Ik heb inderdaad met dezelfde overweging rondgelopen.
Nu heb ik eerst besloten mijn CISA te halen en daarna CISSP.
De keuze voor CISSP heb ik gemaakt omdat SSCP eigenlijk het kleine broertje is.

Ik heb 't andersom gedaan - eerst CISSP (afgelopen december) en ga komend jaar CISA doen. CISSP leek me iets technischer en daarom leuker om te doen. Wat ik heb gehoord van collega's over CISA is dat de vraagstelling tijdens het examen heel erg vaag is, zodat je aan het einde van het examen geen idee hebt of je nou bent geslaagd of gezakt.

Overigens heb ik vandaag het Certified Ethical Hacker examen gehaald. Achteraf gezien niet de moeite waard - te oppervlakkig waar ik meer diepgang had gehoopt. Had ik nou maar die tijd in CISA gestoken ;)

Hugo, ik ben security officer bij een grote organisatie (7000 medewerkers). In de sollicitatieprocedure werd om zowel CISSP als CISA gevraagd. Jouw punt is dus niet altijd van toepassing. Daarnaast leer je bij de CISSP cursus om in ieder geval verder te kijken dan firewall, antivirus en encryptie.

Als ik jou was zou ik gelijk CISSP doen. Heb ikzelf ook gedaan, was een behoorlijke klus. Daarna heb ik CISA gedaan, was met de CISSP-kennis vrij eenvoudig te halen.

Ook bij een interne functie is het zeker goed om (aantoonbare) kwalificaties te hebben voor die functie. Het hebben of halen van relevante certificaten kan dan ook zeker een deel zijn van een interne carriere ladder, of om uberhaupt in aanmerking te komen voor de functie(s). Bovendien onderstreep je met certifiicaties dat je echt ambitie hebt, en niet alleen ergens met een redelijke baangarantie onder dak probeert te komen.

Ook wanneer je als bedrijf security officer met leveranciers (of externe consultants) om de tafel zit is het een voordeel om vergelijkbare papieren te hebben.
Een vrij groot aantal van de security officers dat ik ken,ook in vaste dienst van een bedrijf, heeft dan ook (bv) CISSP .

Kortom, zeker in de vroege fase van een (IT) carriere, zowel vast bij een bedrijf en als consultant zijn certificeringen m.i. een belangrijk pluspunt op een CV.

De discussie welke certificering voor welk soort functie meer of minder nuttig is, is een andere, maar junioren zitten vrijwel nooit in de positie om terecht te kunnen zeggen "dat voegt voor mij niets toe" (of 'xyz stelt niets voor' . Dan zou mijn antwoord altijd zijn : Mooi, ga het dan ff halen, morgen examentje voor je boeken , kop jij 'm even in en praten we verder ? )

Zo ver ik begrepen had, is zo;n 5 jaar werk ervaring nodig om CISSP te kunnen certificeren.

Ik ben rechtstreeks voor CISSP gegaan via zelfstudie. Dan ISO 27001 LI/LA en ISO 27005 RM.
CISM zal het volgende worden.

@JohanLoos Mag ik vragen hoe jij dat hebt aangepakt? Zelfstudie lijkt mij ook wel wat.

Heb zelf Unix (6x), CISA, RE en GSEC certificeringen (in die volgorde, na bedrijfsgerichte vooropleiding). Unix was echt tough. CISA en GSEC bleken relatief eenvoudig. GSEC boeken geven aan dat de inhoud tevens CISSP dekt. Misschien dat ik dat er ook nog even bij doe. Enige echte eye-opener voor mij was de postdoc IT-auditing opleiding, als opmaat voor RE. Die helpt je daadwerkelijk na te denken over zinnige IT. CISA kun je met een weekje studeren halen. RE niet. CISSP kun je ook in week halen als je technische vooropleiding hebt.

Een mdw van Madison Gurkha heeft recent (vorige jaar?) een vergelijking van verschillende certificeringen gemaakt. Ben ik het wel mee eens. CISSP is in NL bekender, maar de SANS trajecten (met GIAC certificeringen) zijn beter!

Succes met je keuze. Laat je dat nog ff weten?

enig idee of die publicatie van vergelijking nog ergens online staat want ik kon het niet vinden!

Dat waag ik te betwijfelen. Ik heb genoeg CISSP cursisten gehad met een technische vooropleiding of technisch functieprofiel die na zich ingelezen te hebben in de stof en een week intensief cursus volgen niet klaar waren voor het succesvol afronden van het examen. En dan heb ik het niet over dommeriken die vanuit hun leidinggevenden verplicht waren om het CISSP certificaat te behalen. Het is simpelweg veel stof om door te nemen over van alles en nog wat waar je wellicht weinig tot niet mee te maken krijgt of hebt gekregen in de praktijk, en waarbij de manier van vragen stellen door (ISC)2 en de duur van het examen ook niet echt helpen om CISSP even binnen te tikken.

Overigens vind ik het wel een aardige opmerking van Hugo aangaande het nut en de noodzaak van CISSP/ SSCP. Wat denk je met het papiertje te bereiken? Heb je het nodig? Waarom CISSP en niet GIAC? Wat is nuttig voor je werk? Is globale productonafhankelijke kennis van security concepten belangrijker dan productspecifieke (firewall, IDS, identity management, ...) security kennis? Wil je je richten op de meer management manier van vragen stellen zoals bij CISM of CISSP, of wil je een andere kant op? Prima om je op CISSP of SSCP te richten, maar doe het wel voor de juiste redenen.

Succes met je keuze en het leertraject dat je je in 2013 op de hals neemt.