Die richtige Auswahl an Sicherheitszertifizierungen treffen: CISSP vs CISM, CISA und CRISC

Wenn Sie eine Karriere im Bereich der Cybersicherheit anstreben, dann haben Sie eine ausgezeichnete Wahl getroffen! Qualifizierte Fachkräfte für Informationssicherheit sind sehr gefragt und werden dies wahrscheinlich auch in Zukunft bleiben, sodass das Feld solide finanzielle Vorteile bietet. Laut dem IT Skills and Salary Report von Global Knowledge aus dem Jahr 2018 berichten 41 Prozent der Arbeitgeber in den USA, dass die Suche nach qualifizierten Cybersicherheitsfachkräften eine ihrer größten Herausforderungen ist, und zertifizierte Personen verdienen durchschnittlich 22 Prozent mehr als ihre nicht zertifizierten Kollegen.

Es gibt zwei klare, weltweit anerkannte Führer in der Cybersicherheitszertifizierung: ISACA und (ISC)2. Die Spitzenzertifizierung von (ISC)2 ist der Certified Information Systems Security Professional (CISSP), während ISACA drei sicherheitsbezogene Zertifizierungen anbietet: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) und Certified in Risk and Information Systems Control (CRISC).

Alle diese Zertifizierungen richten sich an Fachleute mit mindestens fünf Jahren Berufserfahrung, alle erfordern kontinuierliche Weiterbildung, um die Qualifikation aufrechtzuerhalten, und alle genießen ähnliches Ansehen und Gehälter. Also, welche werden für Sie den meisten Wert haben? Um Ihnen bei der Entscheidung zu helfen, werfen wir einen genauen Blick auf jede einzelne von ihnen.

(ISC)2: Certified Information Systems Security Professional (CISSP)

Kurzinformationen

Gegründet im Jahr 1989, ist (ISC)2 eine der weltweit größten IT-Sicherheits- und Cybersecurity-Mitgliedsorganisationen. Sie bietet ihren Mitgliedern und der Branche Sicherheitsstandardisierungen, Bildung und Zertifizierungen. Eingeführt im Jahr 1994, war der CISSP die erste von (ISC)2 angebotene Zertifizierung. Heute ist es die Spitzenqualifikation im Zertifizierungsprogramm von (ISC)2. Es gibt weltweit über 140.000 CISSP-zertifizierte Sicherheitsexperten. Die Qualifikation wird konstant von Arbeitgebern gesucht; eine informelle Jobsuche auf SimplyHired ergab fast 9.700 Stellenausschreibungen, die nach CISSP fragten, verglichen mit 4.511 für CISA und 3.004 für CISM.

Die CISSP-Zertifizierung richtet sich an Sicherheitsfachleute in einem breiten Spektrum von Rollen, einschließlich Manager, Praktiker und Führungskräfte. CISSPs verfügen über die Fähigkeiten, die notwendig sind, um Cybersicherheitsprogramme für ihre Organisation zu entwerfen, zu architektieren, zu implementieren, zu steuern und zu warten. Typische Rollen sind CIO, CISO, Sicherheitsdirektor, Sicherheitsarchitekt, Netzwerkarchitekt, IT-Direktor, IT-Manager, Sicherheitsanalyst, Auditor, Berater und Systemingenieur.

Neben der grundlegenden CISSP-Zertifizierung ist der CISSP in drei weiteren concentrations verfügbar:

• Information Systems Security Architecture Professional (CISSP-ISSAP)
• Information Systems Security Engineering Professional (CISSP-ISSEP)
• Information Systems Security Management Professional (CISSP-ISSMP)

Erwerb der Qualifikation

Das Erlangen des CISSP ist nicht einfach. Qualifizierte Kandidaten müssen:

• Mindestens fünf Jahre bezahlte Berufserfahrung in mindestens zwei der acht CISSP Common Body of Knowledge (CBK) Domänen (unten aufgeführt)
• Bestehen Sie die CISSP-Prüfung (699 $)
• Stimmen Sie dem (ISC)2 Ethikkodex zu
• Lassen Sie sich innerhalb von neun Monaten nach Bestehen der Prüfung von einem (ISC)2-Fachmann beglaubigen

Die aktuellen CISSP CBK-Domänen sind:

• Sicherheits- und Risikomanagement
• Vermögenssicherheit
• Sicherheitsarchitektur und -engineering
• Kommunikation und Network Security
• Identity and Access Management (IAM)
• Sicherheitsbewertung und -tests
• Sicherheitsoperationen
• Sicherheit in der Softwareentwicklung

Entschlossen, die CISSP-Prüfung zu bestehen? Der Netwrix Blog hat etwas Besonderes für Sie. Hier sind sieben großartige Tipps von einem CISSP-zertifizierten Profi für how to pass CISSP exam beim ersten Versuch. Außerdem finden Sie hier nützliche Studienführer und Trainingsmaterialien für die CISSP-Zertifizierung. Und schließlich können Sie Ihre Bereitschaft mit Hilfe unseres CISSP practice exam beurteilen.

