首先，国内信息安全还远没有到达过热的地步。相对美国近20的信息安全建设，已经形成法律、组织、产品、教育等信息安全相关的全面的体系。国内媒体的宣传虽然有时偏颇，但对促进全社会对信息安全问题的关注还是有不可替代的推进作用。关于企业如何正确的进行信息安全管理和建设，是需要专业人士形成共识，然后在实际工作中逐渐推进的，CISSP是其中很重要的中坚力量，至于某类技术是否还有生命力也只是一个细节问题，而安氏的裁员也只是某个公司的行为，其内在原因也与信息安全的总体发展无关。

　　 关于CISSP资质也绝对不会像某些证书一样泛滥。作为安全专业人士的资格证明，ISC2有多层关口控制CISSP的素质和考试的保密性。到现在为止，国内的CISSP们很好的体现了职业素质和专业精神，在新近的考试中也出现了为证书、高薪而取巧的考生，根据我的观察，恐怕他们连考试这一道门也通不过。而考试后的endorsment是又一次对资格的检查，而抽查的过程也是极其严格的。作为考题的保密性，相信参加过考试的都对那些要签署的保密文件的内容还是记忆犹新吧，相信一个安全工作者，谁也不乐意拿自己的声誉去开玩笑。至于某些模拟软件是否就是真题，availabal刚通过考试，也作过测试题，恐怕他的反应也说明了问题吧：）

　　 关于CISA和CISSP的差异，绝对不是以参加考试的成本和机会来划分的。厂商的认证教育一般隶属与市场部门管理，证书的泛滥，对厂商而言，犹如微软视盗版的心态。CISA和CISSP都是由第三方专业机构组织的专业人员资质认证，这和厂商的认证有很大的不同。以公司的组织结构为例，CISSP针对是安全管理部门人员，CISA针对审计或品质管理部门，两者有角度的差异而无高下优劣之分。鉴于国内安全发展的现状，恐怕更重要的是集团企业首先建立安全部本，形成相应的制度和流程，其次才是审计部门根据相应的制度进行审计。

　　 关于考证的挑战和价值的问题，已经获得资质的人员可以说形成一个共识：CISSP和CISA这样专业资质的考试最大的挑战在于你要在繁忙的工作中抽出时间阅读大量的资料，补充你整体思想或工作经验上的不足，系统化你的知识体系。价值在于通过考核后的自信和将知识运用到工作中的成就感。

　　 再次奉劝立志与信心安全的朋友，不要纠缠于所谓证书含金量的问题，信息安全是一个涵盖范围广阔的大系统，涉及到密码学、网络协议、安全模型等很多的理论基础知识和风险评估、日常运营、审计等管理经验，成为一名合格的信息安全工作者，不仅需要兴趣和爱好，更需要扎实的功底，需要刻苦的努力。