CISSP vs CISM
CISSP et CISM sont deux des programmes de certification les plus recherchés pour la sécurité de l'information. Le CISSP et le CISM ont tous deux l'intention de fournir un corpus commun de connaissances aux professionnels et aux gestionnaires de la sécurité de l'information du monde entier. Le CISSP et le CISM sont tous deux des certifications approuvées pour le programme d'amélioration des effectifs en assurance de l'information.
Qu'est-ce que CISSP?
CISSP (Certified Information Systems Security Professional) est une certification sur la sécurité de l'information, régie par un organisme indépendant et à but non lucratif (ISC) 2 (International Information Systems Security Certification Consortium). (ISC) 2 a été créée en 1988, par plusieurs organisations, qui ont été réunies par le SIG-CS (Special Interest Group for Computer Security) de DPMA (Data Processing Management Association) avec l'intention de créer un programme de certification standardisé en matière de sécurité de l'information. Plus de 60 000 membres de 134 pays ont obtenu la certification CISSP en juillet 2010. Il s'agit d'une certification approuvée par le DoD (Department of Defense) via leurs programmes IAT (Information Assurance Technical) et IAM (Information Assurance Managerial). CISSP est une exigence obligatoire pour le programme ISSEP des États-UnisNSA (Agence de sécurité nationale).
Divers sujets relatifs à la sécurité de l'information sont traités dans CISSP. CISSP est basé sur ce qu'ils appellent le corps commun de connaissances (CBK). CBK est un cadre de sécurité de l'information commun qui peut être utilisé par les professions de la sécurité de l'information du monde entier. Dix domaines CBK sont examinés dans CISSP tels que le contrôle d'accès, la sécurité du développement d'applications, qui sont basés sur la triade CIA (confidentialité, intégrité et disponibilité).
Qu'est-ce que le CISM?
CISM (Certified Information Security Manager) est une certification pour les gestionnaires dans le domaine de la sécurité de l'information. ISACA (Information Systems Audit and Control Association) décerne cette certification. Une personne qui possède au moins 5 ans d'expérience en sécurité de l'information (avec un minimum de 3 ans d'expérience en gestion) doit réussir cet examen pour recevoir cette certification. La certification CISM vise à fournir un corpus commun de connaissances aux responsables de la sécurité de l'information du monde entier. Par conséquent, la gestion du risque informationnel est la base de cette certification. En outre, des sujets généraux tels que la gouvernance de la sécurité de l'information, le développement et la gestion de programmes de sécurité de l'information et la gestion des incidents sont couverts. Le point de vue principal de la certification est la gestion de la sécurité de l'information basée sur les besoins des entreprises (basée sur les meilleures pratiques de l'industrie).
En règle générale, les communautés CISSP et CISA ont tendance à rechercher une certification CISM. L'une des raisons à cela est que le contenu du CISM est lié à celui du programme ISSMP (Information Systems Security Management Professional) de (ISC) 2. CISM est devenu une certification approuvée pour le programme d'amélioration de la main-d'œuvre d'assurance de l'information en 2005. Cinq domaines de la sécurité de l'information examinés par le CISM sont la gouvernance de la sécurité de l'information, la gestion des risques de l'information, le développement de programmes de sécurité de l'information, la gestion du programme de sécurité de l'information et la gestion des incidents.
Quelle est la différence entre CISSP et CISM?
Bien que les certifications CISSP et CISM examinent des sujets sur la sécurité de l'information, elles présentent des différences essentielles. Contrairement au CISSP, le CISM se concentre sur les thèmes de la gestion de la sécurité de l'information. Bien que le CISSP et le CISM exigent que les individus aient au moins 5 ans d'expérience en sécurité de l'information, le CISM exige en outre que l'individu ait au moins 3 ans d'expérience en gestion de la sécurité de l'information.