歡迎光臨中華民國電腦稽核協會--【國際證照】

全文檢索：

網站導覽

留言版

設為首頁

回首頁　　

　　Email:

CISA

CISM

CGEIT

根據美國資訊安全知名廠商ISS(Internet Security Systems)一項統計，企業在2004年第一季所偵測到的安全事件比2003年第四季多出了84%，面對層出不窮的資安事件，光靠部署防火牆、網路入侵偵測等設備不足為恃，還需有效的資訊安全管理與規劃；因此CISM主要著重在管理層面而非技術層面，並規定報考者至少要具備5年以上專業資訊系統安全相關工作經瞼，其中須有3年以上的資安主管經瞼。

ISACA要提供資訊安全經理人的認證的理由
ISACA的名字反映出它的義務及所提供的產品，並不僅限於電腦系統稽核之專業人士，還包括相關對資訊系統控制的人員。在過去的20多年， ISACA率先針對電腦稽核師(CISA)進行認證，同時對電腦系統稽核師、資訊安全參與者及有關資訊安全管理的人員進行訓練。同時舉行一連串的會議，在業界獲得如CACS (資訊稽核，控制和安全)的認同。這些課程每年在全世界針對不同領域的資訊專業人員提供訓練。在近年，ISACA 在所發行的期刊中，加強了其他資訊安全的控制與活動，同時針對擔任資訊安全管理工作的專業人員進行研究。由於眾多ISACA 會員和CISA的需要，針對專職的資訊安全管理人員，於是ISACA 發展了CISM 的專業認證。

CISM的認證與其他資訊安全認證的不同
CISM不同於其他的資訊安全認證，在於它的經驗要求以及集中在資訊安全經理人工作上的執行。其他資訊安全認證重點在於特定的技術、作業平台或是產品資訊。或是針對資訊安全工作的前幾年工作。唯有CISM是針對資訊安全經理人，重點已經不再是個別的技術或者是技能，而是移轉到整個企業的資訊安全管理。 CISM是針對管理並且監督企業的資訊安全的個人，許多人可能拿在其他領域都已經持有相關的認證。
就因為集中在管理上的需要，以致工作經驗相對有其重要性，所以CISM要求最少要有3年資訊安全管理的經驗，而考試的內容也都集中在資訊安全經理人日常處理的工作上。

CISM的獨特性
CISM在資訊安全管理的證照方面具有獨特，因為它被明確設計針對市場上從事資訊安全管理的人員。對資訊安全經理人而言，經驗的要求和 CISM 考試對於履行資訊安全的職責和責任相對重要。這些要求和知識範疇經過資訊安全專家及業界的領導者所驗證過，用來測量資訊安全經理人經驗及管理能力，並非一般的通識訓練。

CISM的工作領域分析的定義
ISACA相信專業證照是在工作執行上，針對個人才能和知識的衡量。為了解資訊安全經理人需要執行那些工作以及工作的內容，ISACA組成了一個專案小組，針對業界精英、資訊安全專家就其工作內容加以分析，並將分析的結果作為考試認證的依據。由於工作領域定義的重要性，以及資訊安全專業人員工作內容的變化。ISACA 目前也針對工作領域的劃分重新分析研究。除此之外，資訊系統安全協會，資訊安全論壇和ASIS 國際組織一同參與研究。

CISM證照的取得
想具有CISM的資格需要4個 ' e'的結合: 4個” e” 代表經驗、倫理、教育及考試。明確的要求是︰

一、通過CISM的考試二、遵行職業道德規範三、對持續進修教育的承諾四、提供證明顯示至少五年以上資訊安全的實務經驗，其中至少三年以上的管理經驗，並從事資訊安全五項工作領域(即考試範疇)中的三項。如果教育程度或其他的證明是可以抵免一般的資訊安全實務經驗。

考試範圍
CISM 考試包括5 項資訊安全管理領域，每個領域透過工作和知識範疇被更進一步詳加敘述。這些領域由CISM認證委員會針對各行業資訊安全經理人所執行的工作加以分析後所產生的結果。以下是這些領域簡短描述、定義，而測驗問題也依據近似的百分比，平均分散到每個領域。
每一個領域所屬的課題及知識範疇，是當今市場上對資訊安全經理人所應執行的工作及應具備的知識，這些資訊提供為CISM考試的基礎。

CISM 包含如下領域︰
資訊安全治理 (Information Security Governance) (21%)
建立並維持一種管理架構，以確認資訊安全政策與經營目標相一致，同時符合現行的法律法規。

工作和知識範疇

工作

建立資訊安全政策並支援企業經營策略和方向。
�X
獲得高階管理對整個企業的資訊安全的承諾與支持。
�X
確認企業資訊安全管理工作之角色、責任及定義。
�X
確認資訊安全管理工作之通報機制及通報流程。
�X
鑑別現今之法令章則及規章制度對企業及資訊安全問題的影響。
�X
確認各項資訊安全作業程序及管理方式符合資訊安全政策。
�X
依企業的發展及價值分析提供資訊安全的投資。

