CISM - Certified Information Security Manager

本课程没有设定先决条件。 ISACA 确实需要至少五年的专业资讯安全工作经验才有资格获得完整认证。您可以在满足 ISACA 的经验要求之前参加 CISM 考试，但 CISM 资格是在您满足经验要求之后授予的。但是，在职业生涯的早期阶段获得认证并开始实践全球认可的资讯安全管理实践没有任何限制。

描述：

免责声明：请注意，此更新的 CISM 考试内容大纲适用于 2022 年 6 月 1 日开始的考试。

CISM® 是当今全球资讯安全经理最负盛名和最苛刻的资格。该资格为您提供了一个平台，让您成为精英同行网路的一部分，他们有能力不断学习和重新学习资讯安全领域不断增长的机遇/挑战 Management。

我们的 CISM 培训方法深入涵盖了四个 CISM 领域的内容，明确侧重于构建概念和解决 ISACA 发布的 CISM 考试问题。该课程是针对 ISACA 认证资讯安全经理 （CISM®） 考试的强化培训和硬核考试准备。

我们的讲师鼓励所有出席的代表通过 ISACA 发布的 CISM QA&E（问题、答案和解释）作为考试准备 - 作为我们课程的一部分，您可以免费获得此课程。QA&E 在说明代表们理解 ISACA 的问题风格、解决这些问题的方法方面非常出色，它有助于在现场课堂会议中快速吸收 CISM 概念。
我们所有的培训师在提供 CISM 培训方面拥有丰富的经验。我们将为您准备 CISM 考试。

Goal：

最终目标是第一次通过CISM考试。

目标：

• 以对组织有益的实用方式使用所获得的知识
• 建立和维护资讯安全治理框架，以实现您的组织目标
• 将信息风险管理到可接受的水准，以满足业务和法规遵从性要求
• 建立和维护资讯安全架构（人员、流程、技术）
• 将资讯安全要求整合到第三方/供应商的合同和活动中
• 规划、建立和管理检测、调查、回应资讯安全事件并从中恢复的能力，以最大限度地减少对业务的影响

目标受众：

• 具有3-5年一线经验的安全专业人员
• 资讯安全经理或负责管理的人员
• 资讯安全人员、需要深入了解资讯安全管理的资讯安全保障供应商，包括：CISO、CIO、CSO、隐私官、风险经理、安全审计师和合规人员、BCP/DR 人员、负责保障职能的执行和运营经理

领域 1—资讯安全治理 (24%)

建立和维护资讯安全治理框架和支援流程，以确保资讯安全战略与组织目标保持一致，适当管理资讯风险，负责任地管理计划资源。

• 1.1 建立和维护符合组织目标的资讯安全战略，以指导资讯安全计划的建立和持续管理。
• 1.2 建立和维护资讯安全治理框架，以指导支持资讯安全战略的活动。
• 1.3 将资讯安全治理纳入公司治理，以确保资讯安全计划支援组织目标和目标。
• 1.4 建立和维护资讯安全政策，以传达管理阶层的指示并指导标准、程序和指南的制定。
• 1.5 开发业务案例以支援对资讯安全的投资。
• 1.6 确定对组织的内部和外部影响（例如，技术、业务环境、风险承受能力、地理位置、法律和监管要求），以确保资讯安全策略解决这些因素。
• 1.7 获得高级管理层的承诺和其他利益相关者的支援，以最大限度地提高成功实施资讯安全战略的可能性。
• 1.8 定义并传达整个组织资讯安全的角色和职责，以建立明确的问责制和权力范围。
• 1.9 建立、监控、评估和报告指标（例如，关键目标指标 [KGI]、关键绩效指标 [KPI]、关键风险指标 [KRI]），为管理层提供有关资讯安全策略有效性的准确资讯。

领域 2 — 资讯风险管理与合规性 (33%)

将信息风险管理到可接受的级别，以满足组织的业务和法规遵从性要求。

• 2.1 建立并维护资讯资产识别和分类流程，以确保为保护资产而采取的措施与其业务价值成正比。
• 2.2 确定法律、法规、组织和其他适用要求，以将不合规风险管理在可接受的水准。
• 2.3 确保定期、一致地进行风险评估、脆弱性评估和威胁分析，以识别组织资讯的风险。
• 2.4 确定并实施适当的风险处理方案，将风险控制在可接受的水准。
• 2.5 评估资讯安全控制措施，以确定它们是否适当，并有效地将风险降低到可接受的水准。
• 2.6 将资讯风险管理纳入业务和资讯技术流程（例如，开发、采购、专案管理、兼并和收购），以促进整个组织一致和全面的信息风险管理流程。
• 2.7 监控现有风险，以确保正确识别和管理变更。
• 2.8 向适当的管理层报告信息风险的不合规和其他变化，以协助风险管理决策过程。

领域 3 — 资讯安全计画开发与管理 (25%)

根据资讯安全策略建立和管理资讯安全计划。

• 3.1 建立和维护与资讯安全战略相一致的资讯安全计划。
• 3.2 确保资讯安全计划与其他业务职能（例如，人力资源 [HR]、会计、采购和IT）保持一致，以支援与业务流程的集成。
• 3.3 识别、获取、管理和定义执行资讯安全计划的内部和外部资源的要求。
• 3.4 建立和维护资讯安全架构（人员、流程、技术）以执行资讯安全计划。
• 3.5 建立、沟通和维护组织资讯安全标准、程式、指南和其他档，以支持和指导对资讯安全政策的遵守。
• 3.6 建立和维护资讯安全意识和培训计划，以促进安全的环境和有效的安全文化。
• 3.7 将资讯安全要求整合到组织流程（例如变更控制、并购、开发、业务连续性、灾难复原）中，以维护组织的安全基准。
• 3.8 将资讯安全要求整合到第三方（例如合资企业、外包提供者、业务合作伙伴、客户）的合约和活动中，以维护组织的安全基线。
• 3.9 建立、监控和定期报告计划管理和运营指标，以评估资讯安全计划的有效性和效率。

领域 4 — 资讯安全事件管理 (18%)

规划、建立和管理检测、调查、回应资讯安全事件并从中恢复的能力，以最大程度地减少业务影响。

• 4.1 建立并维护资讯安全事件分类和分类流程，以便准确识别和回应事件。
• 4.2 建立、维护事件回应计划，并使之与业务连续性计划和灾难恢复计划保持一致，以确保有效、及时地响应资讯安全事件。
• 4.3 制定和实施流程，确保及时识别资讯安全事件。
• 4.4 建立和维护调查和记录资讯安全事件的流程，以便能够在遵守法律、法规和组织要求的同时做出适当的回应并确定其原因。
• 4.5 建立和维护事件处理流程，以确保适当的利益相关者参与事件回应管理。
• 4.6 组织、培训、装备团队，及时有效应对资讯安全事件。
• 4.7 定期测试和审查事件管理计划，以确保对资讯安全事件的有效回应，并提高回应能力。
• 4.8 建立和维护沟通计划和流程，以管理与内部和外部实体的沟通。
• 4.9 进行事后审查，以确定资讯安全事件的根本原因，制定纠正措施，重新评估风险，评估回应效果并采取适当的补救措施。
• 4.10 建立并维护事件响应计划、灾难恢复计划和业务连续性计划之间的集成。