CISSP vs CISM
CISSP e CISM sono due dei programmi di certificazione più ricercati per la sicurezza delle informazioni. Sia il CISSP che il CISM intendono fornire un corpus di conoscenze comune ai professionisti e ai manager della sicurezza delle informazioni in tutto il mondo. Sia CISSP che CISM sono certificazioni approvate per il programma di miglioramento della forza lavoro di Assicurazione delle informazioni.
Cos'è CISSP?
CISSP (Certified Information Systems Security Professional) è una certificazione sulla sicurezza delle informazioni, disciplinata da un indipendente e senza scopo di lucro (ISC)2 (International Information Systems Security Certification Consortium).(ISC)2 è stata costituita nel 1988, da diverse organizzazioni, riunite dal SIG-CS (Special Interest Group for Computer Security) della DPMA (Data Processing Management Association) con l'intento di realizzare un programma standardizzato di certificazione della sicurezza delle informazioni. Più di 60.000 membri provenienti da 134 paesi hanno ottenuto la certificazione CISSP a luglio 2010. Si tratta di una certificazione che ha l'approvazione del DoD (Department of Defense) attraverso i loro programmi IAT (Information Assurance Technical) e IAM (Information Assurance Managerial). Il CISSP è un requisito obbligatorio per il programma ISSEP della NSA (National Security Agency) degli Stati Uniti.
Vari argomenti relativi alla sicurezza delle informazioni sono trattati in CISSP. Il CISSP si basa su quello che chiamano Common Body of Knowledge (CBK). CBK è un framework comune per la sicurezza delle informazioni che può essere utilizzato dalle professioni della sicurezza delle informazioni in tutto il mondo. Dieci domini CBK vengono esaminati in CISSP come Controllo degli accessi, Sicurezza dello sviluppo delle applicazioni, che si basano sulla triade CIA (Riservatezza, Integrità e Disponibilità).
Cos'è il CISM?
CISM (Certified Information Security Manager) è una certificazione per i manager nel campo della sicurezza delle informazioni. ISACA (Information Systems Audit and Control Association) rilascia questa certificazione. Una persona che possiede almeno 5 anni di esperienza in sicurezza delle informazioni (con minimo 3 anni di esperienza manageriale) deve superare questo esame per ricevere questa certificazione. La certificazione CISM intende fornire un corpus di conoscenze comune per i responsabili della sicurezza delle informazioni in tutto il mondo. Pertanto, la gestione del rischio informativo è alla base di questa certificazione. Inoltre, vengono trattati argomenti di ampia portata come la gestione della sicurezza delle informazioni, lo sviluppo e la gestione di programmi di sicurezza delle informazioni e la gestione degli incidenti. Il punto di vista principale della certificazione è la gestione della sicurezza delle informazioni in base alle esigenze delle aziende (basata sulle migliori pratiche del settore).
In genere, le comunità CISSP e CISA tendono a cercare la certificazione CISM. Uno dei motivi è che il contenuto CISM è correlato a quello del programma ISSMP (Information Systems Security Management Professional) di (ISC)2. Il CISM è diventato una certificazione approvata per il programma di miglioramento della forza lavoro per la sicurezza delle informazioni nel 2005. Cinque aree della sicurezza delle informazioni esaminate dal CISM sono la governance della sicurezza delle informazioni, la gestione del rischio delle informazioni, lo sviluppo del programma di sicurezza delle informazioni, la gestione del programma di sicurezza delle informazioni e la gestione degli incidenti.
Qual è la differenza tra CISSP e CISM?
Sebbene sia le certificazioni CISSP che CISM esaminino argomenti sulla sicurezza delle informazioni, presentano differenze fondamentali. A differenza del CISSP, il CISM è focalizzato sui temi della gestione della sicurezza delle informazioni. Sebbene sia CISSP che CISM richiedano alle persone di avere almeno 5 anni di esperienza nella sicurezza delle informazioni, CISM richiedono inoltre che la persona abbia un minimo di 3 anni di esperienza nella gestione della sicurezza delle informazioni.