Certified Information Security Manager(CISM)國際資訊安全經理人認證
一、證照介紹
根據美國資訊安全知名廠商ISS(Internet Security Systems)一項統計,企業在2004年第一季所偵測到的安全事件比2003年第四季多出了84%,面對層出不窮的資安事件,光靠部署防火牆、網路入侵偵測等設備不足為恃,還需有效的資訊安全管理與規劃;因此國際資訊安全經理人(CISM®)主要著重在管理層面而非技術層面,並規定報考者至少要具備5年以上專業資訊系統安全相關工作經驗,其中須有3年以上的資安主管經驗。
目前全球已有超過45,000人取得CISM認證,統計至2024年2月止,台灣持有CISM證照之ISACA會員人數為205人(不含非會員之持證者)。此證照是特別為管理、設計、監督及評估企業資訊安全的人員所設計的國際專業認證。
- ISACA要提供資訊安全經理人認證的理由
ISACA的名字反映出它的義務及所提供的產品,並不僅限於電腦系統稽核之專業人士,還包括相關對資訊系統控制的人員。在過去的20多年,ISACA率先針對電腦稽核師(CISA)進行認證,同時對電腦系統稽核師、資訊安全參與者及有關資訊安全管理的人員進行訓練。同時舉行一連串的會議,在業界獲得如CACS (資訊稽核、控制和安全)的認同。這些課程每年在全世界針對不同領域的資訊專業人員提供訓練。在近年,ISACA 在所發行的期刊中,加強了其他資訊安全的控制與活動,同時針對擔任資訊安全管理工作的專業人員進行研究。由於眾多ISACA會員和CISA的需要,針對專職的資訊安全管理人員,於是ISACA 發展了CISM的專業認證。 - CISM的認證與其他資訊安全認證的不同
CISM不同於其他的資訊安全認證,在於它的經驗要求以及集中在資訊安全經理人工作上的執行。其他資訊安全認證重點在於特定的技術、作業平台或是產品資訊。或是針對資訊安全工作的前幾年工作。唯有CISM是針對資訊安全經理人,重點已經不再是個別的技術或者是技能,而是移轉到整個企業的資訊安全管理。CISM是針對管理並且監督企業的資訊安全的個人,許多人可能拿在其他領域都已經持有相關的認證。就因為集中在管理上的需要,以致工作經驗相對有其重要性,所以CISM要求最少要有3年資訊安全管理的經驗,而考試的內容也都集中在資訊安全經理人日常處理的工作上。 - CISM的獨特性
CISM在資訊安全管理的證照方面具有獨特,因為它被明確設計針對市場上從事資訊安全管理的人員。對資訊安全經理人而言,經驗的要求和CISM考試對於履行資訊安全的職責和責任相對重要。這些要求和知識範疇經過資訊安全專家及業界的領導者所驗證過,用來測量資訊安全經理人經驗及管理能力,並非一般的通識訓練。 - CISM的工作領域分析的定義
為了解資訊安全經理人需要執行那些工作以及工作的內容,ISACA組成了一個專案小組,針對業界精英、資訊安全專家就其工作內容加以分析,並將分析的結果作為考試認證的依據。由於工作領域定義的重要性,以及資訊安全專業人員工作內容的變化。ISACA目前也針對工作領域的劃分重新分析研究。除此之外,資訊系統安全協會,資訊安全論壇和ASIS國際組織一同參與研究。 - CISM的認可
- CIO雜誌、SC雜誌和Foote Partners research持續認同CISM是跟其他證照(credentiala)比較後,取得最高待遇的證照。
- 證照雜誌2008年薪資調查(Certification Magazine’s 2008 salary survey)將CISM證照排名為待遇第三高的證照。
- CISM被下列出版物認為是獨特的安全管理證照:
SC Magazine、Information Security Magazine、CSO Magazine Online、Computerworld Today(Australia)、eWeek、Security Magazine (Brazil)、Cramsession.com。 - CISM為2013年SC雜誌獎最佳專業認證計畫。
- 美國國防部8570.1核准CISM認證為成為該部資訊確認服務資業人士及供應廠商之必要條件。
- 2019年台灣正式實施之「資通安全管理法」將CISM列入資通安全專業證照之一。
相關資訊請詳見ISACA網站說明:https://www.isaca.org/credentialing/cism。
考試內容(工作實務範疇):
以下實務範疇和百分比表示考試中出題所占的比重。
