紧张,压力是真不小的。