写在结尾又移到开篇的一段话我们常常会夸大证书的作用,其实认证没有你想的那么神奇,能够立即升职加薪走向人生巅峰,但在不经意间,证书也会成为你致胜的影响所在。所以认证的选择,一定要适合自己,比如行业、岗位、经历等等。而且,考证不是我们唯一的目的,通过不同认证的知识大纲,梳理知识点,查漏补缺,提高自身认知才是最重要的。

很早就有学员让我写认证介绍了,其实网上这类介绍文章蛮多的,我这里又做了一个更新、补充以及汇总,供大家了解、查阅。

国内认证

1. CISP (国家注册信息安全专业人员)

说到CISP,安全从业者基本上都有所耳闻,认证机构是:中国信息安全测评中心,是中央批准成立的国家权威信息安全测评机构。

CISP作为国家级的认证,是国内对信息安全从业人员资质能力的最高认可,也逐渐成为求职面试的必备证书。如果想在政府、国企及重点行业从业,企业获取信息安全服务资质,参与网络安全项目,这个认证都是非常重要的。

CISP是一个信息安全人才培训体系,包含一类认证。通常所说的“CISP”,一般指的是最早推出的“CISE”(注册信息安全工程师)“CISO”(注册信息安全管理人员)。

CISP(CISE/CISO)的知识体系结构包括十个知识域、四十个知识子域。十个知识域包括如图:

收藏品的上市公司(收藏信安行业热门认证汇总)(1)

CISP(CISE/CISO)报考要求,首先要具备认证条件,教育与工作经历:硕士研究生以上,具有1年工作经历;本科毕业,具有2年工作经历;大专毕业,具有4年工作经历。其中,至少具备1年信息安全相关工作经历。

如不满足以上条件,可先参加培训及考试获得培训合格证书,工作经历期满换发认证证书,考试成绩有效期三年。

其次,CISP为强制培训,报名CISP认证考试必须参加授权培训机构的培训,获得培训合格证书,并由授权培训机构代报名CISP考试。

证书样图

收藏品的上市公司(收藏信安行业热门认证汇总)(2)

2. CISP-PTE/PTS(注册信息安全渗透测试工程师/注册信息安全渗透测试专家)

CISP-PTE认证是2017年6月份正式推出的认证,当时是由360企业安全集团(也就是现在的奇安信)与中国信息安全测评中心联合推出的,是国内首个渗透测试认证。

因为有政府背景给认证做背书,所以如果想在政府、国企及重点行业从业,企业获取信息安全服务资质,参与网络安全项目,这个认证都是非常重要的。

另外,CISP-PTE兼具厂商认可背书,在推出该证书之初,获取该证书后可直接免360技术岗面试。

CISP-PTE没有学历及工作经验的要求,但是要求具备一定渗透测试能力。因为PTE考试题型分为客观题、实操题。

CISP-PTE认证知识体系框架图

收藏品的上市公司(收藏信安行业热门认证汇总)(3)

CISP-PTS认证,同样没有学历和工作经验要求,但是要求具备熟练的渗透测试能力,这个认证的考题是全实操题,难度较大,目前国内的持有人数还非常少。

CISP-PTS知识体系结构图

收藏品的上市公司(收藏信安行业热门认证汇总)(4)

随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。网络安全已成为事关国家安全与经济社会发展的重大问题。

我国对网络安全越来越重视,《网络安全法》已实施三年,《数据安全法(草案)》也在今年发布。

国测有关网络安全的认证还有:

  • CISP-IRE(国家注册应急响应工程师)
  • CISP-DSG(国家注册数据安全治理专业人员)
  • CISP-ICSSE(国家注册风险与信息系统监控认证)
  • ...
国际认证

1. CISSP(国际注册信息安全专家)

如果你问我在信安行业,认可度最高的认证是什么,我首先想到的一定是这个——CISSP。它被誉为业界的“金牌标准”,是由国际信息系统安全认证协会(ISC)2组织管理及发证。

CISSP覆盖面广、知识点多、考试难度大,含金量也高。这点到各大招聘网站上一看便知,跟信安相关的岗位,90%都会写到:持有CISSP认证优先。

关于CISSP报考方面,官方没有限制,但是如果想拿到证书的话,需要申请人在8个域中至少2个域方面有5年相关工作经验。如果工作经验不足,也是可以考试的,通过后以维持成绩的方法,等到工作经验足够后再去申请认证。

