該課程的主要對象是承擔(dān)信息安全領(lǐng)導(dǎo)責(zé)任的高級管理者
五 (5) 年以上(含)信息安全管理工作經(jīng)驗。經(jīng)驗最長可抵減兩 (2) 年。比如:CISA 及 CISSP 認(rèn)證減免兩年
考試語言 | 中文考試/英文考試 |
考試形式 | 在線機(jī)考 |
考試費用 | 詳詢艾威課程顧問 |
考試時間 | 隨約隨考(提前1-4周做報考) |
考試時長 | 4小時(國內(nèi)線下考場考試時間: 09:00-13:00/13:00-17:00) |
考試題型 | 150道單選題。 |
通過條件 | 獲得標(biāo)準(zhǔn)分450分通過(滿分800分),即110題及格 |
17%-領(lǐng)域1:信息安全治理
該領(lǐng)域?qū)槟峁ζ髽I(yè)治理中涉及的文化、法規(guī)和結(jié)構(gòu)的透徹了解,并使您能夠分析、規(guī)劃和開發(fā)信息安全戰(zhàn)略。總之,這將向利益相關(guān)方確認(rèn)信息安全治理的高可信度。
A-企業(yè)治理 1 組織文化 2 法律、法規(guī)和合同要求 3 組織結(jié)構(gòu)、角色和職責(zé) | B-信息安全戰(zhàn)略 1 信息安全戰(zhàn)略發(fā)展 2 信息治理框架和標(biāo)準(zhǔn) 3 戰(zhàn)略規(guī)劃(例如,預(yù)算、資源、商業(yè)案例) |
20%-領(lǐng)域2:信息安全風(fēng)險管理
該領(lǐng)域使您能夠分析和識別潛在的信息安全風(fēng)險、威脅和漏洞,并為您提供識別和應(yīng)對信息安全風(fēng)險所需的所有信息。
A-信息安全風(fēng)險評估 1 新出現(xiàn)的風(fēng)險和威脅形勢 2 脆弱性和控制缺陷分析 3 風(fēng)險評估和分析 | B-信息安全風(fēng)險響應(yīng) 1 風(fēng)險處理/風(fēng)險應(yīng)對選項 2 風(fēng)險和控制所有權(quán) 3 風(fēng)險監(jiān)控和報告 |
33%-領(lǐng)域3:信息安全計劃
該領(lǐng)域涵蓋信息安全的資源、資產(chǎn)分類和框架,并使您能夠管理信息安全計劃,包括安全控制、測試、通信、報告和實施。
A-信息安全計劃開發(fā) 1 信息安全計劃資源(如人員、工具、技術(shù)) 2 信息資產(chǎn)識別和分類 3 信息安全的行業(yè)標(biāo)準(zhǔn)和框架 4 信息安全政策、程序和指南 5 信息安全計劃指標(biāo) B-信息安全計劃管理 1 信息安全控制設(shè)計和選擇 2 信息安全控制實施和集成 3 信息安全控制測試和評估 4 信息安全意識和培訓(xùn) 5 外部服務(wù)的管理(如提供商、供應(yīng)商、第三方、第四方) 6 信息安全計劃通信和報告 |
30%-領(lǐng)域4:事故管理
該領(lǐng)域提供風(fēng)險管理和準(zhǔn)備方面的深入培訓(xùn),包括如何讓企業(yè)做好應(yīng)對事故的準(zhǔn)備和指導(dǎo)恢復(fù)。第二個模塊涵蓋事件管理的工具、評估和遏制方法。
A-事故管理準(zhǔn)備就緒 1 事故響應(yīng)計劃 2 業(yè)務(wù)影響分析(BIA) 3 業(yè)務(wù)連續(xù)性計劃(BCP) 4 災(zāi)難恢復(fù)計劃 5 事故分類/歸類 6 事故管理培訓(xùn)、測試和評估 | B-事故管理運營 1 事故管理工具和技術(shù) 2 事故調(diào)查和評估 3 事故遏制方法 4 事故響應(yīng)溝通(例如,報告、通知、上報) 5 事故根除和恢復(fù) 6 事故后審查實踐 |
任務(wù)
