漫谈信息安全认证(CISP与CISSP)

做了四年CISP运营管理，经常遇到有朋友问关于CISP、CISSP这两个信息安全类认证应该考哪个的问题，所以萌生了写一篇关于这两个认证的对比说明，帮助需要在信息安全领域获取认证的同学们更好的选择一个适合自己的认证。

一、认证的选择

谈到认证的选择，首先第一条就是先想清楚为什么要考一个证书？如果是单位安排的，那这个问题就不用谈了，如果可以自己选择，那么就想清楚，选择认证的目的是什么，或者获得认证的目的是什么。这个明确了，我相信应该大致清楚选择哪个认证了。考认证无外乎就这么几个目的：

1） 镀金以提高身价

如果行业或者公司有相关规定或文件，那我想就不用考虑了，这个选择就简单了。哪个对升职加薪有帮助当然选哪个，或者说行业、公司更认可哪个认证就考哪个好了。至于希望证书抬高身价的，先问问目前有没有哪个公司会因为持有某个认证而额外给予更高薪资的。就我所了解的还没有，基本上都是比较务实，最多是招聘时标注有XX认证的优先考虑。

2）求职的敲门砖

想拿认证当求职的敲门砖，更好找工作的，先想想自己求职的目标在哪？这个清楚了才好说该怎么选你的敲门砖。目前信息安全领域是没有职业资格证书的，也就是说所有证书都不是执业必须的，所有号称职业资格的基本都是忽悠。既然是非职业资格，那么证书是否重要，就看证书代表了什么，也就是说证书能证明你什么能力。CISP和CISSP都算信息安全领域中算比较知名的认证了，两个认证知识体系都是“一英里宽一英寸深”的特点，也就是说两个认证都是大而全的知识体系，都不会把知识深入太多，但是基本都覆盖了，让学员有信息安全的总体知识概括，未来想在哪个领域发展，肯定还需要深入学习。那么CISSP和CISP能帮助对安全没有整体概念的打好了基础，建立了体系化的概念，帮助有一定基础的人员梳理和体系化信息安全知识的总体概念，所以这两个认证证明持证人员对信息安全知识了解比较全面。

3）想通过认证学习知识的

作为把考取认证当成学习知识的一种方法，这两个认证基本差不多，没有本质区别，所以还是建议看认证的适用范围，毕竟学习的目的还是为了应用。

二、CISP与CISSP差别

之前介绍过，两个认证都是"一英里宽一英寸深"的 知识体系，也就是说两个认证都是大而全的知识体系。可以这么说，两个认证基本上定位、知识体系都是一样的。CISSP从2011年就开始谋求在中国与CISP互认，互认的备忘录都签了，当时双方还做了知识体系的对比，知识体系没太多差别，基本都是一致的，主要差别在法律法规上。所以双方没有本质区别。由于CISSP推出时间较早，目前已经国际化运作，因此被称为国际认证。而CISP是中国信息安全测评中心推出，有政府背景给认证做背书，所以两个认证选什么，主要看认证应用。你想考了出国或者去外企，那当然CISSP首选，如果想在政府、国企及重点行业从业，CISP起码发证单位是中国的，学员信息都在中国政府可控的机构手中，你拿个CISSP证书，去国有企业、政府、军工单位当信息安全主管？就如同中国的驾照跟美国驾照，哪个国际认可更多，哪个在中国更好用？

三、认证获取

目前信息安全认证基本分三类，第一类是厂商认证，依托厂商在行业的影响力、产品垄断等优势而推出的认证，由厂商对认证进行背书。第二类就是行业认证，同样依托行业影响力或相关标准的制定等提供认证的背书。第三类是有政府背景的机构来提供认证。

