我是如何成为一名CISO的？

无论是在职学习、通过证书学习还是在大学学习，安全从业人员都有很多方法可以获得工作技能。Head在一篇LinkedIn帖子上发表了自己的观点，他表示：“高水准的技术支撑仍然很重要，但CISO不需要了解所有安全方面的细节。我看到很多关于CISO工作的需求，他们会提出要CISO能够使用Python编写代码或成为AWS专家，这显然不算是CISO的工作范畴。”

澳大利亚KordaMentha执行董事托尼·维扎（Tony Vizza）表示，CISO需要具备这四个方面的能力：一、了解IT；二、了解信息安全和风险管理的基本原则；三、了解所处法律和监管环境，这通常由隐私制度所决定；四、对企业的工作方式有一个基本的了解。

Vizza的职业经历始于悉尼理工大学的计算机学位，之后是悉尼大学的行政MBA学位，接着他学习并获得了网络安全、风险管理和隐私方面的众多证书，包括CISSP、CISM、CCSP、CRISC、CIPP/E和ISO 27001高级首席审计师认证。他说：“这些并不是我的终点，未来几年内我还会完成CIPP/US隐私认证、CGEIT企业IT治理认证和GAICD董事治理课程，并且还会获得法学博士学位。”

克罗地亚Ostendo咨询公司首席执行官Biljana Cerin从大学时开始她的职业生涯，她在萨格勒布大学学习计算机科学，不久后，她担任起安全软件工程师。她说：“从我接触到安全工作时起，我就对信息系统安全相关的总体治理、风险管理和合规条例产生了浓厚的兴趣。”同样的，她也获得了CISM、CISA、CGEIT、CBCP、CISSP等行业认证，后来在她开始管理信息安全项目之后，她还获得了PMP认证。

安全行业的另一大趋势是国防人员成为网络安全专业人员，澳大利亚最大电信运营商Telstra的首席信息官Narelle Devine就是如此。Devine是澳大利亚皇家海军的一名军官，她现在的职位是海军网络战总监。她表示，不仅是海军，澳大利亚国防军、联邦政府和更广泛的“五眼联盟”都提供了很好的培训机会。

Devine还获得了许多文凭，包括通信和信息系统研究生文凭、海事研究高级文凭、政府四级证书（采购和合同）等。在新南威尔士大学，她还获得了文学学士学位（英语和信息系统）、科学硕士学位（信息技术）和系统工程硕士学位。

离开海军后，Devine成为了当时公共服务部（现澳大利亚服务部）的CISO，在那里她建立了最先进的网络安全运营中心，并将人员规模从25人提升到了250人。

此外，许多专业人士也会在工作中学习。比如新西兰科迪亚的CISO希拉里·沃尔顿，她在工作之余获得了心理学博士学位，她表示，CISO的作用是保持组织信息安全管理系统（ISMS）的有效运行，学习和理解ISMS的不同组成部分是她开始做ISACA认证信息安全经理（CISM）认证的基础所在。“从表面看上去，心理学似乎和安全并无关系，但只有我自己知道，这些专业技能大大增加了我和人沟通的效率，我需要一些技能可以把我自己的这些知识串联起来，心理学就是很好的选择。”

CISO需要或期望获得大量的认证，比如在查看CISO的简介时，他们希望自己能展现出丰富的认证证书和学位文凭。在这里，国外安全专家列出了一些安全专业人士通常会追求的目标：

1、认证信息安全经理（CISM）。此认证是专门为负责领导、规划和管理企业全面信息系统安全的资深管理人员设计的专业资格。

在国内由中国信息安全测评中心向政府机构、社会团体、企事业单位中的信息安全工作人员颁发的专业资质证书，是对信息安全专业人员最权威的认证，也是对我国信息安全人员进行资质评定的重要形式之一。

国内CISM培训费用包括由运营机构收取的300元考试费、300元三年年金和200元的制证费用和培训机构收取的2100元标准课程培训费及定制课程另外收取的其他培训费。

2、国际信息系统审计师（CISA）。此认证是由信息系统审计与控制协会ISACA发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA认证适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。

