做了四年CISP運(yùn)營管理，經(jīng)常遇到有朋友問關(guān)于CISP、CISSP這兩個(gè)信息安全類認(rèn)證應(yīng)該考哪個(gè)的問題，所以萌生了寫一篇關(guān)于這兩個(gè)認(rèn)證的對比說明，幫助需要在信息安全領(lǐng)域獲取認(rèn)證的同學(xué)們更好的選擇一個(gè)適合自己的認(rèn)證。

一、認(rèn)證的選擇

談到認(rèn)證的選擇，首先第一條就是先想清楚為什么要考一個(gè)證書？如果是單位安排的，那這個(gè)問題就不用談了，如果可以自己選擇，那么就想清楚，選擇認(rèn)證的目的是什么，或者獲得認(rèn)證的目的是什么。這個(gè)明確了，我相信應(yīng)該大致清楚選擇哪個(gè)認(rèn)證了。考認(rèn)證無外乎就這么幾個(gè)目的：

1） 鍍金以提高身價(jià)

如果行業(yè)或者公司有相關(guān)規(guī)定或文件，那我想就不用考慮了，這個(gè)選擇就簡單了。哪個(gè)對升職加薪有幫助當(dāng)然選哪個(gè)，或者說行業(yè)、公司更認(rèn)可哪個(gè)認(rèn)證就考哪個(gè)好了。至于希望證書抬高身價(jià)的，先問問目前有沒有哪個(gè)公司會因?yàn)槌钟心硞€(gè)認(rèn)證而額外給予更高薪資的。就我所了解的還沒有，基本上都是比較務(wù)實(shí)，最多是招聘時(shí)標(biāo)注有XX認(rèn)證的優(yōu)先考慮。

2）求職的敲門磚

想拿認(rèn)證當(dāng)求職的敲門磚，更好找工作的，先想想自己求職的目標(biāo)在哪？這個(gè)清楚了才好說該怎么選你的敲門磚。目前信息安全領(lǐng)域是沒有職業(yè)資格證書的，也就是說所有證書都不是執(zhí)業(yè)必須的，所有號稱職業(yè)資格的基本都是忽悠。既然是非職業(yè)資格，那么證書是否重要，就看證書代表了什么，也就是說證書能證明你什么能力。CISP和CISSP都算信息安全領(lǐng)域中算比較知名的認(rèn)證了，兩個(gè)認(rèn)證知識體系都是“一英里寬一英寸深”的特點(diǎn)，也就是說兩個(gè)認(rèn)證都是大而全的知識體系，都不會把知識深入太多，但是基本都覆蓋了，讓學(xué)員有信息安全的總體知識概括，未來想在哪個(gè)領(lǐng)域發(fā)展，肯定還需要深入學(xué)習(xí)。那么CISSP和CISP能幫助對安全沒有整體概念的打好了基礎(chǔ)，建立了體系化的概念，幫助有一定基礎(chǔ)的人員梳理和體系化信息安全知識的總體概念，所以這兩個(gè)認(rèn)證證明持證人員對信息安全知識了解比較全面。

3）想通過認(rèn)證學(xué)習(xí)知識的

作為把考取認(rèn)證當(dāng)成學(xué)習(xí)知識的一種方法，這兩個(gè)認(rèn)證基本差不多，沒有本質(zhì)區(qū)別，所以還是建議看認(rèn)證的適用范圍，畢竟學(xué)習(xí)的目的還是為了應(yīng)用。

二、CISP與CISSP差別

之前介紹過，兩個(gè)認(rèn)證都是"一英里寬一英寸深"的 知識體系，也就是說兩個(gè)認(rèn)證都是大而全的知識體系?？梢赃@么說，兩個(gè)認(rèn)證基本上定位、知識體系都是一樣的。CISSP從2011年就開始謀求在中國與CISP互認(rèn)，互認(rèn)的備忘錄都簽了，當(dāng)時(shí)雙方還做了知識體系的對比，知識體系沒太多差別，基本都是一致的，主要差別在法律法規(guī)上。所以雙方?jīng)]有本質(zhì)區(qū)別。由于CISSP推出時(shí)間較早，目前已經(jīng)國際化運(yùn)作，因此被稱為國際認(rèn)證。而CISP是中國信息安全測評中心推出，有政府背景給認(rèn)證做背書，所以兩個(gè)認(rèn)證選什么，主要看認(rèn)證應(yīng)用。你想考了出國或者去外企，那當(dāng)然CISSP首選，如果想在政府、國企及重點(diǎn)行業(yè)從業(yè)，CISP起碼發(fā)證單位是中國的，學(xué)員信息都在中國政府可控的機(jī)構(gòu)手中，你拿個(gè)CISSP證書，去國有企業(yè)、政府、軍工單位當(dāng)信息安全主管？就如同中國的駕照跟美國駕照，哪個(gè)國際認(rèn)可更多，哪個(gè)在中國更好用？

三、認(rèn)證獲取

目前信息安全認(rèn)證基本分三類，第一類是廠商認(rèn)證，依托廠商在行業(yè)的影響力、產(chǎn)品壟斷等優(yōu)勢而推出的認(rèn)證，由廠商對認(rèn)證進(jìn)行背書。第二類就是行業(yè)認(rèn)證，同樣依托行業(yè)影響力或相關(guān)標(biāo)準(zhǔn)的制定等提供認(rèn)證的背書。第三類是有政府背景的機(jī)構(gòu)來提供認(rèn)證。

1）CISP（注冊信息安全專業(yè)人員），見百度百科 CISP 詞條。

證書類型：第三類

發(fā)證機(jī)構(gòu)：中國信息安全測評中心

考證要求：需要工作經(jīng)驗(yàn)

