关于cissp资质也绝对不会像某些证书一样泛滥。作为安全专业人士的资格证明,isc2有多层关口控制cissp的素质和考试的保密性。到现在为止,国内的cissp们很好的体现了职业素质和专业精神,在新近的考试中也出现了为证书、高薪而取巧的考生,根据我的观察,恐怕他们连考试这一道门也通不过。而考试后的endorsment是又一次对资格的检查,而抽查的过程也是极其严格的。作为考题的保密性,相信参加过考试的都对那些要签署的保密文件的内容还是记忆犹新吧,相信一个安全工作者,谁也不乐意拿自己的声誉去开玩笑。至于某些模拟软件是否就是真题,availabal刚通过考试,也作过测试题,恐怕他的反应也说明了问题吧:)
关于cisa和cissp的差异,绝对不是以参加考试的成本和机会来划分的。厂商的认证教育一般隶属与市场部门管理,证书的泛滥,对厂商而言,犹如微软视盗版的心态。cisa和cissp都是由第三方专业机构组织的专业人员资质认证,这和厂商的认证有很大的不同。以公司的组织结构为例,cissp针对是安全管理部门人员,cisa针对审计或品质管理部门,两者有角度的差异而无高下优劣之分。鉴于国内安全发展的现状,恐怕更重要的是集团企业首先建立安全部本,形成相应的制度和流程,其次才是审计部门根据相应的制度进行审计。
关于考证的挑战和价值的问题,已经获得资质的人员可以说形成一个共识:cissp和cisa这样专业资质的考试最大的挑战在于你要在繁忙的工作中抽出时间阅读大量的资料,补充你整体思想或工作经验上的不足,系统化你的知识体系。价值在于通过考核后的自信和将知识运用到工作中的成就感。
再次奉劝立志与信心安全的朋友,不要纠缠于所谓证书含金量的问题,信息安全是一个涵盖范围广阔的大系统,涉及到密码学、网络协议、安全模型等很多的理论基础知识和风险评估、日常运营、审计等管理经验,成为一名合格的信息安全工作者,不仅需要兴趣和爱好,更需要扎实的功底,需要刻苦的努力。