W rzeczywistości to nie konkurujące certyfikaty
Otrzymuję to pytanie constantnie, a uczciwa odpowiedź brzmi: CISSP i Security+ nie konkurują o to samo miejsce w twoim CV — znajdują się na zupełnie różnych etapach kariery. Security+ to certyfikat entry-level, niezwiązany z dostawcą, skierowany do osób wchodzących w cyberbezpieczeństwo. CISSP to certyfikat zarządzania i architektury na poziomie senior od ISC2, który wymaga lat płatnej pracy, aby uzyskać pełne oznaczenie. Porównywanie ich bezpośrednio jest trochę jak porównywanie egzaminu na prawo jazdy do licencji na samochód ciężarowy — ten sam obszar, zupełnie inny poziom.
Jeśli zadajesz to pytanie, bo jesteś zupełnie nowy w tej branży, odpowiedź jest prosta: Security+ pierwszy, zawsze. CISSP nie jest jeszcze dostępny, a nawet gdyby był, nie byłby to odpowiednie poświadczenie na twojej obecnej pozycji.
Wymaganie doświadczenia, które ludzie pomijają
To jest szczegół, który wszystkich potkyka: CISSP wymaga minimum pięciu lat skumulowanego, płatnego doświadczenia zawodowego w co najmniej dwóch z ośmiu domen CISSP (jeden rok można pominąć z odpowiednim dyplomem lub innym zatwierdzonym certyfikatem). Możesz przystąpić i zdać egzamin bez tego doświadczenia i stać się „Associate of ISC2", ale nie otrzymujesz pełnego oznaczenia CISSP, dopóki wymagane doświadczenie nie zostanie spełnione i zatwierdzone. Security+ nie ma takiego wymagania — możesz przystąpić do niego w pierwszy dzień swojej kariery.
To jest praktyczny powód, dla którego większość ludzi potrzebuje Security+, lub równoważnej podstawy, na długo przed tym, zanim CISSP stanie się istotne dla ich sytuacji. Wyjaśnia to również, dlaczego ogłoszenia o pracę szukające „CISSP lub równoważne, 5+ lat doświadczenia" wyglądają zupełnie inaczej niż oferty entry-level wspominające Security+ — nie są skierowane do tego samego kandydata wcale, a traktowanie ich jako szczebli na tej samej krótkie drabinie stwarza nierealistyczne oczekiwania w obie strony.
Porównanie obok siebie
| Security+ (SY0-701) | CISSP | |
|---|---|---|
| Poziom | Entry-level | Senior / zarządzanie |
| Organizacja | CompTIA | ISC2 |
| Wymagane doświadczenie | Brak | 5 lat (z wariantami) |
| Fokus | Fundamenty techniczne | Zarządzanie bezpieczeństwem, governance, architektura |
| Typowy posiadacz | Młodszy analityk, zmiennik kariery | Kierownik bezpieczeństwa, architekt, ścieżka CISO |
| Przedłużenie | Edukacja ciągła | Edukacja ciągła (CPEs) |
Co mówię studentom, którzy chcą przejść bezpośrednio do CISSP
Od czasu do czasu trafia mi się student, zwykle zmiennik kariery przychodzący z wyższego stanowiska w innej branży — zarządzanie programami, kierownictwo inżynierów, wojskowych — który chce iść prosto po CISSP, bo wygląda jak certyfikat „top". Mówię im to samo za każdym razem: CISSP testuje szerokość wiedzy z zakresu zarządzania bezpieczeństwem w ośmiu domenach, a bez podstaw w fundamentach technicznych, będziesz zapamiętywać koncepcje, które nigdy nie widziałeś w praktyce. To jest znacznie trudniejszy, znacznie mniej trwały sposób na naukę, i nie pomaga ci, jeśli nie możesz przejść wymagania doświadczenia, aby posiadać pełne poświadczenie w każdym razie.
Zbuduj pierwszą bazę techniczną — Security+ lub równoważne, najlepiej z praktyczną praktyką — a następnie pozwól CISSP być certyfikatem, który sformalizuje wiedzę na poziomie zarządzania, gdy faktycznie pracujesz na tym poziomie. Mówię to jako osoba, która posiada CISSP: egzamin nagradza osąd zbudowany z rzeczywistych decyzji, które musiałeś podjąć pod presją — żywy incydent, kompromis budżetowy, wyjątek polityki, który nikt nie chciał podpisać. Bez tego zakresu doświadczenia do czerpania, zapamiętywałbyś abstrakcje zamiast rozpoznawać wzorce, które już znasz, a to jest znacznie wolniejszy, znacznie mniej niezawodny sposób na przygotowanie.
Rozumna kolejność
- Security+ (lub ISC2 CC) — podstawowy słownictwo i koncepcje.
- Praktyczne doświadczenie — rola analityka, praktyczne poświadczenie takie jak BTL1, praktyczne projekty.
- Specjalizacja — bezpieczeństwo chmury, blue team, GRC, w zależności od tego, gdzie zmierza twoja kariera.
- CISSP — gdy gromadzisz lata doświadczenia i poruszasz się w kierunku odpowiedzialności zarządczej lub architektonicznej.
Jeśli nie jesteś pewny, czy CISSP jest warte wysiłku, nawet gdy się do niego kwalifikujesz, napisałem sprawę za i przeciw osobno: czy CISSP warto. A jeśli chcesz pełniejszy obraz tego, gdzie Security+ siedzi przed wszystkim tym, zobacz czy Security+ warto.
Często zadawane pytania
Czy mogę uzyskać CISSP bez jakiegokolwiek doświadczenia zawodowego?
Możesz zdać egzamin i stać się ISC2 Associate, pracując nad pełnym oznaczeniem CISSP, gdy gromadzisz wymagane doświadczenie. Nie możesz posiadać pełne poświadczenie CISSP bez niego.
Czy CISSP jest trudniejszy niż Security+?
Tak, ale nie tylko ze względu na trudność treści — CISSP testuje szerokość i osąd w zagadnieniach zarządzania bezpieczeństwem, co jest trudniejsze do zapamiętania niż bardziej określone, techniczne cele Security+.
Czy zmiennicy kariery powinni iść bezpośrednio po CISSP?
Tylko jeśli masz już lata istotnego doświadczenia z sąsiednich dziedzin, które ISC2 będzie kredytować — na przykład rola IT risk, audyt lub zarządzanie programami z rzeczywistą zawartością bezpieczeństwa. W przeciwnym razie najpierw zbuduj fundament.
Czy Security+ liczy się do wymagania doświadczenia CISSP?
Sam Security+ nie liczy się jako doświadczenie zawodowe, ale CompTIA ma umowy, które pozwalają niektórym certyfikatom CompTIA spełnić jeden rok zwolnienia z wymagania doświadczenia CISSP — sprawdź oficjalną stronę ISC2, aby znaleźć aktualną listę, ponieważ te ustalenia się zmieniają.
Nie jesteś pewny, który z nich faktycznie pasuje do twojej obecnej sytuacji? Zarezerwuj lekcję próbną i wymapimy realistyczny następny krok zamiast aspiracyjnego.