CISSP gegen CISM
CISSP und CISM sind zwei der gefragtesten Zertifizierungsprogramme für Informationssicherheit. Sowohl CISSP als auch CISM beabsichtigen, Fachleuten und Managern der Informationssicherheit auf der ganzen Welt ein gemeinsames Wissen zur Verfügung zu stellen. Sowohl CISSP als auch CISM sind anerkannte Zertifizierungen für das Information Assurance Workforce Improvement Program.
Was ist CISSP?
CISSP (Certified Information Systems Security Professional) ist eine Zertifizierung für Informationssicherheit, die von einem unabhängigen und gemeinnützigen (ISC) 2 (International Information Systems Security Certification Consortium) durchgeführt wird. (ISC) 2 wurde 1988 von mehreren Organisationen gegründet, die von der SIG-CS (Interessengruppe für Computersicherheit) der DPMA (Data Processing Management Association) zusammengebracht wurden, um ein standardisiertes Zertifizierungsprogramm für Informationssicherheit zu erstellen. Bis Juli 2010 haben mehr als 60.000 Mitglieder aus 134 Ländern die CISSP-Zertifizierung erhalten. Diese Zertifizierung wurde vom DoD (Verteidigungsministerium) im Rahmen ihrer Programme IAT (Information Assurance Technical) und IAM (Information Assurance Managerial) genehmigt. CISSP ist eine obligatorische Anforderung für das ISSEP-Programm der USANSA (Nationale Sicherheitsagentur).
In CISSP werden verschiedene Themen der Informationssicherheit behandelt. CISSP basiert auf dem, was sie als Common Body of Knowledge (CBK) bezeichnen. CBK ist ein allgemeines Informationssicherheits-Framework, das von Informationssicherheitsberufen auf der ganzen Welt verwendet werden kann. In CISSP werden zehn CBK-Domänen untersucht, z. B. Zugriffskontrolle und Anwendungsentwicklungssicherheit, die auf der CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit) basieren.
Was ist CISM?
CISM (Certified Information Security Manager) ist eine Zertifizierung für Manager im Bereich Informationssicherheit. Die ISACA (Information Systems Audit and Control Association) vergibt diese Zertifizierung. Eine Person mit mindestens 5 Jahren Erfahrung in der Informationssicherheit (mit mindestens 3 Jahren Managementerfahrung) muss diese Prüfung bestehen, um diese Zertifizierung zu erhalten. Die CISM-Zertifizierung soll Informationssicherheitsmanagern auf der ganzen Welt ein gemeinsames Wissen vermitteln. Daher ist das Informationsrisikomanagement die Grundlage für diese Zertifizierung. Darüber hinaus werden allgemeine Themen wie Informationssicherheit, Entwicklung und Verwaltung von Informationssicherheitsprogrammen und Incident Management behandelt. Hauptgesichtspunkt der Zertifizierung ist das Informationssicherheitsmanagement, das auf den Anforderungen der Unternehmen basiert (basierend auf Best Practices der Branche).
In der Regel streben CISSP- und CISA-Gemeinschaften eine CISM-Zertifizierung an. Ein Grund dafür ist, dass der CISM-Inhalt mit dem des ISSMP-Programms (Information Systems Security Management Professional) von (ISC) 2 zusammenhängt. CISM wurde 2005 als Zertifikat für das Information Assurance Workforce Improvement Program zugelassen. Fünf von CISM untersuchte Bereiche der Informationssicherheit sind Information Security Governance, Informationsrisikomanagement, Entwicklung von Informationssicherheitsprogrammen, Management von Informationssicherheitsprogrammen und Incident Management.
Was ist der Unterschied zwischen CISSP und CISM?
Obwohl sowohl CISSP- als auch CISM-Zertifizierungen Themen zur Informationssicherheit untersuchen, weisen sie wesentliche Unterschiede auf. Im Gegensatz zu CISSP konzentriert sich CISM auf die Themen Informationssicherheitsmanagement. Obwohl sowohl CISSP als auch CISM erfordern, dass Einzelpersonen mindestens 5 Jahre Erfahrung in der Informationssicherheit haben, erfordert CISM zusätzlich, dass die Person mindestens 3 Jahre Erfahrung im Bereich Informationssicherheitsmanagement hat.