一些持有安全行业最值得夸耀的CISSP(信息系统安全专业人员资格认证)证书的人担心,随着另一种类似的旨在保护重要的基础设施网络的证书的出现,他们努力获得的CISSP证书将失去特殊的地位。那种由重要基础设施研究所颁发的资格证书非正式的名称是CCISP。
Counterpane互联网安全公司的CISSP资格证书持有者和整合业务经理J.P. Vossen说,我对这个缩写字与CISSP非常接近感到非常担心。自从90年代末获得CISSP资格证书以来,我亲身体验到了商务界人士一直很难把这个缩写字搞正确。现在,新增加一个缩写字将使这种情况更加糟糕。
那些寻求得到更新一点的证书的人必须要满足最低限度的要求。这些要求包括在重要的基础设施、数据采集与监控系统(SCADA)或者其它高可用性环境中工作三年以上。因为课程材料的敏感性质和每两年更新一次资格证书,这项资格证书的申请人还需要通过背景考试。相比之下,CISSP资格证书需要有在这个领域工作四年的经验并且要广泛测试申请人的知识。这个资格证书还要求持有者不间断地学习以保持良好的状态。
在过去的几年里,比较新一点的资格证书已经进入了网络安全领域。这种证书的持有者要求为他们已经证明的安全技能得到更高的工资。然而,胡乱排列字母令人们难以应付。
Vossen说,过多地使用缩写字使IT专业蒙受了痛苦。这些缩写字不仅造成了混乱,而且在很多情况下这些缩写字还不是惟一的。虽然任何专业都有自己的行话,但是,我们必须要与依赖于我们的IT专业以外的许多人士交流。信息安全在行话和失败的代价这两个方面更糟糕,因此,我们要使事情好起来,而不是把事情搞糟。
这个问题的中心是信息系统安全协会(ISSA)承认的并且适合于具体环境的CCISP(重要基础设施安全专业人员资格证书)。CCISP资格证书的颁发者称,这是一种完全不同的证书,是针对重要基础设施行业的,实际上是CISSP资格证书的一个补充。
重要基础设施研究所所长Clint Bodungen说,我们是专门从事重要基础设施保护工作的。重要基础设施一般包括石油和天然气、公用事业和核设施。我们的课程专门介绍CIP(重要基础设施保护)系统和设备,也就是(ISC)2(国际信息系统安全认证联盟)没有涉及的数据采集与监控系统。
Bodungen表示,这个缩写字作为CIP行业的资格证书是合乎逻辑的。我们建议,由于CISSP提供了良好的安全基础,所有的学生在取得更专业的CCISP资格证书之前都要获得CISSP资格证书。
美国普度大学的一位CISSP资格证书持有者和计算机技术专业的副教授Marc Rogers说,如果国际信息系统安全认证联盟不追究他们侵犯商标权的问题,我会感到非常意外。那个缩写字太接近CISSP了。
据Bodungen说,负责颁发CISSP资格证书的非盈利的国际信息系统安全认证联盟确实发出了停止使用CCISP缩写字的命令。但是,这个机构没有采取其它的措施。同时,Bodungen的公司继续推销其资格证书。
国际信息系统安全认证联盟没有解释它为什么放弃了这个努力。国际信息系统安全认证联盟通信和相关服务经理Sarah Bohne对SearchSecurity.com网站说,该机构有一项政策,禁止雇员对其它安全资格认证和证书发表评论。
然而,其他持有CISSP资格证书的人员讲话更随便一些。美国红十字会首席信息安全官、CISSP资格证书持有者Ron Baklarz说,虽然这个缩写字非常相似,但是,从法律角度看它是不一样的。我同意这样的观点,认为这个缩写字会引起混乱,这个缩写字太相似了,令人非常遗憾。我认为,这对CISSP的影响是很小的,因为国际信息系统安全认证联盟本身已经开始把这个资格证书简化为SSCP(系统安全认证从业人员),更不用说国际信息系统审计协会(ISACA)的CISM(信息安全经理人认证)认证了。
CISSP资格证书的持有者、安全专家Stephen Cobb对CCISP资格证书的含义有不同的看法。他说,我从该机构网站上看到的内容似乎显示,这是一个非盈利的机构。CCISP资格证书与其它证书的惟一区别就是这个证书是由非盈利机构创建和管理的。有些基于厂商的证书,如思科和微软的资格证书,也具有一定的地位。但是,可信赖的资格证书应该由非盈利机构管理,否则,就很难避开“文凭工厂”的指控。
Baklarz补充说,CCISP网站没有提供详细的信息,如严格的考试和公共知识体系。国际信息系统安全认证联盟、国际信息系统审计协会和ASIS等机构用了很多年时间才发展和获得了一流的声誉。CCISP资格证书似乎是最时髦的,但是,肯定是没有经过考验的。