知識範疇

資訊安全概念性的了解。
�X
企業活動及資訊安全之間的關聯性的了解。
�X
技術的運用以符合高階管理對資訊安全的承諾和支援。
�X
整合企業資訊安全管理框架及資訊安全的方法論。
�X
高階管理階層對資訊安全的期望，並在組織內建立整體性政策。
�X
資訊安全指導小組的功能。
�X
資訊安全管理角色的責任和架構。
�X
管理領域的知識(例如，風險管理、資料分類管理、網路安全、系統存取)。
�X
資訊安全集中及分散式管理的認知。
�X
有關電子商務、資料傳送之法令法規之了解(如，隱私權、稅法和關稅、數據輸入/輸出的限制、對密碼技術的限制、專利權、智慧財產權、商業機密、國家安全等)。
�X
保險常識及除外條款(例如，犯罪、忠誠保險，營運中斷)。
�X
商業紀錄的保存及內容管理。
�X
連結企業經營目標及資訊安全政策的過程。
�X
構成資訊安全計劃的各項要素功能及必要的內容(例如，安全政策，資訊安全計劃和工作指引)。

符合資訊安全政策及作業程序所建置的模型及相關技術的研發。
�X
傳統流程管理及資訊安全管理之關聯性及改進措施。
�X
資訊安全架構的發展與資訊安全管理之關聯性及改善措施。
�X
資訊安全基礎架構及資訊安全管理之關聯性及改善措施。
�X
一般對資訊安全管理及過程可接受的國際標準規格。
�X
成本效益分析。
�X
企業發展及計算企業價值之方法論。

風險管理(Risk Management )(21%)
鑑別和管理資訊安全風險以符合企業目標。

工作和知識範疇

工作

發展有系統、分析及連續性的風險管理程序。

確認風險鑑別、分析及降低風險活動的週期過程。

使用風險鑑定和分析方法。

確定企業可接受的風險水準並訂定風險策略及執行的優先順序。

定期或依事件報告風險水準的顯著變化。

知識範疇

資訊資源之使用及支援企業決策之流程。

資訊資源評估的方法論。

資訊的分類。

以風險為基礎的評估方式及發展原則。

風險管理的生命週期及過往經驗。

與機密性、完整性和可用性有關的資訊資源所面對的威脅，脆弱和暴露。

使用定性及定量的方式，以確認異常事件的影響性及敏感性。

利用差異分析針對業界最佳做法及當前現況的管理。

恢復時間的訂定及恢復階段各項資源的運用。

企業持續經營及恢復策略訂定之關聯性。

風險降低策略的使用以確保資訊資源能符合安全性及企業運用。

運用成本效益分以減輕風險威脅和暴露以達到可接受的水準。

管理並報告風險的鑑別。

資訊安全計劃管理(Information Security Program(me) Management) (21%)
設計，開發及管理資訊安全計畫，以強化資訊安全管理框架。

