Choosing the Right Security Certifications: CISSP vs CISM, CISA ja CRISC

kirjoittaja

Jos olet kiinnostunut tekemään uraa kyberturvallisuuden alalla, olet tehnyt loistavan valinnan! Ammattitaitoisilla tietoturva-alan ammattilaisilla on suuri kysyntä, ja se todennäköisesti pysyy sellaisena myös tulevaisuudessa, joten ala tarjoaa vankat taloudelliset edut. Global Knowledge -yrityksen vuoden 2018 IT Skills and Salary Report -raportin mukaan 41 prosenttia yhdysvaltalaisista työnantajista ilmoittaa, että pätevien kyberturvallisuuden ammattilaisten löytäminen on yksi heidän suurimmista haasteistaan, ja sertifioidut henkilöt ansaitsevat keskimäärin 22 prosenttia enemmän kuin sertifioimattomat kollegansa.

Kyberturvallisuuden sertifioinnissa on kaksi selkeää, maailmanlaajuisesti tunnustettua johtajaa: ISACA ja (ISC)2. (ISC)2:n huippusertifikaatti on Certified Information Systems Security Professional (CISSP), kun taas ISACA tarjoaa kolme tietoturvaan liittyvää sertifikaattia:

Kaikki nämä sertifioinnit on suunnattu ammattilaisille, joilla on vähintään viiden vuoden työkokemus, kaikki vaativat jatkuvaa koulutusta pätevyyden säilyttämiseksi, ja kaikki vaativat samanlaista arvostusta ja palkkaa. Millä niistä on sinulle eniten arvoa? Autamme sinua päättämisessä tarkastelemalla kutakin niistä tarkemmin.

(ISC)2: Sertifioitu tietojärjestelmien tietoturva-ammattilainen (CISSP)

Lyhyet faktat

Vuonna 1989 perustettu (ISC)2 on yksi maailman suurimmista tietoturva- ja kyberturvallisuuden jäsenjärjestöistä. Se tarjoaa jäsenilleen ja alalle tietoturvastandardeja, koulutusta ja sertifikaatteja. Vuonna 1994 lanseerattu CISSP oli ensimmäinen (ISC)2:n tarjoama pätevyystodistus, ja nykyään se on (ISC)2:n sertifiointiohjelman huipputodistus. Maailmassa on yli 140 000 CISSP-sertifioitua tietoturva-alan ammattilaista. Työnantajat ovat jatkuvasti kiinnostuneita tästä pätevyystodistuksesta; SimplyHiredin epävirallinen työnhaku löysi lähes 9700 työpaikkailmoitusta, joissa vaadittiin CISSP-tutkintoa, kun taas CISA-tutkintoa vaadittiin 4511 ja CISM-tutkintoa 3004.

CISSP-tutkintotodistus on suunnattu tietoturva-asiantuntijoille monenlaisissa rooleissa, mukaan lukien esimiehet, ammattilaiset ja johtajat. CISSP:llä on tarvittavat taidot organisaationsa kyberturvallisuusohjelmien suunnitteluun, suunnitteluun, toteutukseen, valvontaan ja ylläpitoon. Tyypillisiä rooleja ovat esimerkiksi tietohallintojohtaja, CISO, tietoturvajohtaja, tietoturva-arkkitehti, verkkoarkkitehti, tietohallintojohtaja, tietohallintopäällikkö, tietoturva-analyytikko, auditoija, konsultti ja järjestelmäinsinööri.

