Certification 與 Certificate ,你的資安證照是證照嗎?還是一個證明?
在資安產業中專案投標或是個人履歷上,常常會寫某人有「證照」或「上課證明」,但這兩個在通用、大眾普遍認知的定義上有什麼差別呢 ? 這不是一篇英文正確單字探討,而是想聊一下在資安領域中,對 Certification 與 Certificate 是否在使用上有個共識與想法。
我為什麼想寫這篇比較
這個議題我在我的粉專發過,有各種不同的看法和解釋,好像也沒有太多標準答案,只是中文全部都用證照這個詞,很重要嗎 ?
重不重要這個因人而異,可以說我很無聊幹嘛去區分這些?這也沒錯,就只是在資安上我們常常會講「定義」,例如「風險」的定義依據 ISO 31000 為 「影響目標達成的不確定因素」,那 Certification 呢 ? Certificate 呢?本篇就只是想探討一下差異,比較一下廣度還有深度,而不是聊英文單字,也不是學術探討,所以看完這篇可能對你職涯沒什麼幫助 XD
我想具有公信力的證照是展現具有其能力或知識的一個方法,不精確的來講也有一種保證 (Assurance)的感覺,就乙方來說是展現你專業能力的一種,對甲方來說是確保專案品質的手段之一,在乎專案人員的能力,資格或是成就是絕對必要的。
至於想聊這個主題的起頭有兩個點 ,第一個是 ISC2 在探討 CCSK 與 CCSP 兩張雲端的考試時,提出的差異性:
A certification recognizes a candidate’s knowledge, skills and abilities typically as framed by a job role. A certificate scope is narrower, and only provides proof of a training course completion.
A certification grants a candidate access to a membership organization, and almost always requires an annual continuing professional education (CPE) commitment to maintain the certification. But a certificate does not often associate one with any membership organization, and the body of knowledge gained does not evolve over time or require a CPE.
Certification 認可候選人的知識、技能和能力,通常由工作角色構成。Certificate 範圍較窄,僅提供培訓課程完成的證明。
Certification 授予候選人訪問會員組織的許可權,並且幾乎總是需要年度繼續專業教育 (CPE) 承諾來維護認證。但是,Certificate 通常不會與任何會員組織相關聯,並且所獲得的知識體系不會隨著時間的推移而發展或需要CPE。
大部分純資安的 Certification 與 Certificate 都是遵循這個模式運作,但也有例外就是,像是 OSCP 就不需要 CPE 維護,但算 Certification。
第二個是資安從業者去上的 ISO 27001 LA / ISO 27701 LA / ISO 27017 LA / ISO 27018 LA 等不算是證照 (Certification),他是一個受訓五天後的證明 (Certificate),完成一個課程或是計劃而受頒的文件證明。如果今天講的是你具有證照 (Certification),認證通常需要專業知識的廣度和深度,還常還要在該領域已經符合一些經驗或是限制條件,ISO 27001 LA 還要去登錄你的稽核員資格、繳交年費並持續維持 CPE/CDP 學分,才能真正變成「稽核員」這樣比較有辦法符合正常我們普遍所認知的 Certification 。
所以真的對稽核有興趣的,還是會建議去學習 CISA 國際電腦稽核師的證照,雖然稽核需要實戰來累積經驗,但 CISA 學到的基礎知識對於後續學習實戰稽核的底子幫助很大,上五天的 ISO 課程可以入門瞭解很基本的概念,但離稽核還差距很大,稽核對該領域有相當的知識水平才有辦法勝任,我們需要了解很多資訊系統 Best Practiice 與 Domain Knowhow ,CISA 除了要繳會費以外,還需要 3 年 120 學分的 CPE 維護,同樣也比較符合 Certification 認知。
就以上兩個範例來說,通過具有公信力的組織所出的 Certification ,具有相當最低水平知識,專業這件事無法單看證照判斷,最起碼你聽過名詞不會雞同鴨講,能夠有共通語言和該行的基本常識。
我這邊也自薦(自產自銷)我的另一篇文章,我真的需要考證照嗎? 考證照對就業找工作會有幫助嗎? 一篇考證照的反思與效益分析,有牌不代表你就超級厲害,但可以讓你了解自己還缺乏什麼。
學稽核的延伸閱讀:
延伸閱讀 : 我真的需要考證照嗎? 考證照對就業找工作會有幫助嗎? 一篇考證照的反思與效益分析
ISACA
除了 ISC2 ,ISACA 在網站上也有區分 Certification 與 Certificates ,常聽到的 CISA、CISM 等都歸類在 Certification,而 COBIT 與 CCAK 就屬於 Certificates ,可以點進 ISACA Certifications | Earn IT Credentials | ISACA 做比較。
登入後的管理介面也有區分 Certification 與 Certificates ,因為 Certification 需要維護 CPE ,但我 Certificates 是空的,我也不知道顯示方式是怎麼樣。
EC-Council
另一家台灣夯到不行的EC-Council來看,我用 SOC Analyst 為範例,看起來是使用 Certification 為主,編號的英文寫 Certification Number ,需要維護學分。
TAF
我的 ISO 17025 的 Certificate ,是短期學習課程後頒發,不用維護學分。
ISO 系列
SGS 發的 ISO 27001 LA Certificate 編號的英文是 Certificate Number,也有寫上 Study Courses ,不用維護。
BSI 發的同樣也是會寫Certificate Number,不用維護學分。
ISC2
CISSP 發下來的那張紙用 Certification Requirement ,編號英文是 Certification Number,要維護學分。
Offensive Security
少數不用維護學分的 Certification,因為是全實戰的,合理。
VMware
Cisco
NSPA
網路封包分析的課程,上幾天課程後結束前做個簡單的測驗,編號的英文是 寫 Certificate Number,不用維護學分
