Der CISSP (Certified Information Systems Security Professional) vom Isc² und der CISM (Certified Information Security Manager) von der ISACA gehören zu den weltweit verbreitetsten und anerkanntesten Personenzertifizierungen für Security Professionals. Im Gegensatz zum deutschen T.I.S.P. (TeleTrusT Information Security Professional), entsprechen CISSP und CISM den internationalen Vorgaben für Personenzertifizierungen (ISO/IEC Standard 17024).
CISSP und CISM setzten beide 5 Jahre nachweisbare Berufserfahrung in für die Zertifizierung relevanten Bereichen voraus. Das Nachweisverfahren dafür ist etwas unterschiedlich. Beim CISM prüft die ISACA die einzureichenden Unterlagen, während das Isc² für den CISSP auf ein Endorsement-Verfahren setzt. In diesem muss ein anderer CISSP die Aufrichtigkeit, Erfahrung und Kompetenz des Prüflings bescheinigen und dafür bürgen. Zusätzlich kann es einem passieren, dass man zufällig für einen genaueren Review ausgewählt wird.
Die Prüfungen sind bei beiden vergleichbar: Jeweils eine dreistellige Anzahl von Multiple-Choice-Fragen und ein paar Stunden Zeit. Wer so etwas noch nie erlebt hat sei gewarnt, die Prüfungen sind schwer und Multiple-Choice kann wirklich knifflig sein. Ohne gute Vorbereitung, Wissen & Erfahrung und eine gute Konzentrationsfähigkeit, sind beide Prüfungen nicht zu meistern. Im Gegensatz zum CISM kann man den CISSP auch am Computer durchführen und ist nicht so abhängig von ein paar wenigen Prüfungsterminen im Jahr wie beim CISM. Der CISSP ist hier deutlich moderner, wobei die ISACA ihre zentralen Prüfungstermine mit Qualitätssicherung begründet. Man kann darüber unterschiedlicher Meinung sein, welcher Ansatz der bessere ist.
Der größte Unterschied von CISSP und CISM sind ihre Schwerpunkte. Der CISM behandelt die folgenden vier verschiedenen Kategorien:
- Information Security Governance
- Information Risk Management und Compliance
- Information Security Program Development und Management
- Information Security Incident Management
Man sieht auf den ersten Blick wobei es sich beim CISM dreht: Um das Management von Informationssicherheit. Für IT-Sicherheitsexperten ist es das falsche Zertifikat. Für reine Security Manager, die wenig oder gar kein nennenswerten Bezug zur eigentlich IT & IT-Sicherheit haben, ist es das richtige.
Der CISSP ist wesentlich breiter gefasst:
- Access Control
- Telecommunications und Network Security
- Information Security Governance und Risk Management
- Software Development Security
- Cryptography
- Security Architecture und Design
- Operations Security
- Business Continuity und Disaster Recovery Planning
- Legal, Regulations, Investigations und Compliance
- Physical (Environmental) Security
Der CISSP beinhaltet auch Inhalte zum Management für Informationssicherheit. Der Fokus liegt aber wesentlich stärker in der IT-Sicherheit. Ich bezweifle, dass man die CISSP-Prüfung ohne Erfahrung und damit ohne praktisches Wissen aus der IT-Sicherheit bestehen kann. Man darf das aber auch nicht falsch verstehen: Der CISSP ist weder eine Prüfung für Penetration Tester noch geht es hier um die Administration von Firewalls und ähnlichen Sicherheitsprodukten. Der CISSP ist eine Zertifizierung für IT-Sicherheitsexperten, Projektleitern im Bereich IT-Sicherheit und Sicherheitsmanagern, die aus der IT kommen. Beim CISSP geht es nicht darum, wie man die Informationssicherheit in einem großen Konzern steuert, sondern z.B. darum welche sicherheitsrelevanten Fragestellungen bei der Softwareentwicklung beachtet werden müssen, wie man Sicherheitssysteme aufsetzt, wie man mit Sicherheitsvorfällen umgeht, welche Vorkehrungen man dafür treffen muss, welche Verschlüsselungstechniken sicher sind, wie ein sicheres Netzwerk aufgebaut ist uvm.