1）CISP（注册信息安全专业人员），见百度百科 CISP 词条。

证书类型：第三类

发证机构：中国信息安全测评中心

考证要求：需要工作经验

考取难度：★★★☆☆

适应类型： 国有企业、政府、军工、8+2行业信息安全主管及为国内提供信息安全服务的安全公司从业人员

费用：培训、考试费为12800 人民币（费用包括两次补考费用），也就是说有三次考试机会，再考就每次500考试费。

认证说明： CISP是认证类型总称，实际上分为CISE、CISO、CISA和CISD四项认证证书。面向对象不同，适用面也不同。CISE/CISO分别侧重安全技术和安全管理，教材一样，课程一样，同班上课，只是考卷不同而已。报考时要选择考试类型，根据自己能力和擅长方向选择，如果一直干技术工作的，建议选CISE，一直干管理或咨询的，建议选CISO，不要因为听谁说哪个好考就考哪个。我见过一个长期做测评和管理咨询的，参加过地方相关标准编写，因为听说CISE好过，选择了CISE然后没考过的，然后补考时候申请改考CISO才过的。也见过一直做技术工作的，升到管理岗之后，觉得CISO好像更适合安全管理而选择CISO，然后没考过的。所以选择你擅长的类别考试就好了，在用于申请中国信息安全测评中心的企业安全服务资质时，这两个认证是一样的，不区分。CISA（此CISA非国际上那个CISA认证）原来叫
CISP-Audit 侧重安全审计方面的知识，原来名字是为了与国际上的CISA认证区别开，现在可以叫CISA是因为商标局已经把CISA商标批给中国信息安全测评中心了，所以可以名正言顺的叫CISA了。CISD是面向软件开发人员，侧重软件安全开发，申请中国信息安全测评中心软件安全开发企业认证绑定的是个证书，所以要申请开发类企业认证的，注意要考的是CISD。

另外需要注意的是CISP为强制培训，也就是说不能直接考试，必须报一个授权培训机构（培训也采取授权制，必须有授权才能培训和考试）接受8天的陪后才能参加考试。

2） CISSP 具体介绍见百度百科 CISSP 词条

证书类型：第二类

发证机构：(ISC)2 国际信息系统安全认证协会(Internationa Information Systems Security Cerification Consortium)

考证要求：需要工作经验

考取难度：★★★★☆（比CISP难度多一星因为英语和6小时的考试时间，比较摧残人）

适应类型：外企、涉外服务、大型企业（包括国有企业，有不少国企也比较认CISSP）如银行等信息安全主管和信息安全从业者。

费用： 培训不强制，国内很多培训公司都提供，无需培训也可直接考试。考试费599美元。(这是一次考试的费用，如果没通过，下次还要交考试费)

认证说明：CISSP因为推出比较早，所以相对比较知名，(ISC)2 一共推出了9项认证，所以我们在这谈CISSP认证包含了是由CISSP延伸出来的系列认证。分别如下：

• (ISC)² 注册信息系统安全师（CISSP®）
• (ISC)² 注册软件生命周期安全师（CSSLP®）
• (ISC)² 注册网络取证师（CCFPSM）
• (ISC)² 注册信息安全许可师（CAP®）
• (ISC)² 注册系统安全员（SSCP®）
• (ISC)² 医疗信息与隐私安全员 (HCISPPSM)
• CISSP 专项加强认证:
  CISSP-ISSAP (Information Systems Security Architecture Professional) 信息系统安全架构专家
  CISSP-ISSEP（Information Systems Security Engineering Professional）信息系统安全工程专家
  CISSP-ISSMP（Information System Security Management Professional）信息系统安全管理专家

目前认证中也就CISSP因为资格老，比较多人知道，所以考的较多，其他的嘛，屈指可数。CISSP考试难点在于两个地方，一是英文考试，二是考试时间。考卷250道题，其中50道是不计分的（哪50道题都不知道），考试时间6小时，也就是360分钟，平均不到一分半要答一道题，中间还需要上厕所，吃东西，所以每道题时间就一分钟多，对英语的要求不是一点半点的高，后来改成中英文都有，愿意看中文的看中文，不愿意看中文的看英文。不过根据之前参加考试的反馈，中文题翻译的质量实在不咋的，很多人题都读不懂，还不如用英文。并且六个小时的考试，大脑高度紧张，压力是真不小的。