數(shù)字化人才18大能力 > 信息安全能力 > CISM

CISM
400-888-5228

CISM報考指南及考試大綱

CISM適合哪些人?你的條件適合報考嗎?

該課程的主要對象是承擔(dān)信息安全領(lǐng)導(dǎo)責(zé)任的高級管理者

  • CIO、CISO、高級 IT 經(jīng)理、企業(yè)信息安全主管 CSO
  • 信息安全經(jīng)理,風(fēng)險經(jīng)理,信息安全管理人員
  • 風(fēng)險管理人員、開發(fā)人員
  • 需要管理、設(shè)計、監(jiān)督或評估組織信息安全的人員
  • 具備 3-5 年左右信息安全管理經(jīng)驗的業(yè)內(nèi)人士
  • 其他 IT 相關(guān)管理人員等

五 (5) 年以上(含)信息安全管理工作經(jīng)驗。經(jīng)驗最長可抵減兩 (2) 年。比如:CISA 及 CISSP 認(rèn)證減免兩年

CISM考試基本信息
考試語言中文考試/英文考試
考試形式在線機考
考試費用詳詢艾威課程顧問
考試時間隨約隨考(提前1-4周做報考)
考試時長

4小時(國內(nèi)線下考場考試時間: 09:00-13:00/13:00-17:00)

考試題型

150道單選題。

通過條件

獲得標(biāo)準(zhǔn)分450分通過(滿分800分),即110題及格

CISM考試大綱/考試內(nèi)容
  • 領(lǐng)域 1 – 信息安全治理(17%)
  • 領(lǐng)域 2 – 信息安全風(fēng)險管理(20%)
  • 領(lǐng)域 3 – 信息安全計劃 (33%)
  • 領(lǐng)域 4 – 事故管理 (30%)

CISM考試內(nèi)容大綱

17%-領(lǐng)域1:信息安全治理
該領(lǐng)域?qū)槟峁ζ髽I(yè)治理中涉及的文化、法規(guī)和結(jié)構(gòu)的透徹了解,并使您能夠分析、規(guī)劃和開發(fā)信息安全戰(zhàn)略??傊?,這將向利益相關(guān)方確認(rèn)信息安全治理的高可信度。

A-企業(yè)治理
1 組織文化
2 法律、法規(guī)和合同要求
3 組織結(jié)構(gòu)、角色和職責(zé)
B-信息安全戰(zhàn)略
1 信息安全戰(zhàn)略發(fā)展
2 信息治理框架和標(biāo)準(zhǔn)
3 戰(zhàn)略規(guī)劃(例如,預(yù)算、資源、商業(yè)案例)

20%-領(lǐng)域2:信息安全風(fēng)險管理
該領(lǐng)域使您能夠分析和識別潛在的信息安全風(fēng)險、威脅和漏洞,并為您提供識別和應(yīng)對信息安全風(fēng)險所需的所有信息。

A-信息安全風(fēng)險評估
1 新出現(xiàn)的風(fēng)險和威脅形勢
2 脆弱性和控制缺陷分析
3 風(fēng)險評估和分析
B-信息安全風(fēng)險響應(yīng)
1 風(fēng)險處理/風(fēng)險應(yīng)對選項
2 風(fēng)險和控制所有權(quán)
3 風(fēng)險監(jiān)控和報告

33%-領(lǐng)域3:信息安全計劃
該領(lǐng)域涵蓋信息安全的資源、資產(chǎn)分類和框架,并使您能夠管理信息安全計劃,包括安全控制、測試、通信、報告和實施。

A-信息安全計劃開發(fā)
1 信息安全計劃資源(如人員、工具、技術(shù))
2 信息資產(chǎn)識別和分類
3 信息安全的行業(yè)標(biāo)準(zhǔn)和框架
4 信息安全政策、程序和指南
5 信息安全計劃指標(biāo)
B-信息安全計劃管理
1 信息安全控制設(shè)計和選擇
2 信息安全控制實施和集成
3 信息安全控制測試和評估
4 信息安全意識和培訓(xùn)
5 外部服務(wù)的管理(如提供商、供應(yīng)商、第三方、第四方)
6 信息安全計劃通信和報告

30%-領(lǐng)域4:事故管理
該領(lǐng)域提供風(fēng)險管理和準(zhǔn)備方面的深入培訓(xùn),包括如何讓企業(yè)做好應(yīng)對事故的準(zhǔn)備和指導(dǎo)恢復(fù)。第二個模塊涵蓋事件管理的工具、評估和遏制方法。

A-事故管理準(zhǔn)備就緒
1 事故響應(yīng)計劃
2 業(yè)務(wù)影響分析(BIA)
3 業(yè)務(wù)連續(xù)性計劃(BCP)
4 災(zāi)難恢復(fù)計劃
5 事故分類/歸類
6 事故管理培訓(xùn)、測試和評估
B-事故管理運營
1 事故管理工具和技術(shù)
2 事故調(diào)查和評估
3 事故遏制方法
4 事故響應(yīng)溝通(例如,報告、通知、上報)
5 事故根除和恢復(fù)
6 事故后審查實踐

任務(wù)

