數(shù)字化人才18大能力 > 信息安全能力 > CISM

CISM
400-888-5228

CISM報(bào)考指南及考試大綱

CISM適合哪些人?你的條件適合報(bào)考嗎?

該課程的主要對(duì)象是承擔(dān)信息安全領(lǐng)導(dǎo)責(zé)任的高級(jí)管理者

  • CIO、CISO、高級(jí) IT 經(jīng)理、企業(yè)信息安全主管 CSO
  • 信息安全經(jīng)理,風(fēng)險(xiǎn)經(jīng)理,信息安全管理人員
  • 風(fēng)險(xiǎn)管理人員、開(kāi)發(fā)人員
  • 需要管理、設(shè)計(jì)、監(jiān)督或評(píng)估組織信息安全的人員
  • 具備 3-5 年左右信息安全管理經(jīng)驗(yàn)的業(yè)內(nèi)人士
  • 其他 IT 相關(guān)管理人員等

五 (5) 年以上(含)信息安全管理工作經(jīng)驗(yàn)。經(jīng)驗(yàn)最長(zhǎng)可抵減兩 (2) 年。比如:CISA 及 CISSP 認(rèn)證減免兩年

CISM考試基本信息
考試語(yǔ)言中文考試/英文考試
考試形式在線(xiàn)機(jī)考
考試費(fèi)用詳詢(xún)艾威課程顧問(wèn)
考試時(shí)間隨約隨考(提前1-4周做報(bào)考)
考試時(shí)長(zhǎng)

4小時(shí)(國(guó)內(nèi)線(xiàn)下考場(chǎng)考試時(shí)間: 09:00-13:00/13:00-17:00)

考試題型

150道單選題。

通過(guò)條件

獲得標(biāo)準(zhǔn)分450分通過(guò)(滿(mǎn)分800分),即110題及格

CISM考試大綱/考試內(nèi)容
  • 領(lǐng)域 1 – 信息安全治理(17%)
  • 領(lǐng)域 2 – 信息安全風(fēng)險(xiǎn)管理(20%)
  • 領(lǐng)域 3 – 信息安全計(jì)劃 (33%)
  • 領(lǐng)域 4 – 事故管理 (30%)

CISM考試內(nèi)容大綱

17%-領(lǐng)域1:信息安全治理
該領(lǐng)域?qū)槟峁?duì)企業(yè)治理中涉及的文化、法規(guī)和結(jié)構(gòu)的透徹了解,并使您能夠分析、規(guī)劃和開(kāi)發(fā)信息安全戰(zhàn)略??傊?,這將向利益相關(guān)方確認(rèn)信息安全治理的高可信度。

A-企業(yè)治理
1 組織文化
2 法律、法規(guī)和合同要求
3 組織結(jié)構(gòu)、角色和職責(zé)		B-信息安全戰(zhàn)略
1 信息安全戰(zhàn)略發(fā)展
2 信息治理框架和標(biāo)準(zhǔn)
3 戰(zhàn)略規(guī)劃(例如,預(yù)算、資源、商業(yè)案例)

20%-領(lǐng)域2:信息安全風(fēng)險(xiǎn)管理
該領(lǐng)域使您能夠分析和識(shí)別潛在的信息安全風(fēng)險(xiǎn)、威脅和漏洞,并為您提供識(shí)別和應(yīng)對(duì)信息安全風(fēng)險(xiǎn)所需的所有信息。

A-信息安全風(fēng)險(xiǎn)評(píng)估
1 新出現(xiàn)的風(fēng)險(xiǎn)和威脅形勢(shì)
2 脆弱性和控制缺陷分析
3 風(fēng)險(xiǎn)評(píng)估和分析		B-信息安全風(fēng)險(xiǎn)響應(yīng)
1 風(fēng)險(xiǎn)處理/風(fēng)險(xiǎn)應(yīng)對(duì)選項(xiàng)
2 風(fēng)險(xiǎn)和控制所有權(quán)
3 風(fēng)險(xiǎn)監(jiān)控和報(bào)告

33%-領(lǐng)域3:信息安全計(jì)劃
該領(lǐng)域涵蓋信息安全的資源、資產(chǎn)分類(lèi)和框架,并使您能夠管理信息安全計(jì)劃,包括安全控制、測(cè)試、通信、報(bào)告和實(shí)施。

