网络安全专业人员都明白认证的重要性,除了技术面试之外,评估一个人能力最快的方法就是查看他取得的认证。但安全专业人士往往因为日常工作繁忙而推迟获取认证。
热门安全认证的价值不仅仅是取得就业机会和岗位晋升的敲门砖,而且还直接体现在薪酬溢价上。Foote Partners在其2024年第二季度“IT技能需求与薪酬趋势报告”中统计了各种IT认证带来的薪酬提升幅度,研究显示,IT安全认证在当下的市场环境中正带来丰厚回报,因为网络安全技能的需求正在不断增长。
Foote Partners的数据显示,在所有IT安全认证中,有12项认证的市场价值目前正处于峰值,拥有这些认证的IT专业人员的平均薪酬涨幅为10%至11%,高于没有这些认证的同行。值得一提的是,这些认证的薪酬回报仍处于上升期,与六个月前相比,其市场价值增长了10%至43%。
两位数的薪酬增长并非小幅提升,尤其考虑到其中一些认证(例如ISC2的安全管理专业人士)本身就针对高薪领导职位。对于寻求更快职业发展、更好职位机会的IT专业人士来说,获取热门网络安全认证的收益是显而易见的。
以下是FootePartners报告评估的目前市场价值和薪酬溢价增速最快的12个IT安全认证(排名不分先后):
认证云安全专业人士ISC2-CCSP(Certified Cloud Security Professional)
- 认证机构:国际信息系统安全认证联盟(International Information System Security Certification Consortium)
- 考试内容:涵盖云计算的六个领域,包括云架构、数据安全、基础设施安全、应用程序安全、安全运营,甚至还有法律、风险和合规性方面的内容。
- 适用对象:该认证非常适合云计算专家,例如云架构师、工程师、顾问和管理员,任务是保护组织在云中的关键资产。
- 考试形式:该认证为选择题考试,时长3小时,共有125道题。
- 持证要求:拥有ISC2-CCSP的专业人士必须每三年通过学习60个安全架构方面的继续教育学分来更新认证。
- 价值增幅:22%
认证取证计算机审查员CFCE(Certified Forensic Computer Examiner)
- 认证机构:国际计算机调查专家协会(International Association of Computer Investigative Specialists)
- 考试形式:CFCE项目因其独特的两部分结构而引人注目,专业人士必须首先通过同行评审,由指定的指导员指导他们完成四个实践问题,整个过程最多可能需要一个月的时间。同行评审完成后,专业人士将进入认证阶段,该阶段本身又细分为硬盘实战问题和测试一般取证知识的100道题考试(包括是非题、填空题、多选题和匹配题)。专业人士需要在44天内完成CFCE的第二阶段。
- 价值增幅:10%
GIAC逆向工程恶意软件认证GREM(GIAC Reverse Engineering Malware Certification)
- 认证机构:GIAC
- 考试内容:涵盖恶意软件分析(包括恶意可执行文件、代码、文档文件和可执行文件)和恶意软件特征。
- 适用对象:GREM针对需要通过事件响应、取证检查和Windows系统管理来检查或逆向工程恶意软件以保护组织的技术人员。该认证的目标受众包括审计师、安全经理和顾问以及网络管理员。
- 考试形式:为了获得GREM认证,专业人士必须通过一项由经过监控的66至75道题组成的考试,考试时长为2至3小时。
- 持证要求:为了保持GREM认证的有效性,专业人士必须在四年内获得36个继续教育学分。
- 价值增幅:43%
认证信息隐私经理CIPM(Certified Information Privacy Manager)
- 认证机构:国际隐私专业人士协会(IAPP)
- 考试内容:教授专业人士如何开发隐私计划框架、创建隐私团队以及在整个隐私计划运营生命周期内进行协作和衡量绩效。通过获得CIPM认证,专业人士可以成为信息隐私经理或担任其他涉及隐私计划管理的角色。
- 考试形式:IAPP建议在任何可用的学习选项中至少花30个小时学习考试。多项选择题考试由90道题组成,考试时间最多为150分钟。
- 持证要求:获得CIPM认证后,专业人士必须每两年为期一年的认证期限获得20个继续隐私教育学分。
- 价值增幅:25%
认证信息安全经理CISM(Certified Information Security Manager)
- 认证机构:信息系统审计和控制协会(ISACA)
- 适用对象:针对IT安全经理,特别是那些希望晋升到领导职位的经理。
- 考试内容:该认证侧重于四个关键领域:信息安全风险管理、信息安全治理、事件管理和信息安全计划。值得注意的是,课程还包括人工智能和区块链等前沿技术,因此IT专业人士可以保护他们的组织免受不断发展的威胁。
