对CISSP考试的一些考量

降龙十八掌

国内IT认证的逐渐泛滥，大有波及信息安全认证的势头\r\n\r\n考量一： 国内信息系统的安全被炒做过高\r\n         企业花了大量的金钱买了很多根本用不上或者没有用的信息安全设备。买来也没有好好的利用，造成IT经济的浪费，直接影响着目前IT安全软硬件市场的良性发展，安氏的大幅裁员就是征兆。市场真正有多少企业需要CISSP认证，大家真的需要多多打探。\r\n\r\n考量二： 认证杀手TestKing推出了针对CISSP的认证资料\r\n凡是Testking推出过资料的认证，最终在中国都会贬值。从MCSE，到CCNP，从Oracle，到JAVA，近来又出现了CISSP的dump。\r\n\r\n只要用Testking考过IT认证的朋友都知道，Testking的pdf里都是100%真题，随着版本的升高，覆盖率就不断升高。我敢说，再过1年，不用看书，死记硬背1个礼拜（这也是保守估计）的testking，考过Testking推出的认证应该不在话下，但是这又有什么意义呢？\r\n\r\n以下认证只要符合3条，我原则上不考（除非公司贴钱让我在上班时间复习并报销考试费，我才会考虑一下）：\r\n1、在中国每月都能考的认证（中国人多，两三年就滥了）\r\n2、Testking推出了认证资料（中国人共享精神足，一传十，十传百就变成人人都能过得认证了）\r\n3、对我今后职业发展没有帮助的认证（人生短暂，要合理规划自己的时间和金钱）\r\n4、机考且考点很多的认证（机考本身存在严重的泄密弊端，是认证的第二大杀手）\r\n\r\n就以上几条，我个人认为CISA比CISSP贬值得慢些。因此，我更愿意花时间在CISA上。\r\n\r\n我并没有对CISSP认证有任何偏见，目前能考过CISSP都是大牛，我对你们的敬意如滔滔江水，只是不愿意看到一些人浪费金钱和时间去重复考认证。毕竟在需求量一定得前提下，考得人越多，证书就越贬值，不是吗？\r\n\r\n以上纯属个人观点，仅供大家参考！

gordon007

什么认证一到中国就会泛滥：\r\n1、中国人多\r\n2、中国人会考试

colababy

考什么认证，关键是你的目的，考证过程本身无可知非，只是所用的手段能够体现你的目的，也就最终决定了证书的价值，踏踏实实将知识和经验结合在一起，认真拓展自己思路的，最终获益并不仅仅是一张证书，相反，投机取巧依靠Bible来考试的，拿到证书也只能是一张白纸。此外，在这里，大家也应该澄清CISA证书和CISSP的区别，不要动不动就把这两种认证放到一起来说，不同方向，不同内容，不同侧重，大家自然也有不同的看法。很多追求CISA认证的，自认为其中包含了些IT安全的内容，就觉得CISSP无非如此，实际上是很肤浅的，反之依然。CISA侧重IT审计，CISSP侧重对信息安全全面的理解，尤其是安全管理，是更高层次上认识信息安全的一个很好的途径。二者差异性很大，不存在孰优孰劣。

Mathew

要考试不被testking搞坏，一定要考的少，象cisa一年一次，而且要笔试。不然难逃一劫啊。

phrack

不管是CCIE也好、CISSP、CISA也好，都是信息系统考试的不同分支，分析谁比谁好并没有太大的意义。少谈些“主义”，不要文人相轻；多做些实事，应该互相学习。重要的是把握好自己的方向，大家一起把中国这块蛋糕做大。中国的信息化管理水平提高了，谁都有发展。

available

即想抬高自己的身价，又怕别人去考。\r\n证书只是证书。考出来只能证明你掌握了相应考证的知识，谁爱考谁考。你的三条原则就是bull shit.\r\n而且对于testking.他的CISSP模拟考题难道真的是真题吗？？？？？？？？？？！！！！！！！！！！！！\r\ni doubt.