A-信息安全計(jì)劃開(kāi)發(fā)
1 信息安全計(jì)劃資源(如人員、工具、技術(shù))
2 信息資產(chǎn)識(shí)別和分類(lèi)
3 信息安全的行業(yè)標(biāo)準(zhǔn)和框架
4 信息安全政策、程序和指南
5 信息安全計(jì)劃指標(biāo)
B-信息安全計(jì)劃管理
1 信息安全控制設(shè)計(jì)和選擇
2 信息安全控制實(shí)施和集成
3 信息安全控制測(cè)試和評(píng)估
4 信息安全意識(shí)和培訓(xùn)
5 外部服務(wù)的管理(如提供商、供應(yīng)商、第三方、第四方)
6 信息安全計(jì)劃通信和報(bào)告

30%-領(lǐng)域4:事故管理
該領(lǐng)域提供風(fēng)險(xiǎn)管理和準(zhǔn)備方面的深入培訓(xùn),包括如何讓企業(yè)做好應(yīng)對(duì)事故的準(zhǔn)備和指導(dǎo)恢復(fù)。第二個(gè)模塊涵蓋事件管理的工具、評(píng)估和遏制方法。

A-事故管理準(zhǔn)備就緒
1 事故響應(yīng)計(jì)劃
2 業(yè)務(wù)影響分析(BIA)
3 業(yè)務(wù)連續(xù)性計(jì)劃(BCP)
4 災(zāi)難恢復(fù)計(jì)劃
5 事故分類(lèi)/歸類(lèi)
6 事故管理培訓(xùn)、測(cè)試和評(píng)估		B-事故管理運(yùn)營(yíng)
1 事故管理工具和技術(shù)
2 事故調(diào)查和評(píng)估
3 事故遏制方法
4 事故響應(yīng)溝通(例如,報(bào)告、通知、上報(bào))
5 事故根除和恢復(fù)
6 事故后審查實(shí)踐

任務(wù)

1 確定影響信息安全戰(zhàn)略的內(nèi)部和外部因素。
2 建立和/或維護(hù)與組織目標(biāo)一致的信息安全戰(zhàn)略。
3 建立和/或維護(hù)信息安全治理框架。
4 將信息安全治理整合到公司治理中。
5 建立和維護(hù)信息安全政策,以指導(dǎo)標(biāo)準(zhǔn)、程序和準(zhǔn)則的制定。
6 開(kāi)發(fā)業(yè)務(wù)案例以支持信息安全投資。
7 獲得高層領(lǐng)導(dǎo)和其他利益相關(guān)方的持續(xù)_,以支持信息安全戰(zhàn)略的成功實(shí)施。
8 在整個(gè)組織和各級(jí)權(quán)力機(jī)構(gòu)中定義、傳達(dá)和監(jiān)控信息安全責(zé)任。
9 就信息安全計(jì)劃的活動(dòng)、趨勢(shì)和整體有效性,編制并向主要利益相關(guān)方提交報(bào)告。
10 評(píng)估信息安全指標(biāo)并向主要利益相關(guān)方報(bào)告。
11 根據(jù)信息安全戰(zhàn)略建立和/或維護(hù)信息安全計(jì)劃。
12 使信息安全計(jì)劃與其他業(yè)務(wù)職能部門(mén)的運(yùn)營(yíng)目標(biāo)保持一致。
13 建立和維護(hù)信息安全流程和資源,以執(zhí)行信息安全計(jì)劃。
14 建立、傳達(dá)和維護(hù)組織信息安全政策、標(biāo)準(zhǔn)、指南、程序和其他文件。
15 建立、推廣和維護(hù)信息安全意識(shí)和培訓(xùn)計(jì)劃。
16 將信息安全要求集成到組織流程中,以維護(hù)組織的安全策略。
17 將信息安全要求整合到外部各方的合同和活動(dòng)中。
18 監(jiān)控外部各方對(duì)既定安全要求的遵守情況。
19 定義和監(jiān)控信息安全計(jì)劃的管理和運(yùn)營(yíng)指標(biāo)。
20 建立和/或維護(hù)信息資產(chǎn)識(shí)別和分類(lèi)流程。
21 確定法律、法規(guī)、組織和其他適用的合規(guī)要求。
22 參與和/或監(jiān)督風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程。
23 參與和/或監(jiān)督漏洞評(píng)估和威脅分析流程。
24 根據(jù)組織的風(fēng)險(xiǎn)偏好,確定、推薦或?qū)嵤┻m當(dāng)?shù)娘L(fēng)險(xiǎn)處理和響應(yīng)方案,將風(fēng)險(xiǎn)控制在可接受的水平。
25 確定信息安全控制措施是否適當(dāng),并有效地將風(fēng)險(xiǎn)控制在可接受的水平。
26 促進(jìn)信息風(fēng)險(xiǎn)管理與業(yè)務(wù)和IT流程的集成。
27 監(jiān)控可能需要重新評(píng)估風(fēng)險(xiǎn)的內(nèi)部和外部因素。
28 向主要利益相關(guān)方報(bào)告信息安全風(fēng)險(xiǎn),包括信息風(fēng)險(xiǎn)中的違規(guī)和變化,以促進(jìn)風(fēng)險(xiǎn)管理決策流程。
29 根據(jù)業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃,建立并維護(hù)事件響應(yīng)計(jì)劃。
30 建立和維護(hù)信息安全事件分類(lèi)和歸類(lèi)流程。
31 制定和實(shí)施流程以確保及時(shí)識(shí)別信息安全事件。
32 根據(jù)法律和法規(guī)要求,建立和維護(hù)調(diào)查和記錄信息安全事件的流程。
33 建立和維護(hù)事故處理流程,包括遏制、通知、上報(bào)、根除和恢復(fù)。
34 組織、培訓(xùn)、裝備事故響應(yīng)團(tuán)隊(duì)并分配職責(zé)。
35 為內(nèi)部和外部各方建立和維護(hù)事故溝通計(jì)劃和流程。
36 通過(guò)測(cè)試和審查評(píng)估事故管理計(jì)劃,包括桌面練習(xí)、清單審查和計(jì)劃時(shí)間間隔的模擬測(cè)試。
37 進(jìn)行事故后審查以促進(jìn)持續(xù)改進(jìn),包括根本原因分析、經(jīng)驗(yàn)教訓(xùn)、糾正措施和風(fēng)險(xiǎn)重新評(píng)估。

