信息安全工程师的“钱途” 考证是第 一步
取得安全行业认证书,是信息安全行业的大多数从业者要做的第 一件事,也是好工作高薪资的敲门砖。由于目前安全行业对人才需求的紧缺,使得一大批乐于从事安全行业的新人通过参加安全专业培训来取得专业的安全认证。当然,这对提高安全行业从业人员的专业技能有着极大的促进作用。
安全行业都有哪些安全认证呢?这里列举了12种,希望对大家有用。
1. 注册信息安全专业人员(certified information security professional,cisp)
cisp即“注册信息安全专业人员”,系对信息安全人员资质的 高认可。英文为certified information security professional (简称cisp),cisp系经中国信息安全中心实施认证。cisp是强制培训的。cisp作为目前国内权 威的信息安全认证,将会使您的个人职业生涯稳步提升,同时,cisp也是国内拥有会员数多的信息安全认证,你可以通过cisp之家俱乐部与行业精英交流分享,提高个人信息安全保 障水平。
根据岗位工作需要,cisp分为“注册信息安全工程师”、“注册信息安全管理员”、“注册信息安全审计师”、“注册信息安全灾难恢复工程师”。
2. giac安全要素认证(giac security essentials,gsec)
全球信息保 障认证(global information assurance certification,giac)是网络安全认证(cyber security certifications)的提供商和开发者。
giac考察五个专业领域(包括安全管理)并拥有几种(包括银级、金级和白金级)。该组织同时提供认证和证书。证书通常以一到两天sans培训课程材料为基础,并只包含一门考试;而认证则以一周长的课程为基础,需要通过两门考试,并且每四年更换一次。
3. (isc)²注册信息系统安全(certified information systems security professional,cissp)
(isc)²认证是培养和认证信息安全专业人士的全球黄金标准。它提供信息安全、系统安全、授 权、软件开发、数字取 证和保健等领域的认证。其两个关键认证为cissp和系统安全认证从业人员(systems security certified practitioner,sscp)。
cissp是目前全球范围内权 威,专业,系统的信息安全认证。理想申请人为信息保 障专业人士,以及了解如何定义信息系统架构、设计、控制管理和控制确定企业环境安全的人员。
这个俗称“双ss”的cissp认证,已经具有二十多年的历史,称得上是全球安全行业权 威认证,拥有十几万持证人员,在全球范围内得到业内的认可。甚至在移民澳大利亚、加拿大和欧洲一些时,拥有此证还可加分。无论是做安全产品、售前工程师,还是企业内部的安全管理人员,cissp几乎可以说是必持之证。
cissp的涉及面很广,基本覆盖了安全的各个领域,而且会根据行业新形势的变化相应加入新的内容。如目前更新的教材中,移动安全、云安全、工控安全等技术全都包括其中(2015年由十大领域改为八大领域)。通过学习cissp,可以与业内绝大多数人员的理念保持基本一致,标准化术语,从而极大的降低沟通成本。属于信息安全专业人士或从业者应该具备的和为实用的一个安全认证。
4.(isc)²系统安全认证从业人员(systems security certified practitioner,sscp)
该认证专为热衷信息安全行业的申请人设计。理想申请人为信息保 障专业人士,以及了解如何定义信息安全架构、设计、控制管理和控制,以确保企业环境安全。
5. (isaca)信息安全经理(certified information security manager,cism)
信息系统审计与控制协会(information systems audit and control association,isaca)认证为全球公认和认可的认证,帮助申请人将考试能力与工作和教育经验相结合。
isaca提供的主要认证包括信息安全经理(cism)和信息系统审计师(certified information systems auditor,cisa);其它认证包括:企业it治理认证(certified in the governance of enterprise it,cgeit)和风险与信息系统控制认证(certified in risk and information systems control,crisc)。
6. (isaca)信息系统审计师(certified information systems auditor,cisa)
