CISSP是paper security？

原本是要多找cpe的來源，卻找到一個blog
http://taosecurity.blogspot.com/2005/06/cissp-any-value-few-of-you-wrote-me.html
討論，是否cissp是paper security
其中的討論相當的精采
blog作者本身也相當資深，是hacking exposed的專題作者之一，還出過其他書。

其中的重點在於，作者認為，cissp不該被認為是security的代名詞，唯一認證。另外，isc square 的認證方式有點問題，甚至2002年有個十七歲少年也獲得cissp（是誰endorse，又是誰audit的？）
在回文中有一位自稱是網路主管的認為只要是履歷上說他有cissp的人，他一概認為是菜鳥。菜鳥才需要透過考認證來獲得人事單位的青睞
其實這些人說的都是事實，但是也都是部分事實，cissp不該被過度擴大，但是他有沒有變成paper那麼嚴重？

其中有個dana就說了，technical的事情，沒有人能夠全cover，但是cissp至少能夠找到這方面的專家，他自己不見得要是專家。沒有人能 專到天荒地老的。不能因為因為一個technical上的事情一個cissp不懂，就說這些cissp都是paper。不能因為一件事否定一整個人，不能 因為一個人就否定所有通過cissp的人

當然，一個考試，一定有人想辦法tweak，盡量少花點力氣，最算沒那麼多實際經驗，也要花最少的力氣去給他pass。這方面，isc square 要多釘緊一點，錢要賺，新認證要推，audit也要做。

我自己念cissp的感想則是，這不只是個technician的view，這是個leader的view，甚至有時候是企業主的view。以前總以technician的想法在告訴企業主我們的想法，難怪沒有說服力。老闆是technician嗎？
比如說，以前會告訴企業主，該換新伺服器了，機器舊了，零件可能出問題，伺服器也被入侵裝了sniffer，一定要有另外一台新的機器來代替。

企業主說，這很嚴重嗎？

現在我就知道，我說的不是企業主的語言。我必須告訴他，我們的伺服器的風險有多大，金額有多高，停機一天的結果是多少，停機三天的結果是多少。然後，解決的方式有多少種，每一種可以降低風險多少，換算成多少錢。由於被sniffer了，玩本公司遊戲的客戶資料全被竊取，客戶若求償，有那些法條對我們不利，對本公司商譽有多少損失，以上請核示。

現在我也知道，change management是多麼重要。以前只是從實務上知道，直接在production的機器上做變更，冒的風險有多大。可是，不做，風險更大，左右是一 刀，先切比較好。但是，當人家怪罪於你的時候，講不出個道理來。人家可以罵你為什麼這麼做，也可以罵你為什麼知道問題又不做，疲於奔命，沒有個中心思想在 那裡，就是沒有說服力。於是人家打了你左臉，只能把又臉送上去，其他的全交給上帝。考了cissp把我多年來的問題都提出來了，而且給了個系統的整體概念，有了架構，說服力就有了。