介紹
CISM國際註冊信息安全經理認證(CertifiedInformationSecurityManager)是ISACA推出,專門為負責領導、規劃和管理企業全面信息系統安全的資深管理人員設計的專業資格。CISM針對信息風險在業務套用的管理和相關問題的解決,而不是一個入門級別的專業認證。CISM為信息安全經理和信息安全管理職責的專業人員設計,提高企業總體的信息系統安全管理水平,向高級管理層確保,擁有CISM專業資格認證的人員具有知識和能力提供有效的安全管理和諮詢,以業務為導向,在套用於業務的管理,設計和技術安全問題強調信息風險管理概念。CISM不適用於信息系統審計人員,但對具有信息系統管理經驗和責任的信息系統審計師有幫助。
認證機構
國際信息系統審計協會(ISACA)協助企業及信息技術領袖們創建一個信賴可靠、締造優值的資訊及信息系統,其成員遍布180個國家,總數超過115,000人。ISACA成立於1969年,為全球所有從事信息系統審計、鑑證、風險管理、隱私和治理領域的專業人士提供了倍受信賴之知識、社群、標準和職業發展的資源。ISACA為網路安全專業人員提供了CybersecurityNexusTM,一個全面性的專業資源。
知識體系
CISM國際註冊信息安全經理主要涉及:“信息安全治理(24%)、信息風險管理和合規性(33%)、信息安全項目開發和管理(25%)、信息安全事件管理(18%)”四個章節內容。
信息安全治理(24%)
建立信息安全治理結構,以確保信息安全策略與業務目標一致,同時符合法律法規和監管要求;
信息安全治理概述
有效的信息安全治理
信息安全概念和技術
治理和第三方關係
信息安全治理度量
信息安全戰略概要
開發信息安全戰略
信息安全戰略目標
確定風險現狀
信息安全戰略開發
戰略資源
戰略限制
戰略行動計畫
實施安全治理–範例
行動計畫中期目標
信息安全項目群目標
信息風險管理和合規性(33%)
建立信息安全風險管理體系,符合法律法規監管要求;
風險管理概要
風險管理戰略
有效的信息安全風險管理
信息安全風險概念
實施風險管理
風險評估和分析方法
風險評估
信息資源定價
恢復時間目標(RTO)
集成生命周期過程
安全控制基線
風險監控和交流
培訓和意識認知
文檔
信息安全項目開發和管理(25%)
設計,開發,實施和管理信息安全流程,建立信息安全管理框架;
信息安全項目群概述
有效的信息安全項目群開發
信息安全項目群概念
信息安全項目群範圍和章程
信息安全管理框架
信息安全框架組件
定義信息安全項目群路線圖
信息安全基礎設施和架構
架構實施
安全項目群管理和行政管理活動
安全項目群服務和運營活動
控制和應對措施
安全項目群度量和監控
共同的信息安全項目群挑戰
信息安全事件管理(18%)
建立信息安全事件管理流程,應對突發事件並恢復;
事件管理概要
事件回響步驟
事件管理組織
事件管理資源
事件管理目標
事件管理度量和指標
定義事件管理步驟
事件回響能力現狀
開發事件回響計畫
業務持續和災難恢復步驟
測試事件回響和業務連續/災難恢復計畫
執行回響和恢復計畫
事件後活動和調查