1 確定影響信息安全戰(zhàn)略的內(nèi)部和外部因素。 2 建立和/或維護(hù)與組織目標(biāo)一致的信息安全戰(zhàn)略。 3 建立和/或維護(hù)信息安全治理框架。 4 將信息安全治理整合到公司治理中。 5 建立和維護(hù)信息安全政策,以指導(dǎo)標(biāo)準(zhǔn)、程序和準(zhǔn)則的制定。 6 開發(fā)業(yè)務(wù)案例以支持信息安全投資。 7 獲得高層領(lǐng)導(dǎo)和其他利益相關(guān)方的持續(xù)_,以支持信息安全戰(zhàn)略的成功實施。 8 在整個組織和各級權(quán)力機(jī)構(gòu)中定義、傳達(dá)和監(jiān)控信息安全責(zé)任。 9 就信息安全計劃的活動、趨勢和整體有效性,編制并向主要利益相關(guān)方提交報告。 10 評估信息安全指標(biāo)并向主要利益相關(guān)方報告。 11 根據(jù)信息安全戰(zhàn)略建立和/或維護(hù)信息安全計劃。 12 使信息安全計劃與其他業(yè)務(wù)職能部門的運營目標(biāo)保持一致。 13 建立和維護(hù)信息安全流程和資源,以執(zhí)行信息安全計劃。 14 建立、傳達(dá)和維護(hù)組織信息安全政策、標(biāo)準(zhǔn)、指南、程序和其他文件。 15 建立、推廣和維護(hù)信息安全意識和培訓(xùn)計劃。 16 將信息安全要求集成到組織流程中,以維護(hù)組織的安全策略。 17 將信息安全要求整合到外部各方的合同和活動中。 18 監(jiān)控外部各方對既定安全要求的遵守情況。 19 定義和監(jiān)控信息安全計劃的管理和運營指標(biāo)。 20 建立和/或維護(hù)信息資產(chǎn)識別和分類流程。 21 確定法律、法規(guī)、組織和其他適用的合規(guī)要求。 22 參與和/或監(jiān)督風(fēng)險識別、風(fēng)險評估和風(fēng)險處理過程。 23 參與和/或監(jiān)督漏洞評估和威脅分析流程。 24 根據(jù)組織的風(fēng)險偏好,確定、推薦或?qū)嵤┻m當(dāng)?shù)娘L(fēng)險處理和響應(yīng)方案,將風(fēng)險控制在可接受的水平。 25 確定信息安全控制措施是否適當(dāng),并有效地將風(fēng)險控制在可接受的水平。 26 促進(jìn)信息風(fēng)險管理與業(yè)務(wù)和IT流程的集成。 27 監(jiān)控可能需要重新評估風(fēng)險的內(nèi)部和外部因素。 28 向主要利益相關(guān)方報告信息安全風(fēng)險,包括信息風(fēng)險中的違規(guī)和變化,以促進(jìn)風(fēng)險管理決策流程。 29 根據(jù)業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃,建立并維護(hù)事件響應(yīng)計劃。 30 建立和維護(hù)信息安全事件分類和歸類流程。 31 制定和實施流程以確保及時識別信息安全事件。 32 根據(jù)法律和法規(guī)要求,建立和維護(hù)調(diào)查和記錄信息安全事件的流程。 33 建立和維護(hù)事故處理流程,包括遏制、通知、上報、根除和恢復(fù)。 34 組織、培訓(xùn)、裝備事故響應(yīng)團(tuán)隊并分配職責(zé)。 35 為內(nèi)部和外部各方建立和維護(hù)事故溝通計劃和流程。 36 通過測試和審查評估事故管理計劃,包括桌面練習(xí)、清單審查和計劃時間間隔的模擬測試。 37 進(jìn)行事故后審查以促進(jìn)持續(xù)改進(jìn),包括根本原因分析、經(jīng)驗教訓(xùn)、糾正措施和風(fēng)險重新評估。 |
* 以上內(nèi)容參考ISACA官方的CISM考試內(nèi)容說明,原文內(nèi)容參見:點此>>
ISACA官方考試說明,在線預(yù)覽↓↓↓
ISACA-Exam-Candidate-Guide以我現(xiàn)在的基礎(chǔ),考CISM能考幾分?
CISM考試難不難?通過率怎么樣? 預(yù)約模擬自測