CISSP vs CISM
CISSP ve CISM, bilgi güvenliği için en çok aranan sertifika programlarından ikisidir. Hem CISSP hem de CISM, dünya çapında bilgi güvenliği uzmanları ve yöneticileri için ortak bir bilgi birikimi sağlamayı amaçlamaktadır. Hem CISSP hem de CISM, Bilgi Güvencesi İş Gücü Geliştirme Programı için onaylanmış sertifikalardır.
CISSP nedir?
CISSP (Certified Information Systems Security Professional), bağımsız ve kar amacı gütmeyen (ISC)2 (Uluslararası Bilgi Sistemleri Güvenlik Sertifika Konsorsiyumu) tarafından yönetilen bilgi güvenliğine ilişkin bir sertifikadır.(ISC)2, standartlaştırılmış bir bilgi güvenliği sertifika programı yapmak amacıyla DPMA'nın (Veri İşleme Yönetimi Derneği) SIG-CS (Special Interest Group for Computer Security) tarafından bir araya getirilen çeşitli kuruluşlar tarafından 1988 yılında kuruldu. Temmuz 2010 itibariyle 134 ülkeden 60.000'den fazla üye CISSP sertifikasını almıştır. IAT (Information Assurance Technical) ve IAM (Information Assurance Managerial) programları aracılığıyla DoD (Department of Defense) onayına sahip bir sertifikadır.. CISSP, ABD NSA'nın (Ulusal Güvenlik Ajansı) ISSEP programı için zorunlu bir gerekliliktir.
Çeşitli Bilgi Güvenliği konuları CISSP'de ele alınmaktadır. CISSP, Ortak Bilgi Bedeni (CBK) olarak adlandırdıkları şeye dayanmaktadır. CBK, dünya çapında bilgi güvenliği meslekleri tarafından kullanılabilecek ortak bir bilgi güvenliği çerçevesidir. Erişim kontrolü, Uygulama Geliştirme Güvenliği gibi CIA üçlüsüne (Gizlilik, Bütünlük ve Kullanılabilirlik) dayanan on CBK etki alanı CISSP'de incelenir.
CISM nedir?
CISM (Certified Information Security Manager), bilgi güvenliği alanındaki yöneticiler için bir sertifikadır. ISACA (Bilgi Sistemleri Denetim ve Kontrol Derneği) bu sertifikayı ödüllendiriyor. Bilgi güvenliği alanında en az 5 yıl deneyime sahip (en az 3 yıl yöneticilik deneyimi olan) bir kişinin bu sertifikayı alabilmesi için bu sınavı geçmesi gerekir. CISM sertifikası, dünya çapında bilgi güvenliği yöneticileri için ortak bir bilgi birikimi sağlamayı amaçlamaktadır. Bu nedenle, bilgi risk yönetimi bu sertifikasyonun temelidir. Ayrıca, bilgi güvenliğini yönetme, bilgi güvenliği programlarının geliştirilmesi ve yönetimi ve olay yönetimi gibi geniş konular ele alınmaktadır. Sertifikanın ana bakış açısı, işletmelerin ihtiyaçlarına göre (endüstrideki en iyi uygulamalara dayalı olarak) bilgi güvenliği yönetimidir.
Tipik olarak, CISSP ve CISA toplulukları CISM sertifikasyonu arama eğilimindedir. Bunun bir nedeni, CISM içeriğinin (ISC)2'den ISSMP (Bilgi Sistemleri Güvenlik Yönetimi Profesyoneli) programıyla ilgili olmasıdır. CISM, 2005 yılında Bilgi Güvencesi İşgücü Geliştirme Programı için onaylanmış bir sertifika haline geldi. CISM tarafından incelenen bilgi güvenliğinin beş alanı, bilgi güvenliği yönetişimi, Bilgi risk yönetimi, Bilgi güvenliği programı geliştirme, bilgi güvenliği programı yönetimi ve olay yönetimidir.
CISSP ve CISM arasındaki fark nedir?
Hem CISSP hem de CISM sertifikaları bilgi güvenliği konularını incelemesine rağmen aralarında önemli farklılıklar vardır. CISSP'den farklı olarak CISM, bilgi güvenliği yönetimi konularına odaklanmıştır. Hem CISSP hem de CISM, bireylerin en az 5 yıllık bilgi güvenliği deneyimine sahip olmasını gerektirse de, CISM ayrıca bireyin bilgi güvenliği yönetimi konusunda en az 3 yıllık deneyime sahip olmasını gerektirir.