* 以上內(nèi)容參考ISACA官方的CISM考試內(nèi)容說(shuō)明,原文內(nèi)容參見(jiàn):點(diǎn)此>>

ISACA官方考試說(shuō)明,在線(xiàn)預(yù)覽↓↓↓

ISACA-Exam-Candidate-Guide

點(diǎn)擊獲取《ISACA考試認(rèn)證手冊(cè)(含CISM考試說(shuō)明)》[PDF]

點(diǎn)擊進(jìn)行CISM考試樣題測(cè)試[在線(xiàn)/英文]

CISM報(bào)考流程

審核報(bào)考資格去審核

參加培訓(xùn)課程填寫(xiě)報(bào)名表→開(kāi)始學(xué)習(xí)→獲得報(bào)考資質(zhì)
*艾威(授權(quán)機(jī)構(gòu))出具培訓(xùn)證明

參加考試約考→考試→申請(qǐng)證書(shū)(申領(lǐng)/續(xù)證)
*艾威提供全程服務(wù),歡迎咨詢(xún)

以我現(xiàn)在的基礎(chǔ),考CISM能考幾分?

CISM考試難不難?通過(guò)率怎么樣? 預(yù)約模擬自測(cè)
艾威數(shù)字化人才培訓(xùn)中心
培養(yǎng)新時(shí)代“數(shù)字化”關(guān)鍵人才,定制綜合培訓(xùn)方案
  • 艾威擁有20年職業(yè)認(rèn)證培訓(xùn)經(jīng)驗(yàn),考證書(shū)、評(píng)職稱(chēng)、職業(yè)規(guī)劃、能力提升,我們以培養(yǎng)數(shù)字化頂尖人才為己任
  • 艾威擁有30多家國(guó)際權(quán)威廠(chǎng)商授權(quán)資質(zhì),引入國(guó)際前沿?cái)?shù)字化技術(shù)與知識(shí)體系,為學(xué)員提供正規(guī)課程培訓(xùn)
  • 艾威的課程覆蓋“管理與商業(yè)”、“IT管理與運(yùn)營(yíng)”、“數(shù)字化技術(shù)”三大領(lǐng)域的18大能力,幫助學(xué)員成為高級(jí)職業(yè)經(jīng)理人、成為數(shù)字化管理與技術(shù)方面的專(zhuān)業(yè)人才
  • 艾威數(shù)字化人才培訓(xùn)中心,針對(duì)數(shù)字化人才的18大能力提供完整的培訓(xùn)方案,從思維養(yǎng)成、實(shí)踐與工具以及認(rèn)證備考3大模塊出發(fā),全面提升職場(chǎng)競(jìng)爭(zhēng)力。
數(shù)字化人才18大能力課程 ? 查看近期課程開(kāi)班計(jì)劃 ?