“我刚开始在信息安全领域工作，我应该考取什么样的证书呢？”“我已经考到了CISSP，还应该再考什么认证呢？”这些都是信息安全从业人士经常会问到的问题，主要也是因为在IT相关的200多种证书的海洋中，有超过42个安全相关的证书。

　　本文提供了信息安全专家对于最佳安全证书的指导，可以为信息安全领域的工作人员的职业生涯增添价值。

　　在考虑要选择哪种认证时，有下面三个方面可以帮助指导决策：（1）要求的经验年限；（2）职业生涯路线；（3）补充性实践。下面我们来逐个详细讨论一下。

　　经验年限

　　一些认证需要一定年限的实践经验才能参加认证考试。例如：国际信息系统安全认证协会（ISC2）提供的认证，它组织CISSP（信息系统安全专家认证）和其它认证的考试；还有信息系统审计和控制协会（ISACA）提供的认证，它组织CISA（信息系统审计师认证）和其它认证的考试。认证的信息系统安全专家（CISSP）需要在ISC2定义的十个知识领域的两个领域里至少有四年相关经验。认证的信息安全管理师（CISM）需要八年相关经验。相比之下，SCCP可以在具有一年相关经验就以后申请。CompTIA和SANS提供基础的安全认证，无需工作经验年限要求。

　　建议：

　　(1)在你的职业生涯刚开始时，要选择Security+或者基本的SANS认证之一。在没有相关领域经验或者其它认证需要的工作年限的情况下，这是快速学习信息安全学科基本实践的最好方法。

　　(2)如果你是一位安全专家，在十个领域中的两个领域有了至少四年经验，那就必选CISSP。大部分入门级以上的职位描述都要求求职者有CISSP认证，或者是有认证者优先。

　　职业生涯路线

　　如果你是一位对技术工作上瘾的人或者你很享受解决难题，那么技术型的职业路线可能很适合你。主要的技术重点是追踪恶意流量。获得认证对你工作的技术环境会有所补充。

　　如果你更愿意把领导、管理和应用你的商业智慧应用到信息安全中，那么信息安全的业务可能是你的职业路线。你可以关注于审计、治理、风险或者其它领域。

　　建议：

　　(1)对于技术为导向的安全专家，可以选择CCNA安全认证的思科认证网络工程师（CCNA），它可以完善你的技能集。如果对于事件处理（SANS GIAC/IH）或者取得（GCFA）证书，对于公司识别恶意软件或者阻止并发现入侵是一个很好的基础。

　　(2)对于业务为导向的安全专家，最好选择CISSP，然后再考虑下面的认证之一：认证信息系统审计师（CISA），认证信息安全管理师（CISM），认证企业IT治理师（CGEIT），风险和信息系统控制认证（CRISC）或者认证信息隐私专家（CIPP）。CISA对于CISSP的补充价值尤为重要，因为它可以帮助你理解审计师如何思考。那些知识可以用于规划你信息安全项目的有效策略。

　　补充性实践

　　你的腰带下至少夹着三项认证，你的职业生涯才会良好发展，但你可能想继续了解更多认证，向安全专家进军。那么，这时候你该如何选择呢？一旦你已经建立了坚实的认证轨迹，并通过多样化证书为你成为专家增添价值，那么我的答案是：不需要更多了。

　　建议：

　　(1)有兴趣成为架构师的技术专家可以继续获取开放组织架构框架（TOGAF）认证。与ISC2的信息系统安全架构专家（CISSP的ISSAP）相比，TOGAF可以使你理解企业架构的实体全貌，而不是一个局部的实践。

　　(2)战略实践者可以选择项目管理协会的项目管理专家（PMP）认证，或者BPMInstitute.org的业务流程建模认证，或者适用于各种培训公司的六西格玛认证，这些认证可以帮助你裁剪一些有时与信息安全和审计有关的庞大流程。

　　谨记要点：

　　下面是在你整个职业生涯中要记住的几个要点：

　　(1)每隔两年都要审查一下你的所有认证，看是否有不再适用的，或者是否变得与你的职业更加密切的。淘汰那些不再有价值的，维持那些仍然有价值的，并考虑获取那些变得相关或者可以帮助你实现未来职业目标的新认证。

　　(2)制定一项容易获得持续专业教育学分（CPE）的策略，这是维持证书有效所需要的。网络广播学习或者行业会议交流都是获得CPE的好方法。

　　(3)经常关注公司招聘职位上描述要求的认证。