資訊安全人員現在流行什麼證照? - 資安人

(ISC)2組織(發行CISSP)的建立是立基於在資訊安全，而ISACA(發行CISM與CISA) 組織是立基於稽核的部分，其中CISM著重在經營管理有別於CISA著重在稽核。

在考試的內容部分， ... 歡迎登入資安人 若您還不是會員，請點選下方加入會員 忘記密碼 加入資安人會員 登入 新聞 觀點 專題 解決方案 活動 訂閱電子報 資安人粉絲團 聯絡我們 關於我們 合作詢問 隱私權政策 香港商法蘭克福展覽有限公司台灣傳媒分公司 110台北市信義區市民大道六段288號8F 886-2-8729-1099 新聞 觀點 專題 解決方案 活動 訂閱電子報 登入 觀點 您現在位置:首頁 > 觀點 資訊安全人員現在流行什麼證照? 2005/11/04 口述/許偉健整理/卓長熹 而現在有哪些公認的國際證照能幫助資訊安全人員更進階適合的對象？差異是在哪？以下將針對目前六個在資安界最流行並為國際認可的證照，提供讀者參考。

CISM國際電腦稽核協會(ISACA)在2002年推出一個新的證照，國際資訊安全管理師證照(CISM，theCertifiedInformationSecurityManager)，主要對象是以在資訊安全領域，具設計、監督或評估等管理責任和經驗的經理人為主。

CISM證照推出的時間僅約兩年，每年一次考試在2003年12月前，為了鼓勵資訊安全經理認識和拿取證照，推出不受考試條例規範的方案，只要有相關資安管理經驗，通過ISACA審查後，亦可申請換取CISM證照。

唯目前只有以考試方式拿取，拿取證照者人數並不多；低標是75分，但通過考試只是基本門檻，還需具備一些其他相關經驗的條件去申請才能拿取，如需具備五年的資訊安全經驗，其中兩年為一般的資安相關經驗，三年為經理或管理層級的資安經驗；或是擁有CISSP(CertifiedInformationSystemsSecurityProfessional)或CISA(國際電腦稽核師，CertifiedInformationSystemsAuditor)證照者亦可相抵前者兩年一般的資安相關經驗。

此認證的取得不易，從2002年至目前經考試後申請成功者僅三位。

CISM的內容著重於5domain，包括1.建立和維持資訊安全架構以符合企業組織的安全目標與符合法令；2.風險管理機制的建立；3.對資訊安全管理架構提供計畫的設計、開發和管理；4.資訊安全管理的實施；5.對災難的回覆與處理能力等。

CISACISA認證是由國際電腦稽核協會發起，1978年開始發行，並有中文考試方式進行，在國內考試人口較多，主要是以在資訊系統審計、控管與安全專業稽核的人員為對象，內容包括1.資訊系統負責稽核流程；2.資訊系統的管理、計畫與組織；3.資訊技術基礎設施與操作實務；4.資訊資產的保護；5.業務持續計畫(BCP)與災難恢復(DRP)；6.應用系統開發、獲得、實施與維護；7.業務處理流程評價與風險管理等範圍，偏重於稽核層面。

CISSPCISSP認證是1992年開始發行，是(ISC)2組織針對資訊安全相關人員所發的證照，認證涵蓋的專業領域範圍十分廣泛，對資訊安全的管理和運作提供10個領域的基本管理及運作方法，包括1.資料存取控制系統及方法；2.應用系統發展安全；3.BCP及DRP4.密碼學；5.法律犯罪調查及道德守則；6.作業安全；7.實體安全；8.資訊安全系統架構及模式；9.安全管理實務；10.資料通訊及網路安全。

CISSP的範圍和BS7799的涵蓋範圍有些類似，但BS7799較理論性，傾向於要『做什麼』可達到其認證的10domain，而CISSP則傾向於要『如何做』的實務運作方法。

(ISC)2目前又延伸出三個對領域及對象更專精的證照，分別如下。

ISSMP(InformationSystemsSecurityManagementProfessional)，針對資訊安全具管理背景者；主要內容是確認對整個企業的資訊安全管理、系統開發有相當程度認知、整個IT的營運是否符合公司需求及政策、BCP和DRP、法律、電腦犯罪鑑定。

ISSAP(InformationSystemsSecurityArchitectureProfessional)，針對資訊安全的架構具調整、規劃之責及有技術背景的人，例如網路設計或是技術安全的建置等會影響到資訊安全者；主要目的是要確認相關人員對存取控制、電訊安全、網路安全、密碼學、資訊安的標準、BCP與DRP及實體安全等更深入之技術層面。

ISSEP(InformationSystemsSecurityEngineeringProfessional)，針對資訊安全的系統工程師所發行的證照，內容包括系統安全工程、證明和檢定、技術管理、美國資訊相關法律四個項目。

ISSMP的BCP與DRP內容著重在架構領域，而ISSAP的BCP與DRP是著重在計畫的擬定層面。

以軟體工程為例，其中分析師考的是ISSAP，程式設計師考的是ISSEP，而負責管理者則是ISSMP。

CISM、CISA和CISSP的差異發行的組織不同，內容的面向則不同。

(ISC)2組織(發行CISSP)的建立是立基於在資訊安全，而ISACA(發行CISM與CISA)組織是立基於稽核的部分，其中CISM著重在經營管理有別於CISA著重在稽核。

