已通过cism认证? 登录myisaca

CISM考试包括哪些内容?

认证信息安全经理® CISM(概述个人状况®)考试包括150个问题,涵盖4个工作实践领域, 所有这些都是在专业人士的指导下,在现实生活中测试你的知识和能力.

以下是考生将测试的主要领域、子主题和任务:

17%
Domain 1 >

资讯保安管治
20%
Domain 2 >

资讯安全风险管理
33%
Domain 3 >

资讯保安计划
30%
Domain 4 >

事件管理
拿到你的考生指南 获取备考材料
挂证书

ISACA的承诺

自2002年成立以来, 超过45,000人获得了ISACA的CISM认证,以证明他们在信息安全治理方面的专业知识, 项目开发和管理, 事件管理和风险管理. 该域, 子主题和任务是广泛研究的结果, 反馈, 并获得来自世界各地的主题专家和杰出行业领袖的认可.

通过CISM认证测试和验证的工作实践领域

17%域1 -资讯保安管治

这个领域将为您提供对文化的全面了解, 澳门赌场官方下载治理涉及的法规和结构, 也能让你分析, 规划和发展信息安全策略. 总之,这将向利益相关者确认信息安全治理的高水平可信度.

一个澳门赌场官方下载治理

  1. 组织文化
  2. 法律、法规和合同要求
  3. 组织结构、角色和职责

b -信息安全策略

  1. 资讯保安策略发展
  2. 信息治理框架和标准
  3. 策略规划(e).g.,预算,资源,业务案例)

20%域2 -资讯保安风险管理

此域使您能够分析和识别潜在的信息安全风险, 威胁和漏洞,以及为您提供有关识别和应对信息安全风险的所有信息,您将需要在管理层执行.

a -信息安全风险评估

  1. 新出现的风险和威胁形势
  2. 脆弱性与控制缺陷分析
  3. 风险评估与分析

b -信息安全风险应对

  1. 风险处理/风险应对方案
  2. 风险与控制
  3. 风险监察及报告

33%域3 -资讯保安计划

这个域涵盖了资源, 信息安全的资产分类和框架,以及授权您管理信息安全计划, 包括安全控制, 测试, 通讯、报告和执行.

信息安全程序开发

  1. 信息安全计划资源(e.g.,人,工具,技术)
  2. 信息资产识别与分类
  3. 信息安全的行业标准和框架
  4. 资讯保安政策、程序及指引
  5. 资讯保安计划指标

b -信息安全项目管理

  1. 信息安全控制设计与选择
  2. 信息安全控制实施与集成
  3. 信息安全控制测试与评估
  4. 资讯保安意识及训练
  5. 外部服务管理(e.g.(供应商、供应商、第三方、第四方)
  6. 信息安全程序通信和报告

30%领域4 -事件管理

这个领域提供风险管理和准备方面的深入培训, 包括如何准备澳门赌场官方下载应对事件和指导恢复. 第二个模块涵盖事件管理的工具、评估和遏制方法.

事件管理准备情况

  1. 事件应变计划
  2. 业务影响分析(BIA)
  3. 业务连续性计划(BCP)
  4. 灾难恢复计划(DRP)
  5. 事件分类/分类
  6. 事故管理培训、测试和评估

b -事件管理操作

  1. 事件管理工具和技术
  2. 事故调查及评估
  3. 事件控制方法
  4. 事件应变通讯(e.g.(报告、通知、升级)
  5. 事件根除及恢复
  6. 事后检讨措施

支持任务

  1. 识别影响信息安全策略的组织内部和外部影响.
  2. 建立和/或维护符合组织目标的信息安全策略.
  3. 建立和/或维护信息安全治理框架.
  4. 将信息安全治理整合到公司治理中.
  5. 建立和维护信息安全政策,以指导标准的制定, 程序及指引.
  6. 开发业务案例以支持信息安全方面的投资.
  7. 获得高层领导和其他利益相关者的持续承诺,以支持信息安全战略的成功实施.
  8. 定义, 沟通和监控整个组织和权限线的信息安全责任.
  9. 编写并向主要利益相关者提交有关活动的报告, 信息安全计划的趋势和整体有效性.
  10. 评估并向关键利益相关者报告信息安全指标.
  11. 根据信息安全策略建立和/或维护信息安全程序.
  12. 使信息安全计划与其他业务职能的运营目标保持一致.
  13. 建立和维护信息安全流程和资源,以执行信息安全计划.
  14. 建立, 沟通和维护组织的信息安全政策, 标准, 的指导方针, 程序和其他文件.
  15. 建立、推广和维护信息安全意识和培训计划.
  16. 将信息安全需求集成到组织流程中,以维护组织的安全策略.
  17. 将信息安全需求集成到合同和外部各方的活动中.
  18. 监控外部各方对既定安全需求的遵守情况.
  19. 定义和监控信息安全项目的管理和运营指标.
  20. 建立和/或维护信息资产识别和分类的过程.
  21. 识别法律、法规、组织和其他适用的合规要求.
  22. 参与和/或监督风险识别,风险评估和风险处理过程.
  23. 参与和/或监督漏洞评估和威胁分析过程.
  24. 识别, 建议或实施适当的风险处理和响应方案,以根据组织的风险偏好将风险管理到可接受的水平.
  25. 确定信息安全控制是否适当,是否有效地将风险管理到可接受的水平.
  26. 促进将信息风险管理集成到业务和IT流程中.
  27. 监控可能需要重新评估风险的内部和外部因素.
  28. 报告信息安全风险, 包括不合规和信息变更风险, 对主要利益相关者,以促进风险管理决策过程.
  29. 建立和维护事件响应计划, 与业务连续性计划和灾难恢复计划保持一致.
  30. 建立和维护信息安全事件分类和分类流程.
  31. 制定和实施流程,确保及时识别信息安全事件.
  32. 根据法律法规要求,建立并维护调查和记录信息安全事件的流程.
  33. 建立和维护事件处理流程, 包括控制, 通知, 升级, 根除和恢复.
  34. 组织、培训、装备和分配事件响应小组的职责.
  35. 为内部和外部各方建立和维护事件沟通计划和流程.
  36. 通过测试和审查评估事件管理计划, 包括桌面练习, 按计划的时间间隔审查检查表和模拟测试.
  37. 进行事件后评审以促进持续改进, 包括根本原因分析, 经验教训, 纠正措施和风险再评估.

为考试做准备

ISACA提供各种备考资源,包括小组培训, 自定进度的培训和各种语言的学习资源,帮助您准备您的认证考试. 选择适合你的时间表和学习需要的方法.

访问所有cism考试准备材料

下载考试术语表

在准备CISM考试时,请浏览我们将在考试中出现的术语列表. 查看英语中的术语以及它们在其他语言中的显示方式.

简体中文 | 日本 | 西班牙语