CISSP-perustutkinnon lisäksi CISSP-tutkintoa on saatavana kolmena lisäkeskittymänä:

  • Informaatiojärjestelmien tietoturva-arkkitehtuurin ammattilainen (CISSP-ISSAP)
  • Informaatiojärjestelmien tietoturvan suunnittelun ammattilainen (CISSP-ISSEP)
  • Informaatiojärjestelmien tietoturvan hallinnan ammattilainen (CISSP-ISSMP)

Tutkintotodistuksen hankkiminen

CISSP-tutkintotodistuksen hankkiminen ei ole helppoa. Pätevien hakijoiden on:

  • Hänellä on oltava vähintään viiden vuoden palkallinen työkokemus vähintään kahdesta kahdeksasta CISSP Common Body of Knowledge (CBK) -alueesta (lueteltu alla)
  • Suorittaa CISSP-tutkinto. (699 dollaria)
  • Hyväksyä (ISC)2:n eettiset säännöt
  • Ollut (ISC)2:n ammattilaisen hyväksymä yhdeksän kuukauden kuluessa kokeen suorittamisesta

Tämänhetkiset CISSP:n CBK-alueet ovat:

  • Turvallisuus ja riskienhallinta
  • Varallisuusturva
  • Turvallisuusarkkitehtuuri ja -tekniikka
  • Viestintä- ja verkkoturva
  • Identiteetti. and Access Management (IAM)
  • Security Assessment and Testing
  • Security Operations
  • Software Development Security

Haluatko suorittaa CISSP-tutkinnon? Netwrixin blogissa on sinulle jotain erityistä. Tässä seitsemän loistavaa vinkkiä CISSP-sertifioidulta ammattilaiselta siihen, miten läpäiset CISSP-tutkinnon ensimmäisellä yrityksellä. Tutustu myös näihin käteviin CISSP-sertifioinnin oppaisiin ja koulutusmateriaaleihin. Ja lopuksi arvioi valmiutesi CISSP-harjoituskokeemme avulla.

Maintaining the Credential

CISSP on voimassa kolme vuotta. Siitä peritään 85 dollarin vuosimaksu. CISSP-tutkinnon uusimiseksi CISSP-tutkinnon suorittaneen on joko suoritettava voimassa oleva tentti tai hankittava 120 CPE-opintopistettä (vähintään 40 opintopistettä joka vuosi). Lue lisää huhtikuussa 2018 voimaan tulevista CISSP-tutkinnon muutoksista.

Hyötyjä

Vuonna 2017 tehdyssä (ISC)2 Global Information Security Workforce Study -tutkimuksessa vastaajat, joilla oli CISSP-sertifiointi, ilmoittivat keskimääräiseksi vuosipalkaksi 120 000 dollaria. SimplyHiredin mukaan keskiansiot ovat 66 078 dollaria, ja palkat ovat korkeimmillaan 127 071 dollaria. Vuoden 2018 Global Knowledge -raportin mukaan Yhdysvaltain keskipalkka on 109 965 dollaria, joten CISSP on ykkönen kyberturvallisuuden tutkintotodistusten joukossa.

ISACA-sertifioinnit

Pikatietoja

Vuonna 1969 perustettu Information Systems Audit and Control Association (ISACA) on maailmanlaajuisesti tunnustettu ja arvostettu organisaatio, jolla on yli 140 000 jäsentä 180 maassa. ISACA tarjoaa neljä eri IT-ammattilaisille suunnattua tutkintotodistusta:

  • Certified Information Systems Auditor (CISA) – Tilintarkastajat
  • Certified Information Security Manager (CISM) – Tietoturvapäälliköt
  • Certified in Risk and Information Systems Control (CRISC) – Riskienhallinnan ammattilaiset
  • Certified in the Governance of Enterprise IT (CGEIT) – Hallinnan ammattilaiset

Keskitymme seuraavassa kolmeen ensimmäiseen näistä todistuksista; yrityksen hallinto ei kuulu aihealueeseemme.