在考試的內容部分，CISSP偏向理論性的題目，而CISM偏向實務經驗的問題。

結語申請證照的主要目的，一是自我專業度的肯定，二是經由準備的過程更進階學習，再則現在客戶對委外公司或人員的證照要求也日益嚴格，因此透過自修或是參加課程訓練，取得認證是對專業晉級很好的方式；也是雇主在選擇和評估人才時一個衡量的基礎。

而受訪者強調，拿到證照不代表我們的工作能力很強，它是對資訊安全人員的基本肯定，更重要的還有實務上的經驗累積和不斷的進修和學習。

本文受訪者許偉健，得到CISSP及CISM證照，現任資誠會計師事務所價值管理服務部協理(曾任職於英國SchrodersInvestmentBank,SecurityAnalyst/CazenoveInvestmentBank,AccessControlManager/BankofScotland,SecurityConsultant)證照表: 證照類別:CISM 發行組織；國際電腦稽核協會(ISACA)參考網址：http://www.isaca.org 對象:具資訊安全管理責任和經驗的經理人 考試內容； 1.建立和維持資訊安全架構以符合企業組織的安全目標以及符合法令 2.風險管理機之的建立 3.對資訊安全管理架構提供計劃的設計、開發和管理 4.資訊安全管理的實施 5.對災難的回復與處理能力。

費用；會員：2005/2/2 前US$335元 2005/3/30 前US$385元 非會員： 2005/2/2前 US$455元 2005/3/31 前US$505元 證照類別:CISA 發行組織；國際電腦稽核協會(ISACA) 對象:資訊系統審計、控管與安全的專業稽核人員 考試內容； 1.資訊系統稽核流程 2.資訊系統的管理、計畫與組織 3.資訊技術基礎設施與操作實務 4.資訊資產的保護 5.業務持續計畫(BCP)與災難恢復(DRP) 6.應用系統開發、獲得、實施與維護 7.業務處理流程評價與風險管理等範圍的稽核層面。

費用；會員： 2005/2/4前 US$325元 2005/3/31前 US$375元 非會員： 2005/2/4前 US$445元 200/3/31前 US$495元 證照類別:CISSP 發行組織；(ISC)2參考網址：https://www.isc2.org 對象:資訊安全相關人員 考試內容； 1.資料存取控制系統及方法 2.應用系統發展安全 3.企業永續計畫(BCP)及災害復原計畫(DRP) 4.密碼學 5.法律犯罪調查及道德守則 6.作業安全 7.實體安全 8.資訊安全系統架構及模式 9.安全管理實務 10.資料通訊及網路安全 費用；US$450元 證照類別:ISSMP 發行組織；(ISC)2 對象:對資訊安全具管理背景者 考試內容； 1.確認對整個企業的資訊安全管理 2.系統開發有相當程度的認知 3.整個IT的營運是否符合公司需求及政策 4.BCP和DRP 5.法律 6.電腦犯罪鑑定 費用；US$450元 證照類別:ISSAP 發行組織；(ISC)2 對象:資訊安全的架構具調整規劃之責、有技術背景的人 考試內容； 1.確認相關人員之存取控制 2.電訊安全 3.網路安全 4.密碼學 5.資訊安的標準 6.BCP和DRP 7.實體安全 費用；US$450元 證照類別:ISSAP 發行組織；(ISC)2 對象:資訊安全的系統工程師 考試內容； 1.系統安全工程 2.證明和檢定 3.技術管理 4.美國資訊相關法律 費用；US$450元 證照 最新活動 2022.06.17 數位轉型資安相談室☁️線上對談會：面對數位砲火，企業如何安穩挺進企業轉型樂土? 2022.06.23 加密盛世－A10線上研討會 2022.06.28 【精誠資訊科技講堂】企業難分難捨的開源軟體，資安漏洞防堵全攻略！ 2022.07.23 【資安學院】iPAS-資訊安全中級工程師能力研習備戰班 2022.08.08 【資安學院】8/8-8/12ISO27701：2019個人資料管理系統主導稽核員訓練課程 看更多活動 大家都在看 Fortinet資安能力報告：全球64%組織曾資安損失營收或罰款 電子郵件安全中的缺失環節 當你個資外洩時會發生什麼事？ DNS成為惡意程式攻擊和資料洩漏的新途徑 律果法律事務所與全景軟體攜手推動電子簽名 資安人科技網 文章推薦 NordVPN:台灣信用卡資料於暗網市場售價是全球平均2倍 CheckPointHarmonyMobile4.0整合三星安全平台SamsungKnox NetApp簡化混合雲操作，因應勒索軟體威脅，協助加速VMware工作負載上雲 香港商法蘭克福展覽有限公司台灣分公司 | 110台北市信義區市民大道六段288號8F | 886-2-8729-1099Copyright©2022MesseFrankfurt(HK)Limited,TaiwanBranch.Allrightreserved.