问：我为政府部门工作，而我对CISSP认证有一个问题，因为它并不能让一个人具备在政府部门的关键任务里工作的资格，它特别适用于企业环境。CISSP证明具备基本知识很有效，然而它不能证明你具有跨域解决方案（Cross Domain Solutions）的能力。为什么CISSP不包含DIACAP和其他信息安全保障（IA）问题，在这些方面有没有相关认证呢？

　　答：“我不能肯定地回答你为什么CISSP的涵盖范围并不包括信息安全保障和国防部信息安全保障认证和鉴定过程（DIACAP）（美国国防部8510.01p），因为我没有接触过该课程委员会的任何人，但如果让我去猜测的话，我会说是因为DIACAP仅限于美国国防部，而CISSP只是一般的高级管理认证。同样，我估计这也是为什么FISMA不包括在内的原因。因此，DIACAP和信息安全保障细节不属于CISSP考试和课程学习的范围。

　　明确的说，CISSP并不只适用于企业环境，而是适用于一般的安全管理。请记住，你所寻找的不是安全经理，而是审计员。你所遇到的问题与CISSP本身无关，而是与贵公司依靠获得了CISSP（也可能是CISM）认证的人员来执行他们未经训练的工作有关。抱怨CISSP认证人员不知道信息安全保障，就像抱怨MCSE认证人员不能配置路由器一样：这不应该是一件令人惊讶的事。

　　如果查看美国国防部8570.01m文件（这是国防部的一个标准，要求在美国国防部中从事安全工作的雇员具备认证），你就会在它的92页看到一个图表，该图表按认证对涉及的所有专业领域进行了分类。该图表显示了CND审计员作为GNSA或CISA推荐的认证。我快速检查了一下网络站点，没有发现针对DIACAP的认证。请记住，一旦理解了更高一级的标准，任何审计标准的细节都比较容易学习，所以我对其并不是特别的担心。

　　最后，请记住，证书并不能让任何人、在任何环境中都能具备从业的资格，而是培训和经验给予某人在特定环境下工作的资格。对于联邦政府来说这一点是特别重要的，因为它需要这些认证作为雇用条件的一部分。但这并不能保证该证书的持有人在任何情况下都能够胜任自己的工作。然而，这种情况又极大地激励了相关的机构去帮助人们更快的获得认证，而具有讽刺意味的是，这使得这些认证变得更加没有价值，因为不太胜任的人也可以得到它。