Certyfikaty techniczne są bardzo poszukiwane w dzisiejszych czasach, szczególnie te, które skupiają się na bezpieczeństwie informacji. Są to specjalne programy certyfikacyjne, które są bardzo skoncentrowane i obejmują tylko określoną technologię lub pakiet oprogramowania. Mogą one również wymagać od kandydatów wykazania się praktyczną wiedzą i umiejętnościami poprzez wykonywanie zadań w kontrolowanym środowisku. Istnieje wiele znanych programów certyfikacyjnych, które skupiają się na zarządzaniu bezpieczeństwem informacji, ale dwa certyfikaty, które dominują w tej kategorii to CISSP i CISM. Przyjrzyjmy się tym dwóm.
Co to jest CISM?
CISM lub Certified Information Security Manager jest jednym z najnowszych programów certyfikacyjnych dostępnych dla menedżerów bezpieczeństwa informacji, aspirujących menedżerów lub konsultantów bezpieczeństwa. CISM został opracowany i sponsorowany przez Information Systems Audit and Controls Association (ISACA). Jest to znacznie mniejsza ilość certyfikatów technicznych, a bardziej chodzi o to, aby dowiedzieć się, jak jako specjaliści od bezpieczeństwa informacji, można wspierać biznes. CISM to świetny kurs dla tych, którzy chcą zarządzać, projektować, nadzorować lub oceniać infrastrukturę bezpieczeństwa informacji w organizacji. Certyfikacja jest przeznaczona specjalnie dla doświadczonych menedżerów bezpieczeństwa oraz osób odpowiedzialnych za zarządzanie bezpieczeństwem informacji. Zasadniczo pomaga umieścić całą mapę drogową bezpieczeństwa informacji w odpowiednim kontekście. Obejmuje kilka obszarów zainteresowania, takich jak kwestie regulacyjne, zarządzanie bezpieczeństwem informacji, zarządzanie ryzykiem, odzyskiwanie danych i tak dalej. Pamiętaj, że CISM nie jest programem certyfikacyjnym dla początkujących, więc jeśli nie jesteś w 100 procentach pewien, nie idź na egzamin.
Co to jest CISSP?
CISSP lub Certified Information Systems Security Professional to uznawany na całym świecie program certyfikacji oferowany przez globalną organizację non-profit, International Information System Security Certification Consortium (ISC2). Jest to certyfikacja dla bardziej doświadczonych specjalistów w zakresie zarządzania bezpieczeństwem, takich jak analitycy bezpieczeństwa. Certyfikacja ta ma na celu doskonalenie umiejętności specjalistów ds. bezpieczeństwa IT we wszystkich branżach. Certyfikat CISP jest przeznaczony dla specjalistów ds. bezpieczeństwa odpowiedzialnych za projektowanie i utrzymanie infrastruktury bezpieczeństwa informacji w organizacji. Certyfikowany profesjonalista CISSP jest dobrze wyposażony i posiada wiedzę, aby zaprojektować, wdrożyć i zarządzać programem cyberbezpieczeństwa w organizacji. Jest to bardziej techniczny program certyfikacji preferowany przez profesjonalistów, w tym konsultantów bezpieczeństwa, analityków bezpieczeństwa, inżynierów systemów, architektów sieci, itp. Ze względu na swój techniczny charakter, jest on bardzo poszukiwany, a certyfikowani specjaliści CISSP są hojnie opłacani w porównaniu z innymi specjalistami ds. bezpieczeństwa IT.
Różnica między CISSP a CISM
Skupienie na temacie
– CISM lub Certified Information Security Manager jest znacznie mniej technicznym certyfikatem i znacznie bardziej zorientowanym na biznes. Program certyfikacji CISM skupia się na zarządzaniu i strategii, podczas gdy zajmuje się projektowaniem i technicznymi kwestiami bezpieczeństwa na poziomie koncepcyjnym. CISSP lub Certified Information Systems Security Professional jest o wiele bardziej techniczny i mniej związany z zarządzaniem, z dużo szerszym naciskiem na cyberbezpieczeństwo. CISSP jest dla bardziej doświadczonych specjalistów zarządzania bezpieczeństwem, którzy są dobrze wyposażeni i wystarczająco wykwalifikowani, aby zaprojektować, wdrożyć i zarządzać programem cyberbezpieczeństwa w organizacji.
