了解CISM
报名入口来源:中国教育在线 2022-05-31
根据美国信息安全知名机构ISS(Internet Security Systems)一项统计,企业在2004年第一季所侦测到的安全事件比2003年第四季多出了84%,面对层出不穷的资安事件,光靠部署防火墙、网络入侵侦测等设备不足为恃,还需有效的信息安全管理与规划;因此国际信息安全经理人(CISM®)主要着重在管理层面而非技术层面,并规定报考者至少要具备5年以上专业信息系统安全相关工作经验,其中须有3年以上的资安主管经验。

ISACA以英文、日文、韩文与西班牙文四种语言在超过240个地区举办CISM考试。目前全球有超过21,300名专业人士持有CISM证书,而统计至2015年8月底,台湾持有CISM证书的人数为63位。此证书是提供有经验之信息安全经理人以及具有资讯安全管理职责的人员(只要是牵涉管理、设计、重视及/或评价企业资讯安全的人)一项专业之荣誉。
ISACA要提供信息安全经理人认证的理由
ISACA的名字反映出它的义务及所提供的产品,并不仅限于电脑系统稽核之专业人士,还包括相关对信息系统控制的人员。在过去的20多年,ISACA率先针对电脑稽核师(CISA)进行认证,同时对电脑系统稽核师、信息安全参与者及有关信息安全管理的人员进行训练。同时举行一连串的会议,在业界获得如CACS(信息稽核,控制和安全)的认同。这些课程每年在全世界针对不同领域的信息专业人员提供训练。在近年,ISACA在所发行的期刊中,加强了其他信息安全的控制与活动,同时针对担任信息安全管理工作的专业人员进行研究。由于众多ISACA会员和CISA的需要,针对专职的信息安全管理人员,于是ISACA发展了CISM的专业认证。
CISM的认证与其他信息安全认证的不同
CISM不同于其他的信息安全认证,在于它的经验要求以及集中在信息安全经理人工作上的执行。其他信息安全认证重点在于特定的技术、作业平台或是产品资讯。或是针对信息安全工作的前几年工作。唯有CISM是针对信息安全经理人,重点已经不再是个别的技术或者是技能,而是移转到整个企业的信息安全管理。CISM是针对管理并且监督企业的信息安全的个人,许多人可能拿在其他领域都已经持有相关的认证。就因为集中在管理上的需要,以致工作经验相对有其重要性,所以CISM要求最少要有3年信息安全管理的经验,而考试的内容也都集中在信息安全经理人日常处理的工作上。
CISM的独特性
CISM在信息安全管理的证书方面具有独特,因为它被明确设计针对市场上从事信息安全管理的人员。对信息安全经理人而言,经验的要求和CISM考试对于履行信息安全的职责和责任相对重要。这些要求和知识范畴经过信息安全专家及业界的领导者所验证过,用来测量信息安全经理人经验及管理能力,并非一般的通识训练。
CISM的工作领域分析的定义
为了解信息安全经理人需要执行那些工作以及工作的内容,ISACA组成了一个专案小组,针对业界精英、信息安全专家就其工作内容加以分析,并将分析的结果作为考试认证的依据。由于工作领域定义的重要性,以及信息安全专业人员工作内容的变化。ISACA目前也针对工作领域的划分重新分析研究。除此之外,信息系统安全协会,信息安全论坛和ASIS国际组织一同参与研究。