linkenpark

古人很明智：术业有专攻\r\n处理办法：通百家而专一长\r\nMCSE再烂，某些边缘（像西部）的地区还是求之不得.

omni

最初由 available 发布\r\n即想抬高自己的身价，又怕别人去考。\r\n证书只是证书。考出来只能证明你掌握了相应考证的知识，谁爱考谁考。你的三条原则就是bull shit.\r\n而且对于testking.他的CISSP模拟考题难道真的是真题吗？？？？？？？？？？！！！！！！！！！！！！\r\ni doubt.

Why does it have to be so personally emotional, and why does it have to talk so dirty? Where did people get educated?

cissp

郑老弟的说法确实有些偏颇。\r\n首先，国内信息安全还远没有到达过热的地步。相对美国近20的信息安全建设，已经形成法律、组织、产品、教育等信息安全相关的全面的体系。国内媒体的宣传虽然有时偏颇，但对促进全社会对信息安全问题的关注还是有不可替代的推进作用。关于企业如何正确的进行信息安全管理和建设，是需要专业人士形成共识，然后在实际工作中逐渐推进的，CISSP是其中很重要的中坚力量，至于某类技术是否还有生命力也只是一个细节问题，而安氏的裁员也只是某个公司的行为，其内在原因也与信息安全的总体发展无关。\r\n\r\n关于CISSP资质也绝对不会像某些证书一样泛滥。作为安全专业人士的资格证明，ISC2有多层关口控制CISSP的素质和考试的保密性。到现在为止，国内的CISSP们很好的体现了职业素质和专业精神，在新近的考试中也出现了为证书、高薪而取巧的考生，根据我的观察，恐怕他们连考试这一道门也通不过。而考试后的endorsment是又一次对资格的检查，而抽查的过程也是极其严格的。作为考题的保密性，相信参加过考试的都对那些要签署的保密文件的内容还是记忆犹新吧，相信一个安全工作者，谁也不乐意拿自己的声誉去开玩笑。至于某些模拟软件是否就是真题，availabal刚通过考试，也作过测试题，恐怕他的反应也说明了问题吧：）\r\n\r\n关于CISA和CISSP的差异，绝对不是以参加考试的成本和机会来划分的。厂商的认证教育一般隶属与市场部门管理，证书的泛滥，对厂商而言，犹如微软视盗版的心态。CISA和CISSP都是由第三方专业机构组织的专业人员资质认证，这和厂商的认证有很大的不同。以公司的组织结构为例，CISSP针对是安全管理部门人员，CISA针对审计或品质管理部门，两者有角度的差异而无高下优劣之分。鉴于国内安全发展的现状，恐怕更重要的是集团企业首先建立安全部本，形成相应的制度和流程，其次才是审计部门根据相应的制度进行审计。\r\n\r\n关于考证的挑战和价值的问题，已经获得资质的人员可以说形成一个共识：CISSP和CISA这样专业资质的考试最大的挑战在于你要在繁忙的工作中抽出时间阅读大量的资料，补充你整体思想或工作经验上的不足，系统化你的知识体系。价值在于通过考核后的自信和将知识运用到工作中的成就感。\r\n\r\n再次奉劝立志与信心安全的朋友，不要纠缠于所谓证书含金量的问题，信息安全是一个涵盖范围广阔的大系统，涉及到密码学、网络协议、安全模型等很多的理论基础知识和风险评估、日常运营、审计等管理经验，成为一名合格的信息安全工作者，不仅需要兴趣和爱好，更需要扎实的功底，需要刻苦的努力。

available

has it dirty??????where????\r\nquote:\r\n  Why does it have to be so personally emotional, and why does it have to talk so dirty? Where did people get educated?\r\n\r\n\r\n__________________\r\nomni\r\n\r\nhave you ever been educated???or wash your dishes???