Durch seine wesentlich größere Breite ist der CISSP schwieriger als der CISM. Wer beide anstrebt, sollte erst den CISSP machen. Der CISM ist etwas überspitzt ausgedrückt, dann nur noch eine Wiederholung von 4 Bereichen aus dem CISSP. Der CISM ist nicht schlecht, er ist nur eher für Personen geeignet, die aus dem Umfeld der Security Governance kommen.
Ich halte u.a. selbst beide Zertifikate. Der CISSP ist meine persönliche Number One. Sicherlich ist er nicht perfekt und man kann viele Punkte bei den Inhalten und den Prüfungen kritisieren. Er ist in seiner Qualität und Internationalität dennoch bisher meiner Meinung nach die beste Zertifizierung für diesen Bereich.
Sehr interessante Seite, vielen Dank für die Informationen und Einschätzungen.
Ich komme ursprünglich aus Gambach, also gar nicht so weit von Dir.
Jetzt lebe ich in Schwäbisch Gmünd und arbeite bei ZF seit 11 Jahren in verschiedenen IT Bereichen.
Seit Anfang diesen Jahres bin ich im Compliance&Audit Team für die ZF Werke.
Wir sind gerade dabei Zertifikate und Testate für die Locations zu organisieren, die auf ISO27001 basieren.
Ich habe jetzt überlegt, ob ein ISO27001 oder ein CISSP Zertifkat mehr Sinn macht. ISO wäre vermutlich eher auf meinen Bereich zugeschnitten, CISSP ist offenbar noch breiter angelegt und gleichzeitig technisch anspruchsvoller. Und wahrscheinlich die bessere Option, wenn es um die weitere berufliche Entwicklung geht.
Wie siehst Du das?
Danke für das Lob :-). Wenn man sich nur um ISO27001-Zertifizierungen kümmert, macht sicherlich ein Zertifikat in diesem Bereich „Sinn“. Ich persönlich finde den CISSP allerdings deutlich höherwertig.. mit einigem Abstand – und in meinem Zertifikats-Sammelsurium findet sich auch nichts mit ISO27001.
Hallo Herr Sauer,
ich kann mich nur Herrn Lagerhausen anschliessen. Die Seite ist sehr interessant. Eventuell gibt es eine Gegenüberstellung zwischen CISA und CISM bzw. CISA und CISSP. Ich habe bereits die Zertifizierungen von der ISO27001 Reihe absolviert und möchte mein Wissen in dem Segment vertiefen. Jedoch bin ich keine Sicherheitsexperte. Macht es Sinn ihrer Meinung nach erst CISM anschliessend CISO und später sofern die technische Kenntnisse vorhanden sind CISSP zu machen? Ich arbeite seit mehreren Jahren im IT Service Management und habe immer mehr Verantwortung in dem Bereich..
Vielen Dank für das Feedback!
Vielen Dank für das Feedback! Ich würde an Ihrer Stelle tatsächlich erst den CISM und dann den CISSP anstreben – diese Reihenfolge erscheint mir einfacher.
Hallo Herr Sauer,
mich wundert Ihre Außenvorlassen von ISO 27001 doch sehr. Als deutscher Mittelständler oder Konzern kommt man um einen ISO27001-Audit oder eine BSI-Grundschutz-Zertifizierung (die auf der ISO basiert) immer weniger herum. Da interessiert mich ja herzlich wenig, was die Amis, Engländer, Australier oder Leute in Singapur so treiben – genau daher, also den ehm. britischen Kolonien, kommen aber alle aus z.B. den ISACA-Gremien. Bei ISC^2 sieht’s wohl nicht besser aus.
Das kann jetzt natürlich dem IT-ler egal sein, der muss ja nur Ergebnisse abliefern, wenn der Auditor kommt. Und mit dem nötigen Hintergrundwissen kapiert man natürlich auch schnell einen ISO27001-Audit-Guideline oder die Bausteine/Maßnahmen im BSI-Grundschutz.
Trotzdem; ISO/BSI darf zumindest als Ausblick/Exkurs nicht fehlen, wenn von beruflichen Kursen/Prüfungen im ISMS die Rede ist.
Ich habe tatsächlich beide Zertifizierung gemacht. ISO27001 practioner und officer und jetzt den CISSP. Ich denke, die ergänzen sich sehr gut.