首先，國(guó)內(nèi)信息安全還遠(yuǎn)沒(méi)有到達(dá)過(guò)熱的地步。相對(duì)美國(guó)近20的信息安全建設(shè)，已經(jīng)形成法律、組織、產(chǎn)品、教育等信息安全相關(guān)的全面的體系。國(guó)內(nèi)媒體的宣傳雖然有時(shí)偏頗，但對(duì)促進(jìn)全社會(huì)對(duì)信息安全問(wèn)題的關(guān)注還是有不可替代的推進(jìn)作用。關(guān)于企業(yè)如何正確的進(jìn)行信息安全管理和建設(shè)，是需要專(zhuān)業(yè)人士形成共識(shí)，然后在實(shí)際工作中逐漸推進(jìn)的，CISSP是其中很重要的中堅(jiān)力量，至于某類(lèi)技術(shù)是否還有生命力也只是一個(gè)細(xì)節(jié)問(wèn)題，而安氏的裁員也只是某個(gè)公司的行為，其內(nèi)在原因也與信息安全的總體發(fā)展無(wú)關(guān)。
關(guān)于CISSP資質(zhì)也絕對(duì)不會(huì)像某些證書(shū)一樣泛濫。作為安全專(zhuān)業(yè)人士的資格證明，ISC2有多層關(guān)口控制CISSP的素質(zhì)和考試的保密性。到現(xiàn)在為止，國(guó)內(nèi)的CISSP們很好的體現(xiàn)了職業(yè)素質(zhì)和專(zhuān)業(yè)精神，在新近的考試中也出現(xiàn)了為證書(shū)、高薪而取巧的考生，根據(jù)我的觀察，恐怕他們連考試這一道門(mén)也通不過(guò)。而考試后的endorsment是又一次對(duì)資格的檢查，而抽查的過(guò)程也是極其嚴(yán)格的。作為考題的保密性，相信參加過(guò)考試的都對(duì)那些要簽署的保密文件的內(nèi)容還是記憶猶新吧，相信一個(gè)安全工作者，誰(shuí)也不樂(lè)意拿自己的聲譽(yù)去開(kāi)玩笑。至于某些模擬軟件是否就是真題，availabal剛通過(guò)考試，也作過(guò)測(cè)試題，恐怕他的反應(yīng)也說(shuō)明了問(wèn)題吧：）
關(guān)于CISA和CISSP的差異，絕對(duì)不是以參加考試的成本和機(jī)會(huì)來(lái)劃分的。廠商的認(rèn)證教育一般隸屬與市場(chǎng)部門(mén)管理，證書(shū)的泛濫，對(duì)廠商而言，猶如微軟視盜版的心態(tài)。CISA和CISSP都是由第三方專(zhuān)業(yè)機(jī)構(gòu)組織的專(zhuān)業(yè)人員資質(zhì)認(rèn)證，這和廠商的認(rèn)證有很大的不同。以公司的組織結(jié)構(gòu)為例，CISSP針對(duì)是安全管理部門(mén)人員，CISA針對(duì)審計(jì)或品質(zhì)管理部門(mén)，兩者有角度的差異而無(wú)高下優(yōu)劣之分。鑒于國(guó)內(nèi)安全發(fā)展的現(xiàn)狀，恐怕更重要的是集團(tuán)企業(yè)首先建立安全部本，形成相應(yīng)的制度和流程，其次才是審計(jì)部門(mén)根據(jù)相應(yīng)的制度進(jìn)行審計(jì)。
關(guān)于考證的挑戰(zhàn)和價(jià)值的問(wèn)題，已經(jīng)獲得資質(zhì)的人員可以說(shuō)形成一個(gè)共識(shí)：CISSP和CISA這樣專(zhuān)業(yè)資質(zhì)的考試最大的挑戰(zhàn)在于你要在繁忙的工作中抽出時(shí)間閱讀大量的資料，補(bǔ)充你整體思想或工作經(jīng)驗(yàn)上的不足，系統(tǒng)化你的知識(shí)體系。價(jià)值在于通過(guò)考核后的自信和將知識(shí)運(yùn)用到工作中的成就感。
再次奉勸立志與信心安全的朋友，不要糾纏于所謂證書(shū)含金量的問(wèn)題，信息安全是一個(gè)涵蓋范圍廣闊的大系統(tǒng)，涉及到密碼學(xué)、網(wǎng)絡(luò)協(xié)議、安全模型等很多的理論基礎(chǔ)知識(shí)和風(fēng)險(xiǎn)評(píng)估、日常運(yùn)營(yíng)、審計(jì)等管理經(jīng)驗(yàn)，成為一名合格的信息安全工作者，不僅需要興趣和愛(ài)好，更需要扎實(shí)的功底，需要刻苦的努力。