Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024).
CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in für die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren dafür ist etwas unterschiedlich. Beim CISM prüft die ISACA die einzureichenden Unterlagen, während das Isc² für den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Prüflings bescheinigen und dafür bürgen. Zusätzlich kann es einem passieren, dass man zufällig für einen genaueren Review ausgewählt wird.
Die Prüfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Prüfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen & Erfahrung und eine gute Konzentrationsfähigkeit, sind beide Prüfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchführen und ist nicht so abhängig von ein paar wenigen Prüfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Prüfungstermine mit Qualitätssicherung begründet. Man kann darüber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.
Der größte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:
- Information Security Governance
- Information Risk Management und Compliance
- Information Security Program Development und Management
- Information Security Incident Management
Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. Für IT-Sicherheitsexperten ist es das falsche Zertifikat. Für reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT & IT-Sicherheit haben, ist es das richtige.
Der CISSP ist wesentlich breiter gefasst:
- Access Control
- Telecommunications und Network Security
- Information Security Governance und Risk Management
- Software Development Security
- Cryptography
- Security Architecture und Design
- Operations Security
- Business Continuity und Disaster Recovery Planning
- Legal, Regulations, Investigations und Compliance
- Physical (Environmental) Security
Der CISSP beinhaltet auch Inhalte zum Management für Informationssicherheit. Der Fokus liegt aber wesentlich stärker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Prüfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Prüfung für Penetration Tester noch geht es hier um die Administration von Firewalls und ähnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung für IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem großen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden müssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorfällen umgeht, welche Vorkehrungen man dafür treffen muss, welche Verschlüsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.
Durch seine wesentlich größere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas überspitzt ausgedrückt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher für Personen geeignet, die aus dem Umfeld der Security Governance kommen.
Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine persönliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Prüfungen kritisieren. Er ist in seiner Qualität und Internationalität dennoch bisher meiner Meinung nach die beste Zertifizierung für diesen Bereich.
