首先,國內信息安全還遠沒有到達過熱的地步。相對美國近20的信息安全建設,已經形成法律、組織、產品、教育等信息安全相關的全面的體系。國內媒體的宣傳雖然有時偏頗,但對促進全社會對信息安全問題的關注還是有不可替代的推進作用。關於企業如何正確的進行信息安全管理和建設,是需要專業人士形成共識,然後在實際工作中逐漸推進的,cissp是其中很重要的中堅力量,至於某類技術是否還有生命力也只是一個細節問題,而安氏的裁員也只是某個公司的行為,其內在原因也與信息安全的總體發展無關。
關於cissp資質也絕對不會像某些證書一樣泛濫。作為安全專業人士的資格證明,isc2有多層關口控制cissp的素質和考試的保密性。到現在為止,國內的cissp們很好的體現了職業素質和專業精神,在新近的考試中也出現了為證書、高薪而取巧的考生,根據我的觀察,恐怕他們連考試這一道門也通不過。而考試後的endorsment是又一次對資格的檢查,而抽查的過程也是極其嚴格的。作為考題的保密性,相信參加過考試的都對那些要簽署的保密檔案的內容還是記憶猶新吧,相信一個安全工作者,誰也不樂意拿自己的聲譽去開玩笑。至於某些模擬軟體是否就是真題,availabal剛通過考試,也作過測試題,恐怕他的反應也說明了問題吧:)
關於cisa和cissp的差異,絕對不是以參加考試的成本和機會來劃分的。廠商的認證教育一般隸屬與市場部門管理,證書的泛濫,對廠商而言,猶如微軟視盜版的心態。cisa和cissp都是由第三方專業機構組織的專業人員資質認證,這和廠商的認證有很大的不同。以公司的組織結構為例,cissp針對是安全管理部門人員,cisa針對審計或品質管理部門,兩者有角度的差異而無高下優劣之分。鑒於國內安全發展的現狀,恐怕更重要的是集團企業首先建立安全部本,形成相應的制度和流程,其次才是審計部門根據相應的制度進行審計。
關於考證的挑戰和價值的問題,已經獲得資質的人員可以說形成一個共識:cissp和cisa這樣專業資質的考試最大的挑戰在於你要在繁忙的工作中抽出時間閱讀大量的資料,補充你整體思想或工作經驗上的不足,系統化你的知識體系。價值在於通過考核後的自信和將知識運用到工作中的成就感。
再次奉勸立志與信心安全的朋友,不要糾纏於所謂證書含金量的問題,信息安全是一個涵蓋範圍廣闊的大系統,涉及到密碼學、網路協定、安全模型等很多的理論基礎知識和風險評估、日常運營、審計等管理經驗,成為一名合格的信息安全工作者,不僅需要興趣和愛好,更需要紮實的功底,需要刻苦的努力。