安全行业认证背景概要

国内传统的认证系统，是以厂商为中心的，比如CISCO的CCNA/CCNP/CCIE认证，华为的HCNA/HCNP/HCIE认证。然而，安全行业的相关认证和网络行业的认证有所不同。由于安全涉及的内容较多，很多安全标准均是由组织协会联合制定和发布，协会成员很多都是业内比较有影响力的组织和安全厂商，因此得到业内承认的大部分是一些安全组织/协会等推出相关的认证。针对于国内来说，认可度比较广的安全认证是由国家做背书的。下面针对这些认证给大家简单总结一下。

国际安全认证

**名：CISSP （Certified Information Systems Security Professional，认证注册信息系统安全师）

CISSP作为权威的安全认证，入选这个排行实至名归。当然比起其他安全认证，CISSP的要求也是**的。

俗称“双SS”的CISSP认证，已经具有二十多年的历史，加之由于是非厂商跨平台的第三方认证，所以CISSP**称得上是全球安全行业最权威认证，拥有十几万持证人员，在全球范围内得到业内的认可。甚至在移民澳大利亚、加拿大和欧洲一些国家时，拥有此证还可加分。无论是做安全产品、售前工程师，还是企业内部的安全管理人员，CISSP几乎可以说是必持之证。

CISSP的涉及面很广，基本覆盖了安全的各个领域，而且会根据行业新形势的变化相应加入新的内容。如目前更新的教材中，移动安全、云安全、工控安全等技术全都包括其中。通过学习CISSP，可以与业内绝大多数人员的理念保持基本一致，标准化术语，从而极大的降低沟通成本。属于信息安全专业人士或从业者最应该具备的和最为实用的一个安全认证。

认证机构：(ISC)2

(ISC)2总部设在美国，伦敦、香港、东京、孟买、北京均设有办事处。是一家全球非营利组织，专注于网络空间、信息系统、软件和基础设施安全的培训及认证。在全球160个国家，拥有11.1万+证书持有者。

(ISC)2的全称为 International Information System Security Certification Consortium （国际信息系统安全认证协会），含义可引申为，促进(Inspire)+安全(Secure)+认证(Certify)。

第二名：CISA（Certified Information Systems Auditor国际信息系统审计师） ———IT审计人员的必备之证

CISA认证培训是从业人员精通IT审计知识体系和审计过程的必经之路，在业内已经为默认的资格标准。不仅仅是IT审计类项目，许多安全咨询类项目，甲方也会看重实施者是否拥有CISA证书。

通过CISA认证培训，可以了解并掌握信息系统审计师需要具备的基础相关知识，技术要求和工作流程。

调查显示，拥有CISA证书的人员在IT从业者中的比例很高，尤其是在CIO或IT部门的主管和安全咨询顾问群体当中。最近几年，CISA认证培训在国内也逐渐升温，银行、证券、保险等金融机构做人员集体培训的越来越多。电信运营商、大型央企业，有着关系国计民生大型信息系统和电子政务系统的政府部门也开始关心和重视IT审计。

由于国内尚无开展IT审计认证，因此CISA便成为IT审计人员取得资格认证的一个重要途径。

认证机构：ISACA

信息系统审计与控制协会(Information System Audit and Control Association)是从事计算机审计人员组成的国际性专业组织，是**有权授予注册信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在全球设有160多个分会，会员两万多人，为180多个国家，超过14万从业者提供服务。

第三名：CompTIA Security+，简称 Security+（美国计算机行业协会安全认证）

Security＋是由全美计算机协会CompTIA颁发的证书，类似国内信息产业部的NCSE，也正是由于这个原因，所以在美国很多人都选择这项带有官方标准的安全认证，但是Security＋的知识涵盖面很广，不是普通的入门考试，需要有一定的网络知识，CCNA或者MCSE的基础准备。

Security+是针对信息安全基础级从业者的认证，偏重技术实操。无论是刚毕业的学生，还是已经走上工作岗位的运维人员或开发人员，Security+都是一块进入信息安全行业的有效敲门砖。

目前，国内的信息安全相关的权威认证基本上都是针对具备数年工作经验从业者，偏理论、偏框架、偏指导性，缺乏一个基础级的，偏操作的、实用性的，且含金量较高的安全认证，Security+的出现填补了这一方面的空缺。无论是毕业生，还是没有经过正统安全教育的小白帽，甚至是信息安全管理岗位的资深人士和非安全岗位的运维及开发人员，Security+都不失为一门**的安全技术实操类培训。

迄今为止，Security+在全球147个国家受到广泛认可，国内包括北上广深等50多个大中型城市均设有**。

认证机构：CompTIA

国内安全认证

**：CISP（Certified Information Security Professional 注册信息安全专业人员）---信息安全国内**认证

说到CISP，安全从业者基本上都有所耳闻，算是国内权威认证，毕竟有政府背景给认证做背书，如果想在政府、国企及重点行业从业，企业获取信息安全服务资质，参与网络安全项目，这个认证都是非常重要的。

CISP是国内认证机构开办的知名度**、****的信息安全从业人员的资质认证，目前总获证人数已过万，属国内**大认证。考试时间灵活，内容上也较贴近国内安全状况，中文考试，因此***相对较高。而且，想申请信息安全服务资质认证的厂商，根据申请的资质级别必须配备若干名具备CISP证书的人员。而且，相比没有CISP人员的企业，拥有CISP人员的企业具备一定的竞争优势。

CISP的学习内容涉及面较全，包括了安全技术、管理、保障，法律法规等，培训完成后会对信息安全有一个整体性的框架性的认识，拓宽学员对信息安全各个领域的理解。

认证机构：中国信息安全测评中心

中国信息安全测评中心，是依据中央授权专门从事信息技术安全测试和风险评估的权威职能机构，主要职能其中就包括开展信息安全服务和专业人员的能力评估与资质审核，持证人数已过万，是国内**大信息安全认证机构。

第二：CISP-PTE （Certified Information Security Professional - Penetration Test Engineer国家注册渗透测试工程师）

这个认证是2017年360企业集团联合中国信息安全测评中心推出的国内**渗透测试认证，证书首先也是国测认证，所以具备申请安全服务资质的作用；同时由于360参与运营，持证人员可以享受360企业安全服务部门免面试的福利。

注册信息安全专业人员-渗透测试，英文为 Certified Information Security Professional - Penetration Test Engineer，简称 CISP-PTE。证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。属于资格认证类考试。

认证机构：中国信息安全测评中心

CISP-PTE与CISSP, CISP的区别

简单理解，信息安全包括攻击与防护两大方面，CISP与CISSP属于防护，要求工作技能面面俱到，已经工作许多年，想要健全知识体系的可以考虑；PTE属于攻击，只要求你在渗透方向上比较强，可以单点突破即可，想要获得认可的学生、职场人，或者想转行安服工作的IT人可以考虑。

CISP与CISSP大致属于理论考试，都是客观题，考核知识面，包括安全管理，安全技术，安全审计等；PTE考试主要从事信息安全技术领域安全渗透测试工作，是业界**理论与实践相结合的技能水平注册考试。PTE 考试题型为客观题、实操题，培训与考试80%为手动实践操作。

总体来讲，大家要根据自身需求来选择认证，你的工作企业类型、工作内容偏向决定着你的认证方向。东方瑞通，作为专业**的IT培训提供商，在安全领域，提供从入门至**等级的安全认证培训课程，CISSP/CISP/CISA，思科CCNP，华为数通/存储/安全/视讯/数据中心/统一通信/物联网/售前等各种认证课程。来东方瑞通，为你的IT职业生涯添砖加瓦！