cisa是针对信息系统审计控制、保 障和安全专业人士的全球公认认证。申请人可以通过该认证展示审计经验、技能与知识,并证明在企业内评估漏洞、报告合规性和机构控制的能力。cisa认证培训是从业人员精通it审计知识体系和审计过程的门槛,在业内已经为默认的资格标准。不仅仅是it审计类项目,许多安全咨询类项目,甲方也会看重实施者是否拥有cisa证书。
7. 国际电子商务委员会(ec-council)正派黑客认证(certified ethical hacker,ceh)
ec-council是会员制组织,为具备各种电子商务和信息安全技能的个人提供认证。ceh是一个的道德入侵与信息系统安全审计计划,包括 新安全威胁、先进的攻击媒介、 新黑客技术、方法、工具、技巧和安全措施的实时演示。
8. ec-council安全分析师(ec-council certified security analyst,ecsa)
ecsa是道德入侵认证。ecsa认证帮助分析师分析黑客工具和技术效果,以验证道德入侵的分析阶段。利用创新网络渗透测试方法和技术,ecsa可以进行集中评估,以有效识别并缓解基础设施的信息安全风险。ecsa认证专为网络服务器管理员、防火墙管理员、信息安全测试人员、系统管理人员和风险评估专业人员而设计。
9. 新云计算安全课程——ccsk 3
云计算已成为全球热门的it应用服务,多数组织在考虑采用云计算服务时都会重点关注相关安全问题。在设计和运用云计算的同时如何避免其中的安全风险?ccsk是云计算安全联盟(csa)组织全球制定的云计算安全知识框架,包括《security guidance for critical areas of focus in cloud computing, v3》安全指引,以及欧洲网络与信息安全局(enisa)的《cloud computing: benefits, risks and recommendations for information security》白皮书等两个主要文档,了解真实的云计算安全问题及解决方案。
10.信息安全技术实操认证新贵——security+
security+是针对信息安全基础级从业者的认证,偏重技术实操。无论是刚毕业的学生,还是已经走上工作岗位的运维人员或开发人员,security+都是一块进入信息安全行业的有效敲门砖。
目前,国内的信息安全相关的权 威认证基本上都是针对具备数年工作经验从业者,偏理论、偏框架、偏指导性,缺乏一个基础级的,偏操作的、实用性的,且含金量较高的安全认证,security+的出现填补了这一方面的空 缺。无论是毕业生,还是没有经过正统安全教育的,甚至是信息安全管理岗位的人士和非安全岗位的运维及开发人员,security+都不失为一门的安全技术实操类培训。
迄今为止,security+在全球147个受到广泛认可,国内包括北上广深等50多个大中型城市均设有考点。
11.信息安全审核员——iso27001la
信息安全在企业风险管理erm中极为重要,强调对一个组织运行所必需的it系统和信息的保密性、完整性、可用性的保护,提高投资回报率,降低由信息安全事故造成的损失及业务中断的风险。iso27001体系自国际标准化组织颁布为国际标准iso 27001:2005,成为“信息安全管理”之国际通用语言,于2013年9月27日更新改版为iso27001: 2013,与iso 9000和iso 20000结合更加紧密。
iso27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,有效降低企业面临的风险。在iso27001:2005中有11个领域133个控制点,而在iso27001:2013中有14个领域114个控制点(删除了旧版中39个控制点,新增了20个控制点) 。建立信息安全管理体系(isms)已成为各种组织,特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业,如软件外包,iso27001认证已经成为客户要求必备条件。
12.信息安全经理——cism
cism信息安全经理(certified information security manager)认证计划由isaca开发,满足承担信息安全领导责任的管理者的需要, 同时也为信息安全从业者向中管理层迈进提供了通路。2002年开始全球已有18000多位管理精英获得cism,其中有超过600名ceo,超过2000名cio或ciso,超过8000个安全总监或安全经理,2000个咨询顾问。cism是cisa 的延伸和补充,是继续提升信息安全个人能力的课程。
温馨提示