根據美國資訊安全知名廠商ISS(Internet Security Systems)一項統計,企業在2004年第一季所偵測到的安全事件比2003年第四季多出了84%,面對層出不窮的資安事件,光靠部署防火牆、網路入侵偵測等設備不足為恃,還需有效的資訊安全管理與規劃;因此CISM主要著重在管理層面而非技術層面,並規定報考者至少要具備5年以上專業資訊系統安全相關工作經瞼,其中須有3年以上的資安主管經瞼。
ISACA要提供資訊安全經理人的認證的理由
ISACA的名字反映出它的義務及所提供的產品,並不僅限於電腦系統稽核之專業人士,還包括相關對資訊系統控制的人員。 在過去的20多年, ISACA率先針對電腦稽核師(CISA)進行認證,同時對電腦系統稽核師、資訊安全參與者及有關資訊安全管理的人員進行訓練。同時舉行一連串的會議,在業界獲得如CACS (資訊稽核, 控制和安全)的認同。 這些課程每年在全世界針對不同領域的資訊專業人員提供訓練。在近年,ISACA 在所發行的期刊中,加強了其他資訊安全的控制與活動,同時針對擔任資訊安全管理工作的專業人員進行研究。由於眾多ISACA 會員和CISA的需要,針對專職的資訊安全管理人員,於是ISACA 發展了CISM 的專業認證。
CISM的認證與其他資訊安全認證的不同
CISM不同於其他的資訊安全認證,在於它的經驗要求以及集中在資訊安全經理人工作上的執行。其他資訊安全認證重點在於特定的技術、作業平台或是產品資訊。或是針對資訊安全工作的前幾年工作。唯有CISM是針對資訊安全經理人,重點已經不再是個別的技術或者是技能,而是移轉到整個企業的資訊安全管理。 CISM是針對管理並且監督企業的資訊安全的個人,許多人可能拿在其他領域都已經持有相關的認證。
就因為集中在管理上的需要,以致工作經驗相對有其重要性,所以CISM要求最少要有3年資訊安全管理的經驗,而考試的內容也都集中在資訊安全經理人日常處理的工作上。
CISM的獨特性
CISM在資訊安全管理的證照方面具有獨特,因為它被明確設計針對市場上從事資訊安全管理的人員。對資訊安全經理人而言,經驗的要求和 CISM 考試對於履行資訊安全的職責和責任相對重要。這些要求和知識範疇經過資訊安全專家及業界的領導者所驗證過,用來測量資訊安全經理人經驗及管理能力,並非一般的通識訓練。
CISM的工作領域分析的定義
ISACA相信專業證照是在工作執行上,針對個人才能和知識的衡量。為了解資訊安全經理人需要執行那些工作以及工作的內容,ISACA組成了一個專案小組,針對業界精英、資訊安全專家就其工作內容加以分析,並將分析的結果作為考試認證的依據。 由於工作領域定義的重要性,以及資訊安全專業人員工作內容的變化。ISACA 目前也針對工作領域的劃分重新分析研究。除此之外,資訊系統安全協會,資訊安全論壇和ASIS 國際組織一同參與研究。
CISM證照的取得
想具有CISM的資格需要4個 ' e'的結合: 4個” e” 代表經驗、倫理、教育及考試。 明確的要求是︰
一、通過CISM的考試 二、遵行職業道德規範 三、對持續進修教育的承諾 四、提供證明顯示至少五年以上資訊安全的實務經驗,其中至少三年以上的管理經驗,並從事資訊安全五項工作領域(即考試範疇)中的三項。如果教育程度或其他的證明是可以抵免一般的資訊安全實務經驗。
考試範圍
CISM 考試包括5 項資訊安全管理領域,每個領域透過工作和知識範疇被更進一步詳加敘述。這些領域由CISM認證委員會針對各行業資訊安全經理人所執行的工作加以分析後所產生的結果。以下是這些領域簡短描述、定義,而測驗問題也依據近似的百分比,平均分散到每個領域。
每一個領域所屬的課題及知識範疇,是當今市場上對資訊安全經理人所應執行的工作及應具備的知識,這些資訊提供為CISM考試的基礎。