问：我希望获得一个安全认证。我有六年的工作经验，期间我曾参与了SIM（Subscriber Identity Module，用户身份识别模块）卡等安全产品的部署、ISS（International Space Station，国际空间站）产品的开发以及具有RAC（real application clusters，真正应用集群）技术的Oracle等数据库产品的研发。我是否应该考虑去获得CISSP（Certified Information System Security Professional，国际注册信息系统安全专家）、CISM（Certified Information Security Manager，注册信息安全经理人）或CISA（Certified Information Security Auditor,注册信息安全审核员）的认证呢？

　　答：当你考虑参加安全认证时，你首先应该明确你的目的是什么。你是不是想通过认证来让自己更具有竞争力，让自己的工资得到提升，或者让自己邂逅新的机会？如果是的话，我不确定是否有认证考试能让你达到这些目的。有些公司比较倾向于这些认证，而有些则不。如果你的长期职业规划中包含了这么一项，那就是受雇于某一个公司并在该公司中得到长足发展，那么我建议你去花点时间了解一下该公司是否看重认证，看重哪个认证。如果你不理会这些，那么获得CISSP认证或其他认证将不能保证你会快乐并且富有。一张证书不能让你找到工作或者帮你按揭付款，要想获得这些，你必须得靠你自己。

　　在另一方面，如果你想证明自己已经具有一定程度的能力（即让你看起来具有这样的能力），那么认证能帮你做到，它能帮你传递你所具有的基本知识的信息。就我个人而言，以上这些就是我对所有认证的看法（顺便说一下，我没有通过任何的认证考试）。你必须认识到通过认证并不意味着在实施项目上你能更胜任、更举有竞争力。

　　根据比较和对比各种认证的结果，（ISC）2的CISSP认证在各种认证中口碑最好，因为大部分人都知道该认证是什么样的认证以及通过该认证意味着什么。

　　CISA和CISM是ISACA（Information Systems Audit and Control Association，国际信息系统审计协会 ）面向安全的两个认证，这两个认证不是很有名，但是值得重视。CISA认证是面向那些正打算进入审计行业发展的人们。所以，假如你打算离开安全组而想担负起审计的职能（作为一名内部审计师或外部审计师），那么CISA是一个不错的选择。

　　CISM认证与CISSP认证比较相似，我猜想可能是因为ISACA不想把所有认证考试业务都给（ISC）2，所以它创建了自己的认证考试。我感觉CISM认证比CISSP认证更难通过，但到最后我仍不能确定这是否关系你以后的发展。因为归根结底是你们想要通过认证达到什么样的目的。