此认证国内有较多培训机构，可自行选择。培训费在六千左右，可自己上官网注册账号报考，也可找代报名机构，代报名费4800元（官网价760美元）。

3、数字企业治理师（CGEIT）。此认证适用于那些渴望担任高管职位的人，该职位展示了该如何处理整个组织的治理，其目标职位是转向C字高管。

国内CGEIT的培训费用在4000左右，考试费用为4800。

4、风险和信息系统控制认证（CRISC）。此认证可帮助那些希望展示其企业IT风险管理知识的人群获得良好的知识。拥有CRISC认证，证明了安全人员具有计划、实施适当的控制措施和框架的能力，这种能力可以帮助安全人员在不阻碍创新发展的情况下，进一步降低企业风险。

谷安官网官方公布的CRISC培训费是6000元，考试费是575美金。

其他认证包括：

1、国际业务连续性管理专家认证（CBCP），适用于在业务连续性/灾难恢复行业中既有相关知识底蕴又有技能的人群，它由DRI提供，需要两年以上的业务持续(BC)经验。申请人必须要能在专业实践的五个主题领域里展示出具体的实践经验，与之前的认证一样，CBCP要求继续教育和相关的行业活动。

此认证国内有相关培训机构，费用参考：CBCP认证课程培训费用22,000元/人，考试认证费用2,500元/人，总计24,500元/人。

2、信息系统安全专业认证（CISSP）。这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试。此认证适用于能够在企业级设计、实施和管理网络安全计划的人群，在国外，它由非营利的国际信息系统安全认证联盟（ISC）2提供，考试注册费为749美元，加上最高125美元的年度维护费。

国内培训费用一般在3000-4000左右，但是由于各个机构的师资、资料各方面不一样，所以价格也会有所不同。

3、资深安全工程师（CCSP）。此认证也是由（ISC）2提供，获得 CCSP 认证资格的网络人士能够保护和管理网络基础设施，以提高生产率和降低成本。认证内容侧重于安全VPN管理、自适应安全设备管理器(ASDM)、PIX防火墙、自适应安全设备(ASA)、入侵防御系统(IPS)、安全代理(CSA) 和怎样将这些技术集成到一个统一的集成化网络安全解决方案之中等主题。

此认证报考要求：1、申请者应具备至少五年IT行业工作经验，其中需3年信息安全相关经验和1年云计算相关经验；2、持有CCSK证书可免一年工作经验；3、持有CISSP认证的申请者可以直接考取CCSP认证，无其他要求。其培训费在8000元左右，考试费为599美金。

4、国际信息隐私认证（CIPP）由国际隐私专业人员协会（IAPP）提供，十多年来，CIPP一直被公认为隐私业务的世界级杰出证书。

CIPP/A专注于亚洲隐私，并教授管理亚洲顶级市场数据使用、收集和传输的法律。

CIPP/C教授联邦法律，如《隐私法》、PIPEDA和CASL、主要省级法规以及加拿大隐私实践中的新问题。

CIPP/E包括泛欧和国家数据保护法、关键隐私术语和有关个人数据保护和跨境数据流的实用概念。

CIPP/US为隐私专业人士提供了在联邦、州和地方隐私法规的法律网络中管理合规性的知识，并将监管罚款和品牌损害的风险降至最低。

CIPP认证考试费用为550美元，每两年的维护费为250美元。IAPP提供免费资源，但培训合作伙伴提供的培训课程可能需要花费1995美元，IAPP提供的一些课程大约为1495美元。此认证国内需要登陆官网才能报考。

其他还有很多选项，包括项目管理和ISO课程，如ISO/IEC（信息安全管理）27001。

网络、书籍和播客也是CISO的知识来源。Kordia的Walton表示，她在网络安全方面经历的最宝贵的发展经验，是与其他信息安全人员合作并互相学习。除此之外，阅读、收听播客和参加会议也一样重要。

国内知名安全专家胡凯健也有同样的建议，他曾介绍过“一万小时定律”，就是在某一领域沉浸式学习研究约一万个小时（大概是5年时间），基本就能成为这个领域的专家。他解释说，因为天才总是少数的，常人只有付出更多的努力和时间才能换来相应的成就。

胡凯健每天早晨都会打开IAPP（International Association of Privacy Professionals）订阅邮件，浏览全球数据隐私合规动态，这是他的日常。

国内外安全专家都认为，对于那些希望获得高职位的人群来说，网络是一个强大的来源，而与同行交谈将有助于确定感兴趣的主题和行业，并可以在任何特定时间段里沟通出现阶段最需要什么或当前招聘人员需要怎样的职能需求，等等。

