根据美国信息安全知名厂商ISS(Internet Security Systems)一项统计,企业在2004年第一季所侦测到的信息安全事件比2003年第四季多出了84%,面对层出不穷的信息安全事件,光靠部署防火墙、网路入侵等设备不足为恃,还需要有效的信息安全管理与规划;因此CISM国际注册信息安全经理主要著重在管理层面而非技术层面,并要求报考者至少要具备5年以上专业信息系统安全相关工作经验,其中须有3年以上的信息安全主管经验。
ISACA提供国际注册信息安全经理CISM的理由
ISACA的名字反映出它的义务及所提供的认证,并不仅限于信息系统审计专业人士,还包括相关对信息系统控制的人员。在过去的20多年,ISACA率先针对国际注册信息系统审计师CISA进行认证,同时对国际注册信息系统审计师CISA进行认证、信息安全参与者及有关信息安全管理的人员进行培训。在近年,ISACA在所发行的期刊中,加强了其他信息安全的控制与活动,同时针对担任信息安全管理工作的专业人员进行研究。由于众多ISACA会员和CISA的需要,针对专职的信息安全管理人员,于是ISACA 发展了CISM的专业认证。
CISM的认证与其他信息安全认证的不同
CISM不同于其他的信息安全认证,在于它的经验要求以及集中在信息安全经理人工作上的执行。其他信息安全认证重点在于特定的技术、作业平台或是产品信息。或是针对信息安全工作的前几年工作。唯有CISM是针对信息安全经理人,重点已经不再是个别的技术或者是技能,而是移转到整个企业的信息安全管理。CISM是针对管理并且监督企业的信息安全的个人,许多人可能拿在其他领域都已经持有相关的认证。就因为集中在管理上的需要,以致工作经验相对有其重要性,所以CISM要求最少要有5年信息安全管理的经验,而考试的内容也都集中在信息安全经理人日常处理的工作上。
CISM国际注册信息安全经理认证的独特性
CISM国际注册信息安全经理具有独特,因为它被明确设计针对市场上从事信息安全管理的人员。对信息安全经理人而言,经验的要求和CISM考试对于履行信息安全的职责和责任相对重要。这些要求和知识范畴经过信息安全专家及业界的领导者所验证过,用来测量信息安全经理人经验及管理能力,并非一般的通识(通用知识)训练。
CISM国际注册信息安全经理的工作领域分析的定义
为了解信息安全经理人需要执行那些工作以及工作的内容,ISACA组成了一个专案小组,针对业界精英、信息安全专家就其工作内容加以分析,并将分析的结果作为考试认证的依据。由于工作领域定义的重要性,以及信息安全专业人员工作内容的变化。ISACA目前也针对工作领域的划分重新分析研究。除此之外,信息系统安全协会,信息安全论坛和ASIS国际组织一同参与研究。
CISM 考试每年举行,考题为200项选择题,范围涵盖从最新CISM工作实务分析中所建立的五个工作实务范畴。ISACA聘用著名的业界领导者、CISM各个工作实务范畴的专家和业界执业者来开发工作实务分析,并对其进行验证。