Bruce (Wentz Wu)老師說明 :
- Certificate 是某個事件或事實的證明,如參加活動的證明、上課證明、結業證明或某項資格的證明。一般而言,Certificate 象徵達到基本門檻或具備入門級(entry level)的能力。
- Certification 通常是驗證某個東西或某項能力是否有達到特定標準。它是一個過程,結果通常也會頒發書面的證書來證明驗證的結果符合標準。在個人能力方面的 Certification, 除了書面考試,可能還會有實作考驗、學歷、工作經驗、當觀察員或專家背書等的要求,以證明其能力可以完成特定工作或任務,因此要求比 Certificate 高。
- Credential 則是比 Certification更高一級的成就肯定,通常是學校或學術界的學歷證明。
職涯及技術教育協會 (ACTE)
Bruce 老師提供:
ACTE 把證書(credential)分為certificate, certification, degree及license四種
Certificate — 證書是在成功完成短期學習課程後頒發的,通常是一年或更短時間,有時更長,主要是在公立或私立的兩年制高等教育機構、大學擴展課程或非學位授予的專上院校,如地區職業和技術教育學校。完成學習課程後,證書不需要任何進一步的操作來保留。
Certification — 表明對特定知識、技能或流程的掌握或能力,這些知識、技能或流程可以根據一套公認的標准進行衡量。這些與特定的教育計劃無關,但通常是通過與企業、貿易協會或其他行業團體合作對技能進行評估和驗證來授予的。獲得認證後,個人通常必須滿足持續的要求才能保持認證的有效性。
What_is_a_Credential_71417.pdf (acteonline.org)
Summary
綜合上述資料,大概可以知道 Certification 和 Certificate 的用法,雖然沒有絕對的答案,但大致上還是可以區分出差異,還是有所不同的,至於中文翻譯我就沒有太多著墨,口語上我還是習慣講證照 ( Certification )跟證明 (Certificate),總之中文不容易表達所有相對應的英文單字,還是乖乖用英文比較好。
要比較的話,Certificate 理論上會比 Certification 簡單,但這還要看各種不同的組織或考試會有不同,誰簡單誰難也不一定,像是 CCAK ( Certificate of Cloud Auditing Knowledge ) 難度也不低,搞不好都比準備 CISA 還難,而且大部分在資安領域的 Certification 是都要維護學分的,但如果拿 CISA 跟 ISO 27001 LA / ISO 27701 LA 等難度做比較,就會有明顯的差異,準備方式和考試模式都不同,持有人數差距也非常大,維護 CPE 是持續進修的專業表現之一,可以維護與你未來發展有關的證照就好,以我來說未來可能就不為去維護我的 Cisco 認證,因為要維護必須重考任一張 Cisco 證照,對我的專業領域來說並不是很必要。
最後,我不是英文語言專家,所以有許多不精準之處請多包涵,另外證照不維護的話就等於你沒有了這張 Certification,資安專案如果有要求人員資格,記得看一下證照到期沒,如果只是寫在履歷上我倒覺得還好。
我想把各種經驗寫出來做分享教學,希望把社群的分享風氣帶出來給大家。並期望之後有人也可以寫出不同的心得文,如果是自修同學對於申請考試和準備上有任何問題,可以透過 LinkedIn 交朋友與 Facebook 來聯絡我,能力範圍內盡量幫你解決(或是你想認識我出來喝杯咖啡也歡迎,我很喜歡多認識業界的朋友們交流,也真的不少人找我聊聊過了!)。
- 關於 Kuro 介紹、聯絡方式、文章分享(推薦透過此連結比較完整) :https://portaly.cc/kurohuang
- 其他聯絡方式 : https://kuronetwork.me/contact/
- 所有文章: https://kuronetwork.me/posts/
- LinkedIn: https://www.linkedin.com/in/kurohuang/
- 我做的資安貼圖 :
ISACA 考試延伸參考:
已取得(有付費的並持續更新)
- 2019.01 — Cisco Certified Network Associate : Routing and Switching (CCNA RS) (文化大學進修推廣部上課)
- 2019.11 — Network Security of Packet Analysis Course (NSPA)(重點整理)
- 2019.12 — EC-Council Certification Ethical Hacker (CEH) (心得)
- 2020.04 — Cisco Certified Network Professional: Enterprise (CCNP Enterprise)( Link )
- 2020.04 — VMware Certified Professional : Network Virtualization (VCP-NV)(心得點我)
- 2020.05 — Cisco Certified Network Professional : Security (CCNP Security )
- 2020.07 — Azure AZ-900 (心得點我)
- 2020.11 — EC-Council Certified Security Analyst (ECSA) & CPSA換證心得
2021 (心得連結在最後證照簡稱上)
- 2021.02 — Certified Threat Intelligence Analyst ( CTIA )
- 2021.04 — Certified Information Systems Auditor ( CISA )
- 2021.05 — EC-Council Certified SOC Analyst ( CSA )
- 2021.08 — Certified Information Systems Manager ( CISM )
- 2021.09 — Certified in Risk and Information Systems Control (CRISC)
- 2021.10 — Certified in the Governance of Enterprise IT (CGEIT)
2022 (心得連結在最後證照簡稱上)
- 2022.07 — Certified Information Systems Security Professional (CISSP)
- 2022.10 — Certified Data Privacy Solutions Engineer ( CDPSE )
- 2022.12.30 — Certified Cloud Security Professional ( CCSP)
- 2023.04 — EC-Council Certified Incident Handler ( ECIH)