- 考试形式:考试由150道多项选择题组成,专业人士有4小时的时间完成考试。
- 持证要求:与CDPSE一样,专业人士必须通过继续教育学分来维持CISM认证:每年20个学分,三年内120个学分。
- 价值增幅:10%
信息系统安全工程专业人士ISSEP(InfoSys Security Engineering Professional)
- 认证机构:ISC2提供的信息系统安全工程专业人士(ISSEP)认证与美国国家安全局(NSA)合作设计。
- 考试内容:ISSEP计划围绕五个领域展开:系统安全工程基础、风险管理、安全规划和设计、系统实施、验证和验证以及安全运营、变更管理和处置。
- 适用对象:该计划针对高级系统工程师、信息保证官和高级安全分析师等专业人士。
- 考试形式:多项选择题考试由125道题组成,专业人士有3小时的时间完成考试。
- 持证要求:通过考试后,专业人士必须每3年通过60个安全工程方面的继续教育学分来重新认证。
- 价值增幅:10%
信息系统安全管理专业人士ISSMP(Info Sys Security Management Professional)
- 认证机构:ISC2
- 适用对象:ISSMP针对首席信息官、首席安全官和首席技术官等领导者,
- 考试内容:侧重于信息安全计划的治理、管理和领导。领导者将掌握六个领域,包括领导力和业务管理等软技能以及系统生命周期管理等硬技能。
- 考试形式:多项选择题考试由125道题组成,考试时间为3小时。
- 持证要求:专业人士必须通过每3年获得60个特定于安全管理的继续教育学分来重新认证ISSMP。
- 价值增幅:10%
思科认证网络运营专业人士CCCP(Cisco Certified Cyber Ops Professional)
- 认证机构:思科
- 考试内容:安全基础知识、技术、流程和自动化方面的能力以防止网络攻击、领导事件响应和处理云安全事件。
- 适用对象:大多数候选人需要拥有3-5年的企业网络经验。获得此认证的专业人士可以成为网络安全工程师、网络安全调查员和事件经理。
- 持证要求:与CCNP一样,思科认证网络运营专业人士认证有效期为三年,可以通过继续教育或重考来续期。
- 价值增幅:25%
信息系统安全架构专业人士ISSAP(InfoSysSecurityArchitectureProfessional)
- 认证机构:ISC2
- 适用对象:适合系统架构师、业务分析师以及系统和网络设计师等角色的专业人士。
- 考试内容:该认证侧重于安全架构,并涵盖六个领域,包括从安全运营架构和基础设施安全到身份和访问管理架构的所有内容。
- 持证要求:ISSAP考试与ISC2的其他考试形式相同,对于已经获得该认证的专业人士来说,续签流程也是相同的。
- 价值增幅:25%
认证数据隐私解决方案工程师CDPSE(Certified Data Privacy Solutions Engineer)
- 认证机构:ISACA
- 考试内容:隐私治理、隐私架构以及部署全面隐私方案相关的数据生命周期工作。
- 持证要求:获得CDPSE认证后,专业人士必须每年获得20个继续专业教育学分,并在三年内至少获得120个学分才能维持认证。
- 价值增幅:11%
EC-Council认证道德黑客CEH(EC-Council Certified Ethical Hacker)
- 认证机构:EC-Council
- 考试内容:专业人士将学习跨越20个模块的道德黑客基础知识,从信息收集一直到云计算和密码学。
- 适用对象:EC-Council建议专业人士至少拥有两年IT安全经验;没有经验的人可以参加其免费的网络安全基础知识系列课程进行准备。在CEH中,专业人士将学习如何执行道德黑客的各个阶段:侦察、扫描、获取和保持访问以及掩盖痕迹。该认证非常适合可以从道德黑客中受益的网络专业人员,包括网络安全审计师、警报分析师、解决方案架构师等等。
- 考试形式:CEH考试由125道多项选择题和基于不同场景的实践考试组成。
- 价值增幅:11%
思科认证网络专业人士安全认证CCNPS(Cisco Certified Network Professional Security)
- 认证机构:思科
- 考试内容:涵盖安全概念和架构、用户和设备安全、网络安全、保障和云应用程序管理。
- 适用对象:虽然CCNP没有先决条件,但思科的职业级认证(例如CCNP)一般要求学员已经取得助理级认证。思科建议大多数CCNP考生拥有3-5年的网络安全经验。通过展示此认证的专业知识,毕业生可以胜任许多角色,包括安全工程师、安全分析师和网络安全工程师。
- 持证要求:此认证有效期为三年,可以通过在证书过期前重考或参加继续教育学分来续期。
- 价值增幅:38%