- 資訊安全治理(17%) — Enterprise Governance、Information Security Strategy。
- 資訊安全風險管理(20%) — Information Security Risk Assessment、Information Security Risk Response。
- 資訊安全計劃(33%) — Information Security Program Development、Information Security Program Management。
- 事故管理(30%) — Incident Management Readiness、Incident Management Operations。
從ISACA網站進行線上報名及刷卡付費。報名並繳費後的一個工作天內,報名者會收到ISACA寄發之「排定日期通知」email,內容包括認證考試、考試語種及如何排定考試日期等資訊,再依所提供之操作步驟登入,並至PSI網站進行考試日期排定作業。報名相關資訊請詳見ISACA網站公告及應試指南說明。
1.瞭解CISA考試範疇,仔細閱讀「ISACA應試指南」。
2.免費CISM練習測驗:https://www.isaca.org/credentialing/cism/cism-practice-quiz。
3.研讀總會編撰之標準教材手冊CISM Review Manual。
4.練習教材中相關例題(CISM Review Questions, Answers & Explanations Manual, Supplement and CD)。
5.參加協會舉辦之國際資訊安全經理人(CISM)認證研習班。
6.研讀各相關領域之其他文獻以加強相關技術。
7.花時間研究需互補之領域,例如:外部稽核人員應從內部稽核觀點研究電腦稽核相關領域,反之亦然。
8.參與讀書會或研習團體。
2.免費CISM練習測驗:https://www.isaca.org/credentialing/cism/cism-practice-quiz。
3.研讀總會編撰之標準教材手冊CISM Review Manual。
4.練習教材中相關例題(CISM Review Questions, Answers & Explanations Manual, Supplement and CD)。
5.參加協會舉辦之國際資訊安全經理人(CISM)認證研習班。
6.研讀各相關領域之其他文獻以加強相關技術。
7.花時間研究需互補之領域,例如:外部稽核人員應從內部稽核觀點研究電腦稽核相關領域,反之亦然。
8.參與讀書會或研習團體。
- 取得CISM考試的及格分數。僅通過CISM考試,但是未能取得以下所列工作經驗時,考試成績只能維持5年有效。如果申請人未能在5年期間內達到CISM的認證要求,則考試成績無效。
- 需提出在4個CISM工作實務領域(Job Practice Areas)中的至少3個領域擁有5年或以上的CISM專業資訊安全管理工作經驗做申請。工作經驗必須在認證申請日之前的10年內,且通過考試之日起的5年內提出申請,若未能於通過考試後的5年內提出認證申請,則必須重考。如果不滿前述5年工作經驗要求,可以用如下經驗申請做部分折抵。
● 一般資訊安全工作經驗,可抵2年。
● 其他合格認證、教育經歷、工作經驗等,只能擇一,最多可抵2年。
─合格的CISA認證,可抵2年。
─合格的CISSP認證,可抵2年。
─基於技能的安全認證或一般安全認證,可抵1年。
─資訊安全領域/相關領域的學士學位,可抵1年。
─資訊安全領域/相關領域的MBA或碩士學位,可抵2年
─資訊系统管理工作經驗,可抵1年(必須是完整1年)。
*上述皆需附上證書、學位證明、成績單、工作證明。 - 同意遵守「ISACA職業道德規範」。
- 同意遵守「ISACA持續專業進修政策(CPE)」。
- CISM 認證申請表填寫說明。
- 維持證照有效性,必須完成: 相關內容可在https://www.isaca.org/credentialing/cism/maintain-cism-certification查詢。
- 每年完成最少20小時的持續專業教育時數。
- 每3年完成最少120小時的持續專業教育時數(從得到證照後的隔年1月1日起算)。
- 每年支付持續專業教育維持費。
ISACA會員:USD $45
ISACA非會員:USD $85 - 如果被年度稽核抽選,必須回應與遞交持續專業教育活動之佐證文件。
- 符合ISACA職業道德規範。