在安全行业里，到底哪些认证是必要的，学习它们时又需要注意哪些关键点，国内安全专家如此建议。

某科技公司安全专家朱士贺表示，从职业规划来看，安全行业可分为技术研究和合规审计两个大类方向，由于技术研究领域安全证书不能够很好体现一个人的实战能力，所以这个在这个领域里，用人单位和个人需求对证书的需求不是很强，仅仅会作为一个参考项；但是在合规审计领域里，安全证书就很多了，知识面覆盖也广，虽然一样不能完美展现一个人的实操能力，但如果持有某个专业证书，有助于说明了解这个领域的知识体系，可作为加分项。所以，对安全从业者来说，既然多学习是宗旨，那考取证书也可以理所当然的事。

朱士贺指出，资质证书分国内认证和国际认证，比如CISP系列和CISSP等，但证书不等于能力，如果有计划考取证书，建议安全从业人员可以根据自身实际需要出发，结合工作和公司福利制度来选择。

“考取证书分两种需求驱动，一种是公司要求或者项目需要，另一种是自我规划。针对第一种情况，可根据公司或项目时间要求，谨慎考虑是自我学习还是报培训机构进行考前辅导和快速入门，这确实有助于安全人员通过考试，加速获证时效。这类情况一般公司和项目上会有报销支持，能够缓解承担考证相关费用的压力。”

针对第二种情况，朱士贺表示，可根据规划有计划地安排自我学习时间和进度，这种情况一般没有外部需求压力和时限要求，可以结合自己碎片化时间来学习提升；但朱士贺并不建议自费花钱报辅导机构，如果条件允许的话，他建议可结合公司福利制度进行考证。朱士贺说，可以先自主进行体系化学习相关资料，当知识掌握并了解了考试规则制度后，再按自我规划报名抽时间参加考试，争取一次过。

最后朱士贺强调：“提升自己总是没错的，坚持体系化学习更是有助于职业发展和获得职场竞争力，当获得一个证书的时候，是你的职业生涯的里程碑，而这不是终点和目的。”

而某上市公司安全专家郭建林言简意赅，他认为cissp可以考，因为知识面全。同时他表示，安全是一个技术面比较宽的职业，所以建议考取这种体系化的认证。至于该怎么考，郭建林说：“考证方面，其实国内已经很成熟了，题库什么的都有，主要是需要大家有耐心，因为cissp培训周期非常长，你只有不断的努力、奋斗下去，才能将此证拿到手。”

同样，业内专家陈世翔建议安全从业人员可以考取CCRC-PIP，CCRC-DSO证书，这些证书有助于定位于个人信息保护和数据安全相关岗位人员，并有助于提升政策法规标准的掌握、自身履职能力提升、提升自身职业素养等。在该如何考取这些证书方面，陈世翔指出：一是学习相关法律法规标准；二是紧跟国际国际监管态势；三是积极掌握产业前沿。

而等级保护资深专家毕马宁表示，网络安全从业人员，在大家的眼里都是专业人士，既然是专业人士就需要有东西来证明，其中就有认证或证书。

他指出，作为网络安全专业的认证或证书目前大致有两类，一是资格认证；二是能力证书。资格认证由于行政许可的原因非常少，比如等级测评师。在这类认证中现在有很多是“伪”资格认证，即貌似是资格认证，其实就是学习经历证明，获得这类证书并不代表就有了进入某个领域门槛的许可，因为该领域额本身就没设门槛。

第二类能力证书就比较多了，通过证书获得过程的学习，证书持有者具备了相应领域的知识和储备，或能具备相应领域或专业能力的“基础”，在这类证书里同样存在大量只是证明学习经历的证书，而这种学习经历证明是无法证明是否具备真正能力的。

而随着我国数字化转型深入发展，数字经济时代的到来，我国网络安全无论在政策面、产业界、投资圈还是市场端，都在发生着巨变。与早些年封闭性、碎片化、合规驱动、供需失衡的环境不同，新时期的网络安全，表现得越来越业务驱动、供需交融，越来越凸显其场景化、实战性之特点，这就要求网络安全从业人员在具备多学科知识储备的基础上，能够面对不同的应用场景有针对性的设计出可实操的安全能力保障方案。

“在这种需求的驱动下，我们又看到现在有一种新的培训形式，就是从认知趋同入手，采用思维模式训练+宏观体系规划+业务场景实操等方法融合，激发受训者系统性能力提升，但目前此类证书基本是民间或行业的能力证明。”