Aufrechterhaltung der Anmeldeinformationen

Der CISSP ist drei Jahre gültig. Eine jährliche Gebühr von 85 $ ist erforderlich. Um die Zertifizierung zu erneuern, müssen CISSPs entweder die aktuelle Prüfung ablegen oder 120 Continuing Professional Education (CPE)-Punkte sammeln (mindestens 40 Punkte müssen jedes Jahr erworben werden). Erfahren Sie mehr über die CISSP-Prüfungsänderungen, die ab April 2018 wirksam werden.

Vorteile

In the 2017 (ISC)2 Global Information Security Workforce Study, respondents holding the CISSP certification reported an average annual salary of $120,000. SimplyHired reports average earnings as $66,078, with salaries topping out at $127,071. The 2018 Global Knowledge report pegs the average U.S. salary at $109,965, placing the CISSP in the number one spot among cybersecurity credentials.

ISACA-Zertifizierungen

Kurzinformationen

Gegründet im Jahr 1969, ist die Information Systems Audit and Control Association (ISACA) eine weltweit anerkannte und hoch angesehene Organisation mit über 140.000 Mitgliedern in 180 Ländern. ISACA bietet vier Qualifikationen an, die auf verschiedene IT-Fachleute abzielen:

• Certified Information Systems Auditor (CISA) — Auditoren
• Certified Information Security Manager (CISM) — Sicherheitsmanager
• Certified in Risk and Information Systems Control (CRISC) — Risikomanagement-Experten
• Zertifiziert im Governance of Enterprise IT (CGEIT) — Governance-Fachleute

Hier konzentrieren wir uns auf die ersten drei dieser Anmeldeinformationen; Unternehmensführung liegt außerhalb unseres Zuständigkeitsbereichs.

Erwerb der Berechtigungsnachweise

Alle Kandidaten müssen

• Erfüllen Sie die strengen Erfahrungsanforderungen, die unten detailliert beschrieben sind
• Bestehen Sie die zugehörige Prüfung (575 $ für ISACA-Mitglieder; 760 $ für Nichtmitglieder); Prüfungen werden nur dreimal im Jahr angeboten, daher sollten sich Kandidaten rechtzeitig bewerben
• Stimmen Sie dem Verhaltenskodex für professionelle Ethik und dem Programm für kontinuierliche berufliche Bildung zu
• Erfüllen Sie zusätzliche Anforderungen, wie nachfolgend detailliert

Aufrechterhaltung der Anmeldeinformation

ISACA-Zertifizierungen sind drei Jahre gültig. Es wird auch eine jährliche Wartungsgebühr (45 $ für ISACA-Mitglieder, 85 $ für Nichtmitglieder) verlangt. Zur Erneuerung müssen Inhaber der Zertifizierung 120 CPE-Punkte erwerben, wobei jährlich mindestens 20 CPEs erzielt werden müssen.

CISM

Ein guter Weg, um CISM zu verstehen, ist der Vergleich mit CISSP. Obwohl beide Zertifizierungen Cybersicherheit und Managementkonzepte abdecken, konzentriert sich CISSP auf die operative Seite der Sicherheit und ihre technischen Aspekte, während CISM auf die strategische Seite der Sicherheit und ihre Beziehung zu Geschäftszielen ausgerichtet ist.

Insbesondere ist CISM für Informations-Sicherheitsmanager konzipiert und richtet sich an Personen, die Informations-Sicherheitsumgebungen auf Unternehmensebene bewerten, entwerfen, verwalten und beaufsichtigen. Kandidaten sollten auch ein gründliches Verständnis der verfügbaren Technologien und deren Implementierung in ihrer Organisation besitzen. Die CISM-Zertifizierung bestätigt die Fähigkeiten und das Wissen der Kandidaten in vier Bereichen:

• Domäne 1: Informationssicherheits-Governance
• Domäne 2: Information Risk Management
• Domäne 3: Entwicklung und Management von Informationssicherheitsprogrammen
• Domäne 4: Information Security Incident Management

Laut ISACA gibt es weltweit mehr als 32.000 Inhaber von CISM-Zertifikaten, von denen über 7.500 als Sicherheitsdirektoren oder -manager und weitere 3.500 als IT-Direktoren oder -manager tätig sind. Weitere häufige CISM-Rollen umfassen IS/IT-Berater, CIO, Risikomanagement-Fachleute und Führungspositionen in Unternehmen.

Um die CISM-Prüfung abzulegen, müssen Kandidaten mindestens fünf Jahre Erfahrung in der Informationssicherheit besitzen, von denen drei Jahre in mindestens drei der aufgeführten Domänen sein müssen. Alle Erfahrungen müssen innerhalb der vorangegangenen 10 Jahre erworben worden sein, um sich zu qualifizieren. Prüfungsergebnisse werden für ungültig erklärt, wenn die Erfahrungsanforderung nicht innerhalb von fünf Jahren nach Bestehen der Prüfung erfüllt wird. Einige Substitutionen sind erlaubt, um die Erfahrungsanforderung zu erfüllen, abhängig von anderen Zertifizierungen und Bildung.