1 確定影響信息安全戰(zhàn)略的內(nèi)部和外部因素。
2 建立和/或維護(hù)與組織目標(biāo)一致的信息安全戰(zhàn)略。
3 建立和/或維護(hù)信息安全治理框架。
4 將信息安全治理整合到公司治理中。
5 建立和維護(hù)信息安全政策,以指導(dǎo)標(biāo)準(zhǔn)、程序和準(zhǔn)則的制定。
6 開發(fā)業(yè)務(wù)案例以支持信息安全投資。
7 獲得高層領(lǐng)導(dǎo)和其他利益相關(guān)方的持續(xù)_,以支持信息安全戰(zhàn)略的成功實施。
8 在整個組織和各級權(quán)力機構(gòu)中定義、傳達(dá)和監(jiān)控信息安全責(zé)任。
9 就信息安全計劃的活動、趨勢和整體有效性,編制并向主要利益相關(guān)方提交報告。
10 評估信息安全指標(biāo)并向主要利益相關(guān)方報告。
11 根據(jù)信息安全戰(zhàn)略建立和/或維護(hù)信息安全計劃。
12 使信息安全計劃與其他業(yè)務(wù)職能部門的運營目標(biāo)保持一致。
13 建立和維護(hù)信息安全流程和資源,以執(zhí)行信息安全計劃。
14 建立、傳達(dá)和維護(hù)組織信息安全政策、標(biāo)準(zhǔn)、指南、程序和其他文件。
15 建立、推廣和維護(hù)信息安全意識和培訓(xùn)計劃。
16 將信息安全要求集成到組織流程中,以維護(hù)組織的安全策略。
17 將信息安全要求整合到外部各方的合同和活動中。
18 監(jiān)控外部各方對既定安全要求的遵守情況。
19 定義和監(jiān)控信息安全計劃的管理和運營指標(biāo)。
20 建立和/或維護(hù)信息資產(chǎn)識別和分類流程。
21 確定法律、法規(guī)、組織和其他適用的合規(guī)要求。
22 參與和/或監(jiān)督風(fēng)險識別、風(fēng)險評估和風(fēng)險處理過程。
23 參與和/或監(jiān)督漏洞評估和威脅分析流程。
24 根據(jù)組織的風(fēng)險偏好,確定、推薦或?qū)嵤┻m當(dāng)?shù)娘L(fēng)險處理和響應(yīng)方案,將風(fēng)險控制在可接受的水平。
25 確定信息安全控制措施是否適當(dāng),并有效地將風(fēng)險控制在可接受的水平。
26 促進(jìn)信息風(fēng)險管理與業(yè)務(wù)和IT流程的集成。
27 監(jiān)控可能需要重新評估風(fēng)險的內(nèi)部和外部因素。
28 向主要利益相關(guān)方報告信息安全風(fēng)險,包括信息風(fēng)險中的違規(guī)和變化,以促進(jìn)風(fēng)險管理決策流程。
29 根據(jù)業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃,建立并維護(hù)事件響應(yīng)計劃。
30 建立和維護(hù)信息安全事件分類和歸類流程。
31 制定和實施流程以確保及時識別信息安全事件。
32 根據(jù)法律和法規(guī)要求,建立和維護(hù)調(diào)查和記錄信息安全事件的流程。
33 建立和維護(hù)事故處理流程,包括遏制、通知、上報、根除和恢復(fù)。
34 組織、培訓(xùn)、裝備事故響應(yīng)團(tuán)隊并分配職責(zé)。
35 為內(nèi)部和外部各方建立和維護(hù)事故溝通計劃和流程。
36 通過測試和審查評估事故管理計劃,包括桌面練習(xí)、清單審查和計劃時間間隔的模擬測試。
37 進(jìn)行事故后審查以促進(jìn)持續(xù)改進(jìn),包括根本原因分析、經(jīng)驗教訓(xùn)、糾正措施和風(fēng)險重新評估。

* 以上內(nèi)容參考ISACA官方的CISM考試內(nèi)容說明,原文內(nèi)容參見:點此>>

ISACA官方考試說明,在線預(yù)覽↓↓↓

ISACA-Exam-Candidate-Guide

點擊獲取《ISACA考試認(rèn)證手冊(含CISM考試說明)》[PDF]

點擊進(jìn)行CISM考試樣題測試[在線/英文]

CISM報考流程

審核報考資格去審核

參加培訓(xùn)課程填寫報名表→開始學(xué)習(xí)→獲得報考資質(zhì)
*艾威(授權(quán)機構(gòu))出具培訓(xùn)證明

參加考試約考→考試→申請證書(申領(lǐng)/續(xù)證)
*艾威提供全程服務(wù),歡迎咨詢

以我現(xiàn)在的基礎(chǔ),考CISM能考幾分?

CISM考試難不難?通過率怎么樣? 預(yù)約模擬自測
艾威數(shù)字化人才培訓(xùn)中心
培養(yǎng)新時代“數(shù)字化”關(guān)鍵人才,定制綜合培訓(xùn)方案
  • 艾威擁有20年職業(yè)認(rèn)證培訓(xùn)經(jīng)驗,考證書、評職稱、職業(yè)規(guī)劃、能力提升,我們以培養(yǎng)數(shù)字化頂尖人才為己任
  • 艾威擁有30多家國際權(quán)威廠商授權(quán)資質(zhì),引入國際前沿數(shù)字化技術(shù)與知識體系,為學(xué)員提供正規(guī)課程培訓(xùn)
  • 艾威的課程覆蓋“管理與商業(yè)”、“IT管理與運營”、“數(shù)字化技術(shù)”三大領(lǐng)域的18大能力,幫助學(xué)員成為高級職業(yè)經(jīng)理人、成為數(shù)字化管理與技術(shù)方面的專業(yè)人才
  • 艾威數(shù)字化人才培訓(xùn)中心,針對數(shù)字化人才的18大能力提供完整的培訓(xùn)方案,從思維養(yǎng)成、實踐與工具以及認(rèn)證備考3大模塊出發(fā),全面提升職場競爭力。