會員登入 網站導覽 留言版 設為首頁 回首頁   
  Email:
 
如欲取消訂閱電子報請來信(isaca@caa.org.tw)告知,我們將立即為您取消,謝謝!
電腦稽核協會
CISA     CISM     CGEIT     CRISC    

  

Certified Information Security Manager(CISM)國際資訊安全經理人認證

一、證照介紹

logo根據美國資訊安全知名廠商ISS(Internet Security Systems)一項統計,企業在2004年第一季所偵測到的安全事件比2003年第四季多出了84%,面對層出不窮的資安事件,光靠部署防火牆、網路入侵偵測等設備不足為恃,還需有效的資訊安全管理與規劃;因此國際資訊安全經理人(CISM®)主要著重在管理層面而非技術層面,並規定報考者至少要具備5年以上專業資訊系統安全相關工作經驗,其中須有3年以上的資安主管經驗。
ISACA以英文、日文、韓文與西班牙文四種語言在超過240個地區舉辦CISM考試。目前全球有超過21,300名專業人士持有CISM證照,而統計至2015年8月底,台灣持有CISM證照的人數為63位。此證照是提供有經驗之資訊安全經理人以及具有資訊安全管理職責的人員(只要是牽涉管理、設計、重視及/或評估企業資訊安全的人)一項專業之榮譽。

  • ISACA要提供資訊安全經理人認證的理由
    ISACA的名字反映出它的義務及所提供的產品,並不僅限於電腦系統稽核之專業人士,還包括相關對資訊系統控制的人員。在過去的20多年,ISACA率先針對電腦稽核師(CISA)進行認證,同時對電腦系統稽核師、資訊安全參與者及有關資訊安全管理的人員進行訓練。同時舉行一連串的會議,在業界獲得如CACS (資訊稽核, 控制和安全)的認同。這些課程每年在全世界針對不同領域的資訊專業人員提供訓練。在近年,ISACA 在所發行的期刊中,加強了其他資訊安全的控制與活動,同時針對擔任資訊安全管理工作的專業人員進行研究。由於眾多ISACA會員和CISA的需要,針對專職的資訊安全管理人員,於是ISACA 發展了CISM的專業認證。
  • CISM的認證與其他資訊安全認證的不同
    CISM不同於其他的資訊安全認證,在於它的經驗要求以及集中在資訊安全經理人工作上的執行。其他資訊安全認證重點在於特定的技術、作業平台或是產品資訊。或是針對資訊安全工作的前幾年工作。唯有CISM是針對資訊安全經理人,重點已經不再是個別的技術或者是技能,而是移轉到整個企業的資訊安全管理。CISM是針對管理並且監督企業的資訊安全的個人,許多人可能拿在其他領域都已經持有相關的認證。就因為集中在管理上的需要,以致工作經驗相對有其重要性,所以CISM要求最少要有3年資訊安全管理的經驗,而考試的內容也都集中在資訊安全經理人日常處理的工作上。
  • CISM的獨特性
    CISM在資訊安全管理的證照方面具有獨特,因為它被明確設計針對市場上從事資訊安全管理的人員。對資訊安全經理人而言,經驗的要求和CISM考試對於履行資訊安全的職責和責任相對重要。這些要求和知識範疇經過資訊安全專家及業界的領導者所驗證過,用來測量資訊安全經理人經驗及管理能力,並非一般的通識訓練。
  • CISM的工作領域分析的定義
    為了解資訊安全經理人需要執行那些工作以及工作的內容,ISACA組成了一個專案小組,針對業界精英、資訊安全專家就其工作內容加以分析,並將分析的結果作為考試認證的依據。由於工作領域定義的重要性,以及資訊安全專業人員工作內容的變化。ISACA目前也針對工作領域的劃分重新分析研究。除此之外,資訊系統安全協會,資訊安全論壇和ASIS國際組織一同參與研究。
  • CISM的認可
    • CIO雜誌、SC雜誌和Foote Partners research持續認同CISM是跟其他證照(credentiala)比較後,取得最高待遇的證照。
    • 證照雜誌2008年薪資調查(Certification Magazine’s 2008 salary survey)將CISM證照排名為待遇第三高的證照。
    • CISM被下列出版物認為是獨特的安全管理證照:
      SC Magazine、Information Security Magazine、CSO Magazine Online、Computerworld Today(Australia)、eWeek、Security Magazine (Brazil)、Cramsession.com。
    • CISM為2013年SC雜誌獎最佳專業認證計畫。

