很多人考过CISSP後，不但没有升官、也没有加薪；甚至没有得到公司应有的重视，反而平白增加不少资安相关的工作负担，因此感叹CISSP在台湾不被重视。想要换工作，却发现雇主都是猴园主人，只拿得出香蕉。更伤人的是，没有人知道什麽是CISSP! 回过头，才惊觉CISSP只是自己跟资安圈内人自high的一场游戏...

事实是这样吗? 其实不然。CISSP在台湾受重视的程度虽然跟国外相比差异甚远，但会有这种落差的根本原因，我认为是企业对CISSP的认知不足，以及证照持有者对CISSP的定位错误。

CISSP的认知不足

由於过去企业普遍不重视资安，即使稍有资安概念的企业也大多由IT部门来主导资安事务，导致资安被视为技术议题。当资安缺乏业务或商业思维(business mindset)，就无法得到经营高层的重视，资安人员在企业自然无法取得足够的资源及展现应有的绩效。再加上资安理论未臻完善，资安依赖从实务来累积经验，从而披上一门神秘的色彩。尤其是媒体对於骇客的夸张诠释，让一般大众对资安产生刻版印象，一谈到资安就想到网路、技术、钓鱼、骇客、入侵、昵名者、网军等。

除了一般大众的认知不足，即使资讯人员或资安的从业人员，对於资安的认知也相当局限。何谓资安? 何谓风险? 何谓威胁? 光是沟通的基本用语都定义不清，如何能有效地跟雇主及一般大众沟通，了解他们的安全需求，进而提出解决方案，甚至将资安发展成一门专业呢?

以上认知不足的现象充分的反应在台湾CISSP人数远远落後於亚洲其它国家的冰冷的统计数字上! 因为企业不重视资安，以及CISSP考试的成本及门槛较高，导致投资CISSP证照的实质效益不足，所以只有少数追求自我成就的资安人员愿意投资在CISSP这张证照。

解决CISSP认知不足的问题，最积极的作法就是建立强大的CISSP社群！强大是指实力强、数量大! 取得CISSP资格虽不一定代表实力一定强，但却是一个让资安人员整体实力变强的好起点！然而，实力强，人数少也是功亏一篑！台湾至少需要1500位以上的CISSP，才能实质满足台湾的资安需求；CISSP人数够多，才能让CISSP资格成为基本门槛，也才能防止让厂商大玩借牌标案/绑标的游戏。让CISSP实质参与每个专案，才能真正提升台湾资安水准及建立资安专业。

此外，目前ISC2台北分会已在筹设阶段，明年可望成为ISC2的正式分会。台北分会的成立，将让CISSP在资安领域有更多贡献所学的空间，以及更大的影响力及话语权。

CISSP数大便是美、团结力量大！

CISSP的定位错误

CISSP题目不难！但准备CISSP很难！CISSP题目的难度，其实只是各专业领域的基本观念，甚至是常识。因此，对於资深人员而言，CISSP并不难，真正困难的是准备考试的专案管理及执行力。但对於刚好满足CISSP考试资格(相关工作经验满五年)的朋友，可能就是一个不小的挑战，因为它的考试范围相当广，必须要准备一段相当的时间才能考过。当时间拉愈长，读後面忘前面，若没有超强的意志力及有效的读书方法，事实上是相当困难的。

专业是指赖以为生的专门职业；对於资安专业人员，CISSP是基本要求。因此，从事资安的专业人员第一个要认清的无情现实是，CISSP"不是"黄金证照！它只是资安专业的 基准(baseline) 证照。说白了，CISSP是资安人员的基本门槛。当你把资安当作专业，为雇主提供专业服务，取得CISSP证照是最基本要求。在国外，CISSP就是这麽一回事；没有CISSP，你的资安工作将会不保，而不是你取得CISSP可以加薪多少。以美国为例，这个门槛直接写在美国国防部的DoD 8570.1政策指示中。

CISSP证照只是创造价值(value)的必要条件，而不是充分条件。你费尽千辛万苦考到的CISSP证照，不会马上让你从工程师或基层人员，摇身一变成为CISO资安长，也不会让你的薪资翻好几翻。你一开始能获得的，只有爆表的自信心与成就感，但这也是CISSP最可贵的价值。你的薪资及升迁，还是取决於你能对企业贡献的价值！

资深的资安人员，可以透过CISSP证明自己的专业，以节省说服客户的口舌时间。寻求学习更多的资安人员，CISSP则是一个建立资安专业的好起点！

结论

有的雇主只有香蕉，CISSP要先找对雇主，才不用反证自己不是猴子。
CISSP只有让台湾的社群够强大，市场才不会出现香蕉。
资安是一门专业，资安人员要有商业思维，才能帮公司创造价值、为自己加薪。
成败论英雄。

原始出处: 为什麽CISSP在台湾不被重视?