Todistuksen hankkiminen

Kaikkien hakijoiden on

  • Täytettävä alla mainitut tiukat kokemusvaatimukset
  • Suoritettava siihen liittyvä tentti (575 dollaria ISACA:n jäsenille; 760 dollaria muille kuin jäsenille); Tenttejä järjestetään vain kolme kertaa vuodessa, joten hakijoiden on syytä ilmoittautua hyvissä ajoin etukäteen
  • Hyväksyä ammattietiikan säännöstö ja ammatillinen täydennyskoulutusohjelma
  • Lisävaatimusten täyttäminen, kuten jäljempänä on yksityiskohtaisesti kuvattu

Tutkintotodistuksen säilyttäminen

ISACA-tutkintotodistukset ovat voimassa kolme vuotta. Lisäksi vaaditaan vuotuinen ylläpitomaksu (45 dollaria ISACA:n jäseniltä, 85 dollaria muilta kuin jäseniltä). Voidakseen uusia valtakirjan haltijan on kerättävä 120 CPE-opintopistettä, joista vähintään 20 CPE-opintopistettä on kerättävä vuosittain.

  • CISM

Hyvä tapa ymmärtää CISM:ää on verrata sitä CISSP:hen. Vaikka molemmat sertifikaatit kattavat kyberturvallisuuden ja johtamisen käsitteitä, CISSP keskittyy tietoturvan operatiiviseen puoleen ja sen teknisiin näkökohtiin, kun taas CISM on suunniteltu tietoturvan strategisen puolen ja sen suhteiden ympärille liiketoiminnallisiin tavoitteisiin.

Kohtaisesti CISM on suunniteltu tietoturvapäälliköille, ja se on suunnattu henkilöille, jotka arvioivat, suunnittelevat, hallinnoivat ja valvovat tietoturvaympäristöjä yritystasolla. Kandidaateilla tulisi myös olla perusteellinen ymmärrys saatavilla olevista teknologioista ja siitä, miten ne voidaan ottaa käyttöön heidän organisaatiossaan. CISM-sertifioinnilla validoidaan hakijan taidot ja tiedot neljällä osa-alueella:

  • Alue 1: Tietoturvan hallinto
  • Alue 2: Tietoriskien hallinta
  • Alue 3: Tietoturvaohjelmien kehittäminen ja hallinta
  • Alue 4: Tietoturvaohjelmien kehittäminen ja hallinta
  • : ISACA:n mukaan maailmanlaajuisesti on yli 32 000 CISM-todistuksen haltijaa, joista yli 7500 työskentelee tietoturvajohtajina tai -päälliköinä ja toiset 3500 IT-johtajina tai -päälliköinä. Muita yleisiä CISM-toimenkuvia ovat IS/IT-konsultit, tietohallintojohtajat, riskienhallinnan ammattilaiset ja yrityksen johtotehtävät.

    Kandidaatilla on CISM-tutkintoa varten oltava vähintään viiden vuoden kokemus tietoturvan parissa työskentelystä, joista kolmen on oltava vähintään kolmelta luetellulta osa-alueelta. Koko kokemuksen on oltava hankittu edeltävän 10 vuoden aikana. Tenttipisteet mitätöidään, jos kokemusvaatimusta ei täytetä viiden vuoden kuluessa tutkinnon suorittamisesta. Kokemusvaatimuksen täyttämiseksi sallitaan joitain korvaavia toimia, jotka riippuvat muista sertifikaateista ja koulutuksesta.

    Global Knowledge raportoi, että CISM-sertifioidut ammattilaiset ansaitsevat Yhdysvalloissa keskimäärin 105 926 dollaria vuodessa, mikä nostaa CISM-tutkinnon maailmanlaajuisesti kuudennelle sijalle sertifioinnin ansaintamahdollisuuksissa.

    • CISA

    CISA-tutkintotodistus on suunnattu tietotekniikka-alan ammattilaisille, jotka työskentelevät hallintoon ja tilintarkastukseen liittyvissä tehtävissä. Tyypillisesti CISA-ammattilaiset toimivat esimerkiksi IS- tai IT-tarkastajan tai tarkastuspäällikön, muun kuin IT-tarkastajan ja konsultin tehtävissä. Monet CISA-ammattilaiset toimivat myös hallinto-, varmennus-, turvallisuus-, tarkastusvalvonta- ja yritysjohtotehtävissä.