CISM考試每年舉行,考題為150題單選選擇題,範圍涵蓋從最新CISM工作實務分析中所建立的四個工作實務範疇。ISACA聘用著名的業界領導者、CISM各個工作實務範疇的專家和業界執業者來開發工作實務分析,並對其進行驗證。試題之設計主要在測試實務上的知識及經驗,並無絕對的答案,考生需選出相對「最佳」的答案。相關資訊請詳見ISACA網站說明:http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx

考試內容(工作實務範疇):

以下實務範疇和百分比表示考試中出題所占的比重。

  1. 資訊安全治理(24%) — 建立和維持資訊安全治理框架及支援流程以確保資訊安全策略與組織目標及目的一致,資訊風險被適當管理,計畫中的資源經負責地管理。
  2. 資訊風險管理(30%) — 管理資訊風險至可接受程度,以符合組織業務和需求。
  3. 資訊安全計畫開發與管理(27%) — 建立和管理資訊安全計畫以便和資訊安全策略結合。
  4. 資訊安全事故管理(19%) — 規劃、建置和管理可偵測、調查、回應及復原資安事件之能力,以降低業務衝擊。
詳細實務範疇,CISM Certification Job Practice

二、報名申請

從ISACA網站進行線上報名及刷卡付費。報名並繳費後的一個工作天內,報名者會收到ISACA寄發之「排定日期通知」email,內容包括認證考試、考試語種及如何排定考試日期等資訊,再依所提供之操作步驟登入,並至PSI網站進行考試日期排定作業。報名相關資訊請詳見ISACA網站公告及應試指南說明

三、考試準備

  1. 瞭解CISA考試範疇,仔細閱讀「ISACA應試指南」。
  2. 自我評估。
    ISACA網站提供50題免費的自我評估試題,CISMSelf-Assessment
  3. 研讀總會編撰之標準教材手冊CISM Review Manual。
  4. 練習教材中相關例題(CISM Review Questions, Answers & Explanations Manual, Supplement and CD)。
  5. 參加協會舉辦之國際資訊安全經理人(CISM)認證研習班。
  6. 研讀各相關領域之其他文獻以加強相關技術。
  7. 花時間研究需互補之領域;例如外部稽核人員應從內部稽核觀點研究電腦稽核相關領域,反之亦然。
  8. 參與讀書會或研習團體。

四、證照申請/維護

  1. 取得CISM考試的及格分數。僅通過CISM考試,但是未能取得以下所列工作經驗時,考試成績只能維持五年有效。如果申請人未能在五年期間內達到CISM的認證要求,則考試成績無效。
  2. 提出具有從事資訊安全工作五年工作經驗之確認證明申請。工作經驗必須在認證申請日之前的十年內,或最初通過考試之日起的五年內獲得。其中至少有三年是從事資訊安全四項工作領域(即考試範疇)中的三項,並擔任管理職務。
      具有下列同等經驗者,可按規定申請抵減:
    • 取得有效的資訊安全證照如:CISA、CISSP證照,可抵二年一般資訊安全工作經驗。
    • 資訊安全相關科系(含企業管理、資訊系統及資訊管理)碩士或博士畢業,可抵一年一般資訊安全工作經驗。
    • 一般資訊安全工作中涵蓋完整一年資訊系統管理經驗,可抵一年一般資訊安全工作經驗。
    • 一般資訊安全工作中涵蓋完整一年安全管理經驗(實體安全、人員安全…等),可抵一年一般資訊安全工作經驗。
    • 持有技術或一般安全證照,可抵一年一般資訊安全工作經驗。
      (如: SANS’ GIAC, MCSE, CompTIA Security+, Disaster Recovery Institute’s CBCP, ESL IT Security Manager)
  3. 同意遵守「ISACA職業道德規範」,相關內容可在http://www.isaca.org/ethics 查詢。
  4. 同意遵守ISACA所採用的「電腦稽核標準」,相關內容可在www.isaca.org/standards 查詢。
  5. 同意遵守「ISACA持續專業進修政策(CPE)」。
  6. 維持證照有效性,必須完成:
    • 每年完成最少20小時的持續專業教育時數。
    • 每3年完成最少120小時的持續專業教育時數(從得到證照後的隔年1月1日起算)。
    • 每年支付持續專業教育維持費
      ISACA會員:USD $45
      ISACA非會員:USD $85
    • 如果被年度稽核抽選,必須回應與遞交持續專業教育活動之佐證文件。
    • 符合ISACA職業道德規範。
    相關內容可在 http://www.isaca.org/cismcpepolicy查詢。

五、訓練資源

請參考電腦稽核協會網站 教育訓練國際證照 專區 http://www.caa.org.tw/education-summary.asp
更多資訊可至【 檔案下載】/國際證照

六、常見問題

可至【常見問題】中瞭解。