CISSP contre CISM
CISSP et CISM sont deux des programmes de certification les plus recherchés pour la sécurité de l'information. Le CISSP et le CISM ont tous deux l'intention de fournir un ensemble commun de connaissances aux professionnels et aux responsables de la sécurité de l'information du monde entier. CISSP et CISM sont des certifications approuvées pour le programme d'amélioration de la main-d'œuvre de l'assurance de l'information.
Qu'est-ce que le CISSP ?
CISSP (Certified Information Systems Security Professional) est une certification sur la sécurité de l'information, régie par un organisme indépendant et à but non lucratif (ISC)2 (International Information Systems Security Certification Consortium).(ISC)2 a été formé en 1988, par plusieurs organisations, qui ont été réunies par le SIG-CS (Special Interest Group for Computer Security) de DPMA (Data Processing Management Association) avec l'intention de faire un programme standardisé de certification de sécurité de l'information. Plus de 60 000 membres de 134 pays ont passé la certification CISSP en juillet 2010. Il s'agit d'une certification approuvée par le DoD (Department of Defense) par le biais de leurs programmes IAT (Information Assurance Technical) et IAM (Information Assurance Managerial).. CISSP est une exigence obligatoire pour le programme ISSEP de la NSA (National Security Agency) des États-Unis.
Divers sujets relatifs à la sécurité de l'information sont couverts dans le CISSP. CISSP est basé sur ce qu'ils appellent le Common Body of Knowledge (CBK). CBK est un cadre commun de sécurité de l'information qui peut être utilisé par les professionnels de la sécurité de l'information du monde entier. Dix domaines CBK sont examinés dans CISSP tels que le contrôle d'accès, la sécurité du développement d'applications, qui sont basés sur la triade CIA (confidentialité, intégrité et disponibilité).
Qu'est-ce que le CISM ?
CISM (Certified Information Security Manager) est une certification pour les managers dans le domaine de la sécurité de l'information. L'ISACA (Information Systems Audit and Control Association) décerne cette certification. Une personne qui possède au moins 5 ans d'expérience en sécurité de l'information (avec un minimum de 3 ans d'expérience en gestion) doit réussir cet examen pour recevoir cette certification. La certification CISM vise à fournir un corpus commun de connaissances aux responsables de la sécurité de l'information du monde entier. Par conséquent, la gestion des risques liés à l'information est à la base de cette certification. En outre, des sujets généraux tels que la gouvernance de la sécurité de l'information, le développement et la gestion des programmes de sécurité de l'information et la gestion des incidents sont couverts. Le point de vue principal de la certification est la gestion de la sécurité de l'information basée sur les besoins des entreprises (basée sur les meilleures pratiques de l'industrie).
En règle générale, les communautés CISSP et CISA ont tendance à rechercher la certification CISM. Une des raisons à cela est que le contenu du CISM est lié à celui du programme ISSMP (Information Systems Security Management Professional) de (ISC)2. Le CISM est devenu une certification approuvée pour le programme d'amélioration des effectifs de l'assurance de l'information en 2005. Cinq domaines de la sécurité de l'information examinés par le CISM sont la gouvernance de la sécurité de l'information, la gestion des risques liés à l'information, le développement du programme de sécurité de l'information, la gestion du programme de sécurité de l'information et la gestion des incidents.
Quelle est la différence entre CISSP et CISM ?
Bien que les certifications CISSP et CISM examinent des sujets sur la sécurité de l'information, elles présentent des différences essentielles. Contrairement au CISSP, le CISM se concentre sur les thèmes de la gestion de la sécurité de l'information. Bien que le CISSP et le CISM exigent tous deux que les individus aient au moins 5 ans d'expérience en sécurité de l'information, le CISM exige en outre que l'individu ait un minimum de 3 ans d'expérience dans la gestion de la sécurité de l'information.