Global Knowledge berichtete, dass CISM-zertifizierte Fachkräfte in den USA durchschnittlich 105.926 Dollar jährlich verdienen, was sie weltweit auf den sechsten Platz hinsichtlich des Verdienstpotenzials von Zertifizierungen setzt.

CISA

Die CISA-Zertifizierung richtet sich an IT-Fachleute, die in Governance- und Audit-bezogenen Rollen arbeiten. Typischerweise haben CISA-Profis Positionen wie IS- oder IT-Prüfer oder Audit-Manager, Nicht-IT-Prüfer und Berater inne. Viele CISA-Profis sind auch in Governance, Assurance, Sicherheit, Audit-Kontrolle und Unternehmensführung tätig.

Die CISA-Zertifizierung bestätigt das Wissen und die Fähigkeit eines Kandidaten, die Bewertung, Kontrolle, Prüfung und fortlaufende Überwachung der IT-Geschäftssysteme eines Unternehmens durchzuführen. Die erforderlichen Fähigkeiten spiegeln sich in den fünf CISA-Arbeitspraxisbereichen wider:

• Domäne 1: Der Prozess der Überprüfung von Informationssystemen
• Domäne 2: Governance und Management von IT
• Domäne 3: Erwerb, Entwicklung und Implementierung von Informationssystemen
• Domäne 4: Betrieb von Informationssystemen, Wartung und Service-Management
• Domäne 5: Schutz und Informationswerte

Um die Qualifikation zu erlangen, müssen Kandidaten mindestens fünf Jahre Berufserfahrung in der Prüfung, Kontrolle oder Sicherung von Informationssystemen vorweisen (für Bildung können einige Ausnahmen zugelassen werden) und die CISA-Prüfung bestehen. Der CISA-Studienprozess kann den Besuch von CISA-Überprüfungskursen, die Einschreibung in einen Online-Kurs oder die Verwendung von Software, Überprüfungshandbüchern und Studienführern umfassen. Nach Bestehen der Prüfung müssen die Kandidaten auch die Standards der Informationssystemprüfung einhalten.

Laut dem Global Knowledge Bericht belegen CISA Gehälter den 13. Platz, mit einem durchschnittlichen US-Gehalt von 97.117 Dollar.

CRISC

Die CRISC-Zertifizierung richtet sich speziell an Fachleute, die sich auf der Unternehmensebene mit IT-Risikomanagement beschäftigen. Typische CRISC-Kandidaten sind CIOs/CISOs, Geschäftsanalysten, Projektmanager sowie IT-Fachkräfte, die in den Bereichen Risikomanagement, Kontrolle und Sicherstellung sowie Compliance tätig sind.

Die CRISC-Arbeitsbereiche sind:

• Domäne 1: IT-Risikoidentifizierung
• Domäne 2: IT-Risikobewertung
• Domäne 3: Risikoantwort und -minderung
• Domäne 4: Risiko- und Kontrollüberwachung und Berichterstattung

Die Anforderungen für CRISC umfassen mindestens drei Jahre Berufserfahrung im Management von Informationssicherheitsprogrammen in zwei oder mehr der CRISC-Arbeitsbereiche, einschließlich entweder Bereich 1 oder 2. Diese Erfahrung muss in den zehn Jahren vor der Antragstellung oder innerhalb von fünf Jahren nach Bestehen der Prüfung erworben werden.

Im Global Knowledge Bericht war die CRISC-Zertifizierung in Bezug auf die berichteten Einnahmen nur dem CISSP unterlegen, mit durchschnittlich gemeldeten US-Einnahmen von 107.968 $.

CISSP, CISM, CISA und CRISC auf einen Blick

*Alle Gehaltsinformationen stammen aus dem Jahr 2018 IT Skills and Salary Report von Global Knowledge.

Das Fazit

Beachten Sie folgendes, wenn Sie zwischen dem Erwerb einer ISACA-Qualifikation wie CISA und einer CISSP-Zertifizierung wählen:

• CISSP ist eine gute Wahl für IT-Experten aus vielen verschiedenen Disziplinen und Rollen, die eine Karriere im Bereich IT-Sicherheit oder Cybersicherheit anstreben. Es bietet das höchste Durchschnittsgehalt aller Zertifizierungen im Global Knowledge Bericht 2018.
• CISM steht in Bezug auf das Durchschnittsgehalt nicht weit hinter CISSP. Während CISSP sich auf die operative Seite der Sicherheit konzentriert, zielt CISM auf die strategische Seite der Sicherheit und deren Beziehung zu Geschäftszielen ab.
• Die CRISC-Zertifizierung steht in Bezug auf das berichtete Einkommen nur an zweiter Stelle nach der CISSP. Sie bestätigt Ihre Fähigkeit, auf Unternehmensebene mit IT-Risikomanagement zu arbeiten.
• Wenn Ihre Karriereziele ausschließlich auf Prüfungsaufgaben ausgerichtet sind, dann könnte der CISA die richtige Qualifikation für Sie sein.