工作和知識範疇

工作

建立並維持資訊安全系統框架。

開發資訊安全基準。

發展資訊安全計劃及處理程序，以確認企業處理程序涵蓋資訊風險。

發展資訊基礎架構計劃及處理程序，以確認符合資訊安全政策之需要。

企業生命週期活動與資訊安全計劃相結合。

發展資訊安全策略的方法以符合使用者的需求。

確保資訊安全作業針對投資大眾及企業流程能有效管理。

確認內部和外部資源能加以鑑別並妥善管理。

知識範疇

實施風險分析並發展建置計劃。

專案管理的方法和技術。

針對企業各階層整合對資訊安全管理框架、實務經驗及教育訓練之要求。

針對企業環境及資訊基礎架構建置安全基準。

資訊安全架構(如，單一登入、權限控管及限制登入節點)。

資訊安全技術(如，密碼學、數位簽章)。

企業流程及基礎建設之資訊安全計劃及工作指引。

系統開發生命週期的方法論(例如，傳統的系統開發流程，雛形程式)。

計畫，處理，報告有關安全活動的測試。

企業資訊安全對商業活動和基礎建設治理的框架。

技術的管理、費用的控管及相關的優勢分析。

將資訊安全導入企業流程之計畫、設計及發展。

資訊安全量化的發展和實施。

管理方法的獲得和技術(例如，供應商服務水準的評估協議，合約的準備)。

資訊安全性管理 (Information Security Management) (24%)
依資訊安全計劃執行監督和指導資訊安全作業。

工作和知識範疇

工作

確保資訊安全系統的使用有符合企業資訊安全政策。

確保資訊安全計劃的管理有符合企業資訊安全政策。

確保其他企業所提供的服務有符合企業資訊安全政策。

使用計量的方式，加以監控及報告各項資訊安全控管作業有符合企業資訊安全政策。

確認變動管理期間資訊安全作業未有加以損害。

確認弱點評估在現有的控制環境下有效執行。

確認不符合的問題及其他變化皆有即時的解決。

確認資訊安全活動的建置及交付均有適當的資訊安全訓練。

知識範疇

解釋資訊安全政策與操作的使用。

資訊安全管理過程及程序。

管理及建置資訊安全計劃的方法，包括貿易伙伴和服務提供商。

在企業運作及企業的基礎建設內持續性的安全監控。

藉由資料蒐集及定期覆核，藉以了解資訊安全之成功/失敗關鍵性指標。

變動管理及組態管理。

定期覆核資訊安全基礎建設及實際作業。

檢視內部/外部的商業資訊，以確保資訊安全作業能有效執行。

藉由實際的作業、覆核相關的作業程序及標準，確認資訊安全作業能有效管理及控制。

藉由外部脆弱事件的報告，藉以調整現有的控管程序及基礎建設。

藉由資訊安全基準，調整現有的資訊安全架構並加以測試及驗證。

資訊問題管理的實務經驗。

資訊安全經理人、教育訓練及顧問的角色。

改變員工文化及行為模式的方式。

資訊安全的教育訓練。

事件回應管理(Response Management)(13%)
當遭受破壞性的資訊安全性事件，能發展及建立回應的機制，並且從破壞性中恢復。

工作和知識範疇

工作

發展並建立有關安全事件檢測、鑑定和分析的流程。

發展及建置事件恢復計畫包括組織、訓練和設備。

定期測試恢復計劃以確保計劃之可用性。

確保恢復計劃能符合要求並能確實執行。

建立文件資料以確認後續的作業，包括必要時的鑑識作業。

異常事件事後的管理、鑑定原因及後續修正的行動。

知識範疇

事件的組成及回應。

資訊安全緊急事件管理(例如，變更管理、緊急處理小組的人員編組)。

災害復原計劃的擬定及企業回覆的程序。

災害復原計劃的測試及檢討。

異常事件時，提昇通報層級之流程與管理。

入侵偵測的政策與程序。

從使用者端回應的異常事件、通報程序及處理流程。

異常事件之通報及恢復作業 (如病毒感染時之自動通報機制) 。

證據的蒐集。

問題跟催及事後管理之作業程序。

考試日期
每年6月及12月的星期六，和CISA同一天。

考試費用
在2006年2月8日或該日前 ISACA 成員 340美元非會員 460美元以後 2月8日以後到2006年4月5日 ISACA 成員 390美元非會員 510美元應考人員如直接在線上登錄將節省35 美元。最新考試費用可上ISACA查詢。

線上報名
是的，目前已提供線上登錄，請參考下列www.isaca.org/examreg ，線上報名可省下USD35的報名費。
在線上完成你的報名作業之後，會直接進入結賬程序。在結帳作業完成並確認後， ISACA總會會發送電子郵件以確認登錄作業已經完成。如果你沒收到這封電子郵件，請檢查你的垃圾郵件檔案夾。另外，你可以再登入後，在個人資料項下尋找個人採購紀錄，也可以確認登錄作業已經完成。

考試
考生必需在4個小時內完成200題單選題。 CISM 和CISA 考試是針對不同的專業人士所設計的，且 CISM和CISA 考試舉行時間是同一天，所以無法同一天參加這二個考試。如果考生目前沒有從事相關的工作，而未來有可能從事類似工作時，我們會建議先參加CISA 的考試。

考試結果的通知
如果在登記時選擇透過電子郵件通知考試成績，一封電子郵件通知將在考試日期的8周內發送。所有的應考者都會接到通過郵寄方式的書面結果通知。

延考或退費？
可以，但必需於規定的期限內向ISACA提出申請並繳交手續費。相關的表格請參考下列網站 www.isaca.org/cisadeferral

持續進修(CPE)規定(Continuing Professional Education)
為了取得並且保持CISM的資格，CISM持有者必須同意遵循CISM持續專業進修計畫。這個計畫要求每人每年至少要有20個小時，以及每3年120個小時的專業訓練。另外，若是ISACA的會員，每年需繳交40美元或非ISACA會員需繳交60美金的年度維護費。
請保留持續進修時數的紀錄，目前可接收線上的更新。如果有需要會再要求提供書面資料，在每年12月的第一個星期開始，就會要求登入去年的持續進修時數以及年度費用，ISACA總會在收到相關資料後，會再將收據寄出。

線上人數：22人　　瀏覽人數：1812913人　　更新日期：2008-11-21

會址：台北市大安區敦化南路二段238號9樓　　電話：(02)-2738-7778