    CISA-sertifiointi vahvistaa hakijan tiedot ja kyvyt arvioida, valvoa, tarkastaa ja valvoa jatkuvasti yrityksen IT-liiketoimintajärjestelmiä. Vaadittavat taidot ilmenevät viidestä CISA:n työkäytäntöjen osa-alueesta:

    • Alue 1: Tietojärjestelmien tarkastusprosessi
    • Alue 2: Tietotekniikan hallinto ja johtaminen
    • Alue 3: Tietojärjestelmien hankinta, kehittäminen ja käyttöönotto
    • Alue 4: Tietojärjestelmien hallinta ja johtaminen: Information Systems Operations, Maintenance and Service Management
    • Domain 5: Protection and Information Assets

    Kandidaatilla on oltava vähintään viiden vuoden työkokemus tietojärjestelmien auditoinnista, valvonnasta tai turvaamisesta (koulutus voidaan korvata joillakin osa-alueilla) ja hänen on suoritettava CISA-tutkinto. CISA-tutkinnon opiskeluprosessiin voi kuulua osallistuminen CISA-tutkinnon kertauskursseille, ilmoittautuminen verkkokurssille tai ohjelmistojen, kertauskäsikirjojen ja opinto-oppaiden käyttö. Tentin läpäisemisen jälkeen kokelaiden on myös noudatettava tietojärjestelmien tarkastusstandardeja.

    Global Knowledge -raportin mukaan CISA-tutkinnon palkat ovat sijalla 13. Keskimääräinen palkka Yhdysvalloissa on 97 117 dollaria.

    • CRISC

    Crisc-tutkintotodistus (CRISC credential credential) on suunnattu nimenomaan niille ammattilaisille, jotka työskentelevät tietoteknisten riskienhallinnan parissa yritystasolla. Tyypillisiä CRISC-kandidaatteja ovat tietohallintojohtajat/CISO:t, liiketoiminta-analyytikot, projektipäälliköt sekä IT-ammattilaiset, jotka työskentelevät riskienhallinnan, valvonta- ja varmennustoimien sekä vaatimustenmukaisuuden parissa.

    CRISC:n tehtäväalueet ovat:

    • Työalue 1: Tietoteknisten riskien tunnistaminen
    • Työalue 2: Tietoteknisten riskien arviointi
    • Työalue 3: Riskeihin reagoiminen ja riskien vähentäminen
    • Työalue 4: Riskien ja valvonnan seuranta ja raportointi

    CRISC:n vaatimuksiin kuuluu vähintään kolmen vuoden työkokemus tietoturvaohjelmien hallinnasta kahdelta tai useammalta CRISC:n tehtäväalueelta, mukaan lukien joko alue 1 tai 2. Tämä työkokemus on hankittava hakemusta edeltävien 10 vuoden aikana tai viiden vuoden kuluessa tutkinnon suorittamisesta.

    Global Knowledge -raportissa CRISC-sertifiointi oli CISSP:n jälkeen toiseksi suurin ilmoitettujen ansioiden osalta, sillä Yhdysvaltojen keskiansio oli 107 968 dollaria.