收藏品的上市公司(收藏信安行业热门认证汇总)(5)

2. CISA(国际注册信息系统审计师)

CISA的发证机构是ISACA,这个机构还有CISM、CRISC、COBIT5.0等认证。先说CISA,这个目前在国内已经有很大影响了,据了解,在校生都已经开始意识到它对自己找工作的重要性;另一方面,现在大家可以看看四大咨询、金融证券行业、IT审计岗或者是信息科技部门,包括传统审计师对于CISA的青睐

CISA跟CISSP一样,同样需要5年的工作经验,其中至少2年审计/控制领域的工作经验,工作经验相对CISSP有一些宽松,学历抵扣经验最多可以抵3年,而且成绩有效期是5年,所以可以先参加考试,后申请证书。

3. CISM(国际注册信息安全经理)

CISM的发证机构也是ISACA,这个认证相对CISSP来说不相上下,难度甚至高于CISSP。

CISM是针对信息安全经理人的认证,是全球公认的对开发、建立和管理企业信息安全系统的个人能力的认可,是薪酬最高的IT职业证书之一。

CISM的重点已经不再是个别的技术或者是技能,而是移转到整个企业的信息安全管理,也因为集中在管理上的需要,所以CISM要求最少要有5年信息安全管理的经验,而考试的内容也都集中在信息安全经理人日常处理的工作上。

4. Security (国际信息安全技术认证)

Security 是美国计算机协会CompTIA颁发的证书。这个认证主要偏向信息安全技术,学习内容相对较浅,适合刚毕业或者是从业经验少,需要转行做信息安全的人员。对于想要入门安全行业的人,这个认证是一个很好的敲门砖,尤其是外资企业对这个认证的认可度。

比较吸引人的是,对于参加考试的人员没有工作经验以及学历的要求,这对很多安全爱好者来说是很大的一个学习动力。

5. ISO27001 Foundation认证

ISO27001 Foundation是由APMG机构颁发的认证,作为信息安全管理方面最著名的国际标准—ISO/IEC 27001(简称ISMS),可以指导我们现实工作,更注重信息安全管理体系的实施、维护与优化方面。

6. CCSK (云安全认证)

CCSK是由云安全联盟(CSA)颁发认证。2011年国际云安全联盟正式推出了“云计算安全知识认证(CCSK)”,经过5年的发展,CCSK已经成为云安全人才领域最权威的认证之一。

CCSK是云计算行业面向个人用户的第一个安全认证。CCSK认证的目的是确保与云计算相关的从业人员对云安全威胁和云安全最佳实践有一个全面的了解和广泛的认知。

国内来说,对云服务商或者是安服公司员工在做云安全项目时,这个认证首先可以让大家对云安全有个初步的了解,并且给项目带来必要的支持。

7. CCSP(国际云安全专家认证)

两家国际顶尖的安全组织,云安全联盟Cloud Security Alliance与 (ISC)²,在2015年合作开发了一项全新的国际云安全从业人员认证,即CCSP(Certified Cloud Security Professional),(ISC)²注册云安全专家认证。

CCSP建立在(ISC)²的CISSP信息安全专家认证和 CSA 的CCSK云安全教育计划之上,融合了更深层次的信息安全与云计算实践经验知识,反映最新和全面的云计算环境防护与优化最佳实践。

CCSP认证定义了安全从业人员高效保护云计算安全所必备的资质与经验,是高级云安全知识、经验与能力的新标杆。考试难度甚至高于CISSP,目前全国持证人数都不多,国内因为考试不便,更是凤毛麟角,持有CCSP可被视为云安全领域行业专家。

关于国际认证这块,还有很多没有提及,比如:

OSCP、CRISC、PDPF、PDPP、DPO...

都是比较优秀的认证

我们常常会夸大证书的作用,其实认证没有你想的那么神奇,能够立即升职加薪走向人生巅峰,但在不经意间,证书也会成为你致胜的影响所在。所以认证的选择,一定要适合自己,比如行业、岗位、经历等等。而且,考证不是我们唯一的目的,通过不同认证的知识大纲,梳理知识点,查漏补缺,提高自身认知才是最重要的。

,