{"id":1102,"date":"2014-02-22T12:55:50","date_gmt":"2014-02-22T10:55:50","guid":{"rendered":"http:\/\/blog.patricksauer.net\/?p=1102"},"modified":"2014-03-05T09:07:57","modified_gmt":"2014-03-05T07:07:57","slug":"der-vergleich-cissp-vs-cism","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/unkategorisiert\/der-vergleich-cissp-vs-cism\/","title":{"rendered":"Der Vergleich: CISSP vs. CISM"},"content":{"rendered":"<p>Der CISSP (Certified Information Systems Security Professional) vom Isc\u00b2 und der CISM (Certified Information Security Manager) von der ISACA geh\u00f6ren zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen f\u00fcr Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben f\u00fcr Personenzertifizierungen (ISO\/IEC Standard 17024).<\/p>\n<p>CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in f\u00fcr die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren daf\u00fcr ist etwas unterschiedlich. Beim CISM pr\u00fcft die ISACA die einzureichenden Unterlagen, w\u00e4hrend das Isc\u00b2 f\u00fcr den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Pr\u00fcflings bescheinigen und daf\u00fcr b\u00fcrgen. Zus\u00e4tzlich kann es einem passieren, dass man zuf\u00e4llig f\u00fcr einen genaueren Review ausgew\u00e4hlt wird.<\/p>\n<p>Die Pr\u00fcfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Pr\u00fcfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen &amp; Erfahrung und eine gute Konzentrationsf\u00e4higkeit, sind beide Pr\u00fcfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchf\u00fchren und ist nicht so abh\u00e4ngig von ein paar wenigen Pr\u00fcfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Pr\u00fcfungstermine mit Qualit\u00e4tssicherung begr\u00fcndet. Man kann dar\u00fcber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.<\/p>\n<p>Der gr\u00f6\u00dfte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:<\/p>\n<ul>\n<li>Information Security Governance<\/li>\n<li>Information Risk Management und Compliance<\/li>\n<li>Information Security Program Development und Management<\/li>\n<li>Information Security Incident Management<\/li>\n<\/ul>\n<p>Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. F\u00fcr IT-Sicherheitsexperten ist es das falsche Zertifikat. F\u00fcr reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT &amp; IT-Sicherheit haben, ist es das richtige.<\/p>\n<p>Der CISSP ist wesentlich breiter gefasst:<\/p>\n<ul>\n<li>Access Control<\/li>\n<li>Telecommunications und Network Security<\/li>\n<li>Information Security Governance und Risk Management<\/li>\n<li>Software Development Security<\/li>\n<li>Cryptography<\/li>\n<li>Security Architecture und Design<\/li>\n<li>Operations Security<\/li>\n<li>Business Continuity und Disaster Recovery Planning<\/li>\n<li>Legal, Regulations, Investigations und Compliance<\/li>\n<li>Physical (Environmental) Security<\/li>\n<\/ul>\n<p>Der CISSP beinhaltet auch Inhalte zum Management f\u00fcr Informationssicherheit. Der Fokus liegt aber wesentlich st\u00e4rker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Pr\u00fcfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Pr\u00fcfung f\u00fcr Penetration Tester noch geht es hier um die Administration von Firewalls und \u00e4hnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung f\u00fcr IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem gro\u00dfen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden m\u00fcssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorf\u00e4llen umgeht, welche Vorkehrungen man daf\u00fcr treffen muss, welche Verschl\u00fcsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.<\/p>\n<p>Durch seine wesentlich gr\u00f6\u00dfere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas \u00fcberspitzt ausgedr\u00fcckt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher f\u00fcr Personen geeignet, die aus dem Umfeld der Security Governance kommen.<\/p>\n<p>Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine pers\u00f6nliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Pr\u00fcfungen kritisieren. Er ist in seiner Qualit\u00e4t und Internationalit\u00e4t dennoch bisher meiner Meinung nach die beste Zertifizierung f\u00fcr diesen Bereich.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der CISSP (Certified Information Systems Security Professional) vom Isc\u00b2 und der CISM (Certified Information Security Manager) von der ISACA geh\u00f6ren zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen f\u00fcr Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben f\u00fcr Personenzertifizierungen (ISO\/IEC Standard 17024). CISSP und CISM setzten &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/unkategorisiert\/der-vergleich-cissp-vs-cism\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[1],"tags":[26,25,10],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-1102","6":"format-standard","7":"category-unkategorisiert","8":"post_tag-cism","9":"post_tag-cissp","10":"post_tag-tisp"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=1102"}],"version-history":[{"count":10,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1102\/revisions"}],"predecessor-version":[{"id":1148,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1102\/revisions\/1148"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=1102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=1102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=1102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}