    CISSP, CISM, CISA ja CRISC yhdellä silmäyksellä

    1

    $/jäsen
    760

    jäsen

    CISSP CISM CISA CRISC
    Fokus IT-turvallisuus ja kyberturvallisuus Tietoturvallisuus Auditointi Riskienhallinta
    Tyypilliset roolit CIO
    CISO
    Turvallisuus Johtaja
    Turvallisuusarkkitehti
    Verkkoarkkitehti
    Turvallisuuspäällikkö
    Auditoija
    Analyytikko
    Systeemi-insinööri
    Konsultti
    IT-johtaja     		Infoturvajohtaja
    CIO
    Yritysjohto
    Riskipäällikkö     		IT-auditoija
    Konsultti
    Turva-alan ammattilainen
    Auditointipäällikkö
    Muut kuin-IT Auditor     		CIO
    CISO
    Turvallisuusjohtaja
    Turvallisuuspäällikkö
    Systeemi-insinööri
    Turvallisuusanalyytikko
    Turvallisuuspäällikkö
    Turvatarkastaja
    Verkkoarkkitehti
    Yritysjohto
    Valvonta Professional
    Risk Professional
    Business Analyst
    Compliance Pro
    Control and Assurance Pro
    Domains Security and Risk Management
    Asset Security
    Security Arkkitehtuuri ja suunnittelu
    Viestintä- ja verkkoturvallisuus
    Identiteetti- ja pääsynhallinta (IAM)
    Turvallisuuden arviointi ja testaus
    Turvallisuusoperaatiot
    Ohjelmistokehityksen turvallisuus    		 InfoSec Hallinto
    Riskienhallinta
    Turvallisuusohjelmien kehittäminen ja hallinta
    Turvallisuustapahtumien hallinta    		 Tietojärjestelmien auditointiprosessi
    IT-hallinto ja -johtaminen
    InfoSec Acquisition, Development and Implementation
    InfoSec Operations, Maintenance and Service Management
    InfoSec Operations, Maintenance, and Service Management
    Protection of Information Assets    		 IT Risk Identification
    Riskien arviointi
    Riskien reagointi ja lieventäminen
    Riskien ja valvonnan seuranta ja raportointi
    Kokemus 5 vuotta 5 vuotta 5 vuotta 3 vuotta
    Tutkintojen määrä 1 1 1 1
    Tenttimaksu 699 575
    760    		 575 575
    $575/jäsen
    $760/ei-jäsen    		 $575/jäsen
    $760/ei-jäsen
    Vuosimaksu $85 $45 jäsenet;
    85$ ei-jäsenet    		 45$ jäsenet;
    85$ ei-jäsenet     		45$ jäsenet;
    $85 ei-jäsenet
    Kelpaa 3 vuotta 3 vuotta 3 vuotta 3 vuotta
    CPE:t uudelleensertifiointia varten yhteensä120; vähintään 40 vuodessa 120 yhteensä; vähintään 20 vuodessa 120 yhteensä; vähintään 20 vuodessa 120 yhteensä; vähintään 20 vuodessa
    Keskimääräinen palkka * 109 965 dollaria 105 926 dollaria 97 117 dollaria 107 968 dollaria

    *Keskimääräinen palkkatieto on saatu Global Knowledge’n IT Skills and Salary Report 2018 -raportista.

    The Bottom Line

    Kun valitset CISA:n kaltaisen ISACA-pätevyystodistuksen ja CISSP-sertifioinnin välillä, pidä mielessäsi seuraavat asiat:

    • CISSP on hyvä valinta monien eri tieteenalojen ja roolien IT-ammattilaisille, jotka ovat kiinnostuneita urasta IT-tietoturvan tai kyberturvallisuuden alalla. Se tarjoaa vuoden 2018 Global Knowledge -raportin sertifikaateista korkeimman keskipalkan.
    • CISM ei ole kaukana CISSP:stä keskipalkan osalta. CISSP keskittyy turvallisuuden operatiiviseen puoleen, kun taas CISM keskittyy turvallisuuden strategiseen puoleen ja sen suhteeseen liiketoiminnallisiin tavoitteisiin.
    • CRISC-sertifiointi on CISSP:n jälkeen toiseksi tärkein sertifikaatti raportoitujen tulojen määrässä. Se vahvistaa kykysi työskennellä IT-riskienhallinnan parissa yritystasolla.
    • Jos uratavoitteesi keskittyvät pelkästään tilintarkastukseen liittyviin tehtäviin, CISA voi olla sinulle sopiva pätevyystodistus.
    Mary on freelance-kirjoittaja, sisällönkehittäjä ja projektinjohtaja. Hän kirjoittaa IT-sertifiointeihin ja terveyteen liittyviä artikkeleita ja kehittää sisältöä kursseja varten.

Jätä kommentti