它們其實不是競爭的認證
我經常被問到這個問題,誠實的答案是 CISSP 和 Security+ 並不是在爭奪你履歷上的同一個位置——它們處於完全不同的職業階段。Security+ 是一個入門級別、供應商無關的認證,針對的是剛進入網路安全領域的人員。CISSP 是 ISC2 推出的高級管理和架構認證,需要多年帶薪工作經驗才能獲得完整的正式認證。頭對頭比較它們有點像比較駕駛考試和 HGV 執照——相關領域,但級別完全不同。
如果你提出這個問題是因為你剛進入這個領域,答案很簡單:先考 Security+,永遠是這樣。CISSP 你還夠不了格,即使夠了,它也不是你目前階段合適的認證。
大多數人忽略的經驗要求
這是讓人困擾的細節:CISSP 要求至少五年累計的、帶薪的工作經驗,涉及八個 CISSP 領域中至少兩個領域(持有相關學位或其他認可認證可以免除一年)。你可以在沒有該經驗的情況下參加並通過考試,成為 ISC2 的「聯絡成員(Associate of ISC2)」,但在經驗要求得到滿足和認可後才能獲得完整的 CISSP 正式認證。Security+ 則沒有這樣的要求——你可以在職業的第一天就參加考試。
這是大多數人需要 Security+ 或同等基礎認證的實際原因,遠早於 CISSP 與他們的情況相關之前。這也解釋了為什麼招聘廣告要求「CISSP 或同等資格,5 年以上經驗」看起來與提及 Security+ 的入門級職位完全不同——它們根本不針對同一類候選人,把它們當作同一個短梯上的級階會導致任何一方都有不切實際的期望。
並排比較
| Security+ (SY0-701) | CISSP | |
|---|---|---|
| 級別 | 入門級 | 高級/管理級 |
| 認證機構 | CompTIA | ISC2 |
| 所需經驗 | 無 | 5 年(可豁免) |
| 重點 | 技術基礎 | 安全管理、治理、架構 |
| 典型持有者 | 初級分析師、轉職者 | 安全經理、架構師、CISO 晉升路線 |
| 更新 | 繼續教育 | 繼續教育(CPEs) |
我對想直接跳到 CISSP 的學生說什麼
偶爾我會遇到一個學生,通常是從另一個領域的高級職位轉職過來的——計畫管理、工程領導、軍事——他們想直接考 CISSP 因為它看起來像是「頂級」認證。我每次都告訴他們同樣的話:CISSP 測試的是跨越八個領域的安全管理知識的廣度,如果沒有任何技術基礎知識的基礎,你會在記憶你從未真正看到應用的概念。這是一個困難得多、持久得多的學習方式,而且如果你無法滿足經驗要求以擁有完整的認證,它也無法幫助你。
先建立技術基礎——Security+ 或同等認證,最好加上一些實踐操作——然後讓 CISSP 成為正式化管理級知識的認證,一旦你真正在該級別運作。我以持有 CISSP 認證的身份這樣說:考試獎勵的是從你在壓力下必須做出的真實決定中建立的判斷力——現場事故、預算權衡、沒人想簽字的政策例外。沒有該經驗的積累可以借鑑,你是在記憶抽象概念而不是識別你已經知道的模式,這是一個慢得多、不可靠得多的準備方式。
合理的順序
- Security+ (或 ISC2 CC) ——基礎詞彙和概念。
- 實踐經驗 ——分析師職位、實踐性認證如 BTL1、實踐項目。
- 專業化方向 ——雲安全、藍隊、GRC,取決於你的職業發展方向。
- CISSP ——一旦你積累了多年經驗並朝著管理或架構責任發展。
如果你不確定 CISSP 是否值得努力,即使你符合資格,我已經分別寫了支持和反對的案例:CISSP 值得嗎。如果你想在所有這些之前了解 Security+ 所在位置的完整情況,請參閱 Security+ 值得嗎。
常見問題
沒有任何工作經驗可以獲得 CISSP 嗎?
你可以通過考試並成為 ISC2 聯絡成員,在積累所需經驗的過程中朝著完整 CISSP 認證努力。沒有相關經驗,你無法擁有完整的 CISSP 認證。
CISSP 比 Security+ 難嗎?
是的,但不僅是因為內容難度——CISSP 測試的是跨安全管理主題的廣度和判斷力,這比 Security+ 更具體、技術性目標更難記憶。
轉職者應該直接考 CISSP 嗎?
只有在你已經有多年來自相鄰領域的相關經驗,ISC2 會承認的情況下才應該——例如,IT 風險、審計或計畫管理職位涉及真實安全內容。否則,先建立基礎。
Security+ 是否計入 CISSP 的經驗要求?
Security+ 本身不算作工作經驗,但 CompTIA 有協議,讓某些 CompTIA 認證滿足 CISSP 經驗豁免的一年——查看 ISC2 的官方頁面以了解當前清單,因為這些協議會改變。
不確定這些中哪一個實際上符合你目前的情況?預訂試課,我們會規劃出現實的下一步,而不是理想的步驟。