考取難度：★★★☆☆

適應(yīng)類型： 國有企業(yè)、政府、軍工、8+2行業(yè)信息安全主管及為國內(nèi)提供信息安全服務(wù)的安全公司從業(yè)人員

費(fèi)用：培訓(xùn)、考試費(fèi)為12800 人民幣（費(fèi)用包括兩次補(bǔ)考費(fèi)用），也就是說有三次考試機(jī)會，再考就每次500考試費(fèi)。

認(rèn)證說明： CISP是認(rèn)證類型總稱，實(shí)際上分為CISE、CISO、CISP-A和CISD四項(xiàng)認(rèn)證證書。面向?qū)ο蟛煌?，適用面也不同。CISE/CISO分別側(cè)重安全技術(shù)和安全管理，教材一樣，課程一樣，同班上課，只是考卷不同而已。報(bào)考時(shí)要選擇考試類型，根據(jù)自己能力和擅長方向選擇，如果一直干技術(shù)工作的，建議選CISE，一直干管理或咨詢的，建議選CISO，不要因?yàn)槁犝l說哪個(gè)好考就考哪個(gè)。我見過一個(gè)長期做測評和管理咨詢的，參加過地方相關(guān)標(biāo)準(zhǔn)編寫，因?yàn)槁犝fCISE好過，選擇了CISE然后沒考過的，然后補(bǔ)考時(shí)候申請改考CISO才過的。也見過一直做技術(shù)工作的，升到管理崗之后，覺得CISO好像更適合安全管理而選擇CISO，然后沒考過的。所以選擇你擅長的類別考試就好了，在用于申請中國信息安全測評中心的企業(yè)安全服務(wù)資質(zhì)時(shí)，這兩個(gè)認(rèn)證是一樣的，不區(qū)分。CISP-A原來叫CISP-Audit ,側(cè)重安全審計(jì)方面的知識，CISD是面向軟件開發(fā)人員，側(cè)重軟件安全開發(fā)，申請中國信息安全測評中心軟件安全開發(fā)企業(yè)認(rèn)證綁定的是個(gè)證書，所以要申請開發(fā)類企業(yè)認(rèn)證的，注意要考的是CISD。

另外需要注意的是CISP為強(qiáng)制培訓(xùn)，也就是說不能直接考試，必須報(bào)一個(gè)授權(quán)培訓(xùn)機(jī)構(gòu)（培訓(xùn)也采取授權(quán)制，必須有授權(quán)才能培訓(xùn)和考試）接受8天的陪后才能參加考試（2018年起調(diào)整為五天），未來會逐步結(jié)合在線學(xué)習(xí)等，降低培訓(xùn)時(shí)間要求。

2） CISSP 具體介紹見百度百科 CISSP 詞條

證書類型：第二類

發(fā)證機(jī)構(gòu)：(ISC)2 國際信息系統(tǒng)安全認(rèn)證協(xié)會(Internationa Information Systems Security Cerification Consortium)

考證要求：需要工作經(jīng)驗(yàn)

考取難度：★★★★☆（比CISP難度多一星因?yàn)橛⒄Z和6小時(shí)的考試時(shí)間，比較摧殘人）

適應(yīng)類型：外企、涉外服務(wù)、大型企業(yè)（包括國有企業(yè)，有不少國企也比較認(rèn)CISSP）如銀行等信息安全主管和信息安全從業(yè)者。
費(fèi)用： 培訓(xùn)不強(qiáng)制，國內(nèi)很多培訓(xùn)公司都提供，無需培訓(xùn)也可直接考試?？荚囐M(fèi)699美元。(這是一次考試的費(fèi)用，如果沒通過，下次還要交考試費(fèi))

認(rèn)證說明：CISSP因?yàn)橥瞥霰容^早，所以相對比較知名，(ISC)2 一共推出了9項(xiàng)認(rèn)證，所以我們在這談CISSP認(rèn)證包含了是由CISSP延伸出來的系列認(rèn)證。分別如下：

• (ISC)2 注冊信息系統(tǒng)安全師（CISSP?）
  
• (ISC)2 注冊軟件生命周期安全師（CSSLP?）
  
• (ISC)2 注冊網(wǎng)絡(luò)取證師（CCFPSM）
  
• (ISC)2 注冊信息安全許可師（CAP?）
  
• (ISC)2 注冊系統(tǒng)安全員（SSCP?）
  
• (ISC)2 醫(yī)療信息與隱私安全員 (HCISPPSM)
  
• CISSP 專項(xiàng)加強(qiáng)認(rèn)證:
  CISSP-ISSAP (Information Systems Security Architecture Professional) 信息系統(tǒng)安全架構(gòu)專家
  CISSP-ISSEP（Information Systems Security Engineering Professional）信息系統(tǒng)安全工程專家
  CISSP-ISSMP（Information System Security Management Professional）信息系統(tǒng)安全管理專家

目前認(rèn)證中也就CISSP因?yàn)橘Y格老，比較多人知道，所以考的較多，其他的嘛，屈指可數(shù)。CISSP考試難點(diǎn)在于兩個(gè)地方，一是英文考試，二是考試時(shí)間。考卷250道題，其中50道是不計(jì)分的（哪50道題都不知道），考試時(shí)間6小時(shí)，也就是360分鐘，平均不到一分半要答一道題，中間還需要上廁所，吃東西，所以每道題時(shí)間就一分鐘多，對英語的要求不是一點(diǎn)半點(diǎn)的高，后來改成中英文都有，愿意看中文的看中文，不愿意看中文的看英文。不過根據(jù)之前參加考試的反饋，中文題翻譯的質(zhì)量實(shí)在不咋的，很多人題都讀不懂，還不如用英文。并且六個(gè)小時(shí)的考試，大腦高度緊張，壓力是真不小的。