Kwalifikacja wstępna
– Certyfikacja CISM wymaga wcześniejszego 5-letniego doświadczenia zawodowego w zakresie bezpieczeństwa informacji, w tym minimum 3-letniego doświadczenia w zarządzaniu bezpieczeństwem informacji w co najmniej trzech obszarach domenowych. Cóż, istnieją pewne dopuszczalne substytuty – zamiast 5 lat, można obejść 3, jeśli posiada się certyfikat CISSP, który liczy się jako 2 lata doświadczenia. Aby zostać certyfikowanym profesjonalistą CISSP, musisz mieć minimum 5 lat odpowiedniego doświadczenia zawodowego lub 4 lata doświadczenia plus wykształcenie wyższe. Ponadto, musisz przestrzegać kodeksu etycznego CISSP określonego przez (ISC)2.
Format egzaminu
– Egzamin CISSP składa się z 250 pytań i masz 6 godzin na ukończenie egzaminu. Są to pytania wielokrotnego wyboru i egzamin jest nadal podawany w formacie książeczki i arkusza odpowiedzi. Będziesz używać ołówka do wypełnienia pęcherzyków odpowiedzi. Musisz zdobyć minimum 70 procent ocen, aby zdać. Egzamin CISM składa się z 150 pytań wielokrotnego wyboru i masz 4 godziny na ukończenie egzaminu. Jesteś testowany na gruncie czterech obszarów funkcjonalnych bezpieczeństwa informacji. Jesteś zobowiązany do zdobycia minimum 450 znaków, aby zdać egzamin CISM.
Domeny wiedzy
– Certyfikacja CISM pomaga umieścić całą mapę drogową bezpieczeństwa informacji we właściwym kontekście. Zapewnia on poziom zarządzania bezpieczeństwem informacji wokół czterech obszarów domenowych: zarządzanie bezpieczeństwem informacji, zarządzanie bezpieczeństwem informacji, opracowywanie i zarządzanie programami bezpieczeństwa informacji oraz zarządzanie incydentami bezpieczeństwa informacji. Z drugiej strony, certyfikat CISSP jest przeznaczony do doskonalenia umiejętności specjalistów ds. bezpieczeństwa IT w 8 domenach wiedzy: bezpieczeństwo aktywów, bezpieczeństwo i zarządzanie ryzykiem, inżynieria bezpieczeństwa, zarządzanie tożsamością i dostępem, bezpieczeństwo komunikacji i sieci, ocena i testowanie bezpieczeństwa, bezpieczeństwo rozwoju oprogramowania oraz operacje bezpieczeństwa.
Podsumowanie CISSP vs. CISM
Zarówno CISM jak i CISSP są profesjonalnymi programami certyfikacyjnymi przeznaczonymi dla osób zajmujących się bezpieczeństwem informacji. CISSP ma jednak charakter bardziej techniczny i skupia się na pokryciu dogłębnych obszarów bezpieczeństwa informacji, podczas gdy CISM jest mniej techniczny i bardziej zorientowany na biznes, który skupia się na zarządzaniu i strategii, podczas gdy zajmuje się projektowaniem i technicznymi kwestiami bezpieczeństwa na poziomie koncepcyjnym. Oba wymagają minimum pięciu lat odpowiedniego doświadczenia zawodowego w swoich dziedzinach, chociaż osoby mogą zdać egzamin, a następnie zdobyć doświadczenie. Jednak do uzyskania certyfikatu CISSP potrzebne jest potwierdzenie od istniejącego członka (ISC)2.