CISM - Certified Information Security Manager

本課程沒有設定先決條件。 ISACA 確實需要至少五年的專業資訊安全工作經驗才有資格獲得完整認證。您可以在滿足 ISACA 的經驗要求之前參加 CISM 考試，但 CISM 資格是在您滿足經驗要求之後授予的。但是，在職業生涯的早期階段獲得認證並開始實踐全球認可的資訊安全管理實踐沒有任何限制。

描述：

免責聲明：請注意，此更新的 CISM 考試內容大綱適用於 2022 年 6 月 1 日開始的考試。

CISM® 是當今全球資訊安全經理最負盛名和最苛刻的資格。該資格為您提供了一個平臺，讓您成為精英同行網路的一部分，他們有能力不斷學習和重新學習資訊安全領域不斷增長的機遇/挑戰 Management。

我們的 CISM 培訓方法深入涵蓋了四個 CISM 領域的內容，明確側重於構建概念和解決 ISACA 發佈的 CISM 考試問題。該課程是針對 ISACA 認證資訊安全經理 （CISM®） 考試的強化培訓和硬核考試準備。

我們的講師鼓勵所有出席的代表通過 ISACA 發佈的 CISM QA&E（問題、答案和解釋）作為考試準備 - 作為我們課程的一部分，您可以免費獲得此課程。QA&E 在説明代表們理解 ISACA 的問題風格、解決這些問題的方法方面非常出色，它有助於在現場課堂會議中快速吸收 CISM 概念。
我們所有的培訓師在提供 CISM 培訓方面擁有豐富的經驗。我們將為您準備 CISM 考試。

Goal：

最終目標是第一次通過CISM考試。

目標：

• 以對組織有益的實用方式使用所獲得的知識
• 建立和維護資訊安全治理框架，以實現您的組織目標
• 將信息風險管理到可接受的水準，以滿足業務和法規遵從性要求
• 建立和維護資訊安全架構（人員、流程、技術）
• 將資訊安全要求整合到第三方/供應商的合同和活動中
• 規劃、建立和管理檢測、調查、回應資訊安全事件並從中恢復的能力，以最大限度地減少對業務的影響

目標受眾：

• 具有3-5年一線經驗的安全專業人員
• 資訊安全經理或負責管理的人員
• 資訊安全人員、需要深入瞭解資訊安全管理的資訊安全保障供應商，包括：CISO、CIO、CSO、隱私官、風險經理、安全審計師和合規人員、BCP/DR 人員、負責保障職能的執行和運營經理

領域 1—資訊安全治理 (24%)

建立和維護資訊安全治理框架和支援流程，以確保資訊安全戰略與組織目標保持一致，適當管理資訊風險，負責任地管理計劃資源。

• 1.1 建立和維護符合組織目標的資訊安全戰略，以指導資訊安全計劃的建立和持續管理。
• 1.2 建立和維護資訊安全治理框架，以指導支持資訊安全戰略的活動。
• 1.3 將資訊安全治理納入公司治理，以確保資訊安全計劃支援組織目標和目標。
• 1.4 建立和維護資訊安全政策，以傳達管理階層的指示並指導標準、程序和指南的製定。
• 1.5 開發業務案例以支援對資訊安全的投資。
• 1.6 確定對組織的內部和外部影響（例如，技術、業務環境、風險承受能力、地理位置、法律和監管要求），以確保資訊安全策略解決這些因素。
• 1.7 獲得高級管理層的承諾和其他利益相關者的支援，以最大限度地提高成功實施資訊安全戰略的可能性。
• 1.8 定義並傳達整個組織資訊安全的角色和職責，以建立明確的問責制和權力範圍。
• 1.9 建立、監控、評估和報告指標（例如，關鍵目標指標 [KGI]、關鍵績效指標 [KPI]、關鍵風險指標 [KRI]），為管理層提供有關資訊安全策略有效性的準確資訊。

領域 2 — 資訊風險管理與合規性 (33%)

將信息風險管理到可接受的級別，以滿足組織的業務和法規遵從性要求。

• 2.1 建立並維護資訊資產識別和分類流程，以確保為保護資產而採取的措施與其業務價值成正比。
• 2.2 確定法律、法規、組織和其他適用要求，以將不合規風險管理在可接受的水準。
• 2.3 確保定期、一致地進行風險評估、脆弱性評估和威脅分析，以識別組織資訊的風險。
• 2.4 確定並實施適當的風險處理方案，將風險控制在可接受的水準。
• 2.5 評估資訊安全控制措施，以確定它們是否適當，並有效地將風險降低到可接受的水準。
• 2.6 將資訊風險管理納入業務和資訊技術流程（例如，開發、採購、專案管理、兼併和收購），以促進整個組織一致和全面的信息風險管理流程。
• 2.7 監控現有風險，以確保正確識別和管理變更。
• 2.8 向適當的管理層報告信息風險的不合規和其他變化，以協助風險管理決策過程。

領域 3 — 資訊安全計畫開發與管理 (25%)

根據資訊安全策略建立和管理資訊安全計劃。

• 3.1 建立和維護與資訊安全戰略相一致的資訊安全計劃。
• 3.2 確保資訊安全計劃與其他業務職能（例如，人力資源 [HR]、會計、採購和IT）保持一致，以支援與業務流程的集成。
• 3.3 識別、獲取、管理和定義執行資訊安全計劃的內部和外部資源的要求。
• 3.4 建立和維護資訊安全架構（人員、流程、技術）以執行資訊安全計劃。
• 3.5 建立、溝通和維護組織資訊安全標準、程式、指南和其他檔，以支持和指導對資訊安全政策的遵守。
• 3.6 建立和維護資訊安全意識和培訓計劃，以促進安全的環境和有效的安全文化。
• 3.7 將資訊安全要求整合到組織流程（例如變更控制、併購、開發、業務連續性、災難復原）中，以維護組織的安全基準。
• 3.8 將資訊安全要求整合到第三方（例如合資企業、外包提供者、業務合作夥伴、客戶）的合約和活動中，以維護組織的安全基線。
• 3.9 建立、監控和定期報告計劃管理和運營指標，以評估資訊安全計劃的有效性和效率。

領域 4 — 資訊安全事件管理 (18%)

規劃、建立和管理檢測、調查、回應資訊安全事件並從中恢復的能力，以最大程度地減少業務影響。

• 4.1 建立並維護資訊安全事件分類和分類流程，以便準確識別和回應事件。
• 4.2 建立、維護事件回應計劃，並使之與業務連續性計劃和災難恢復計劃保持一致，以確保有效、及時地響應資訊安全事件。
• 4.3 制定和實施流程，確保及時識別資訊安全事件。
• 4.4 建立和維護調查和記錄資訊安全事件的流程，以便能夠在遵守法律、法規和組織要求的同時做出適當的回應並確定其原因。
• 4.5 建立和維護事件處理流程，以確保適當的利益相關者參與事件回應管理。
• 4.6 組織、培訓、裝備團隊，及時有效應對資訊安全事件。
• 4.7 定期測試和審查事件管理計劃，以確保對資訊安全事件的有效回應，並提高回應能力。
• 4.8 建立和維護溝通計劃和流程，以管理與內部和外部實體的溝通。
• 4.9 進行事後審查，以確定資訊安全事件的根本原因，制定糾正措施，重新評估風險，評估回應效果並採取適當的補救措施。
• 4.10 建立並維護事件響應計劃、災難恢復計劃和業務連續性計劃之間的集成。