該課程的主要對(duì)象是承擔(dān)信息安全領(lǐng)導(dǎo)責(zé)任的高級(jí)管理者
五 (5) 年以上(含)信息安全管理工作經(jīng)驗(yàn)。經(jīng)驗(yàn)最長(zhǎng)可抵減兩 (2) 年。比如:CISA 及 CISSP 認(rèn)證減免兩年
考試語(yǔ)言 | 中文考試/英文考試 |
考試形式 | 在線機(jī)考 |
考試費(fèi)用 | 詳詢艾威課程顧問(wèn) |
考試時(shí)間 | 隨約隨考(提前1-4周做報(bào)考) |
考試時(shí)長(zhǎng) | 4小時(shí)(國(guó)內(nèi)線下考場(chǎng)考試時(shí)間: 09:00-13:00/13:00-17:00) |
考試題型 | 150道單選題。 |
通過(guò)條件 | 獲得標(biāo)準(zhǔn)分450分通過(guò)(滿分800分),即110題及格 |
17%-領(lǐng)域1:信息安全治理
該領(lǐng)域?qū)槟峁?duì)企業(yè)治理中涉及的文化、法規(guī)和結(jié)構(gòu)的透徹了解,并使您能夠分析、規(guī)劃和開發(fā)信息安全戰(zhàn)略??傊?,這將向利益相關(guān)方確認(rèn)信息安全治理的高可信度。
A-企業(yè)治理 1 組織文化 2 法律、法規(guī)和合同要求 3 組織結(jié)構(gòu)、角色和職責(zé) | B-信息安全戰(zhàn)略 1 信息安全戰(zhàn)略發(fā)展 2 信息治理框架和標(biāo)準(zhǔn) 3 戰(zhàn)略規(guī)劃(例如,預(yù)算、資源、商業(yè)案例) |
20%-領(lǐng)域2:信息安全風(fēng)險(xiǎn)管理
該領(lǐng)域使您能夠分析和識(shí)別潛在的信息安全風(fēng)險(xiǎn)、威脅和漏洞,并為您提供識(shí)別和應(yīng)對(duì)信息安全風(fēng)險(xiǎn)所需的所有信息。
A-信息安全風(fēng)險(xiǎn)評(píng)估 1 新出現(xiàn)的風(fēng)險(xiǎn)和威脅形勢(shì) 2 脆弱性和控制缺陷分析 3 風(fēng)險(xiǎn)評(píng)估和分析 | B-信息安全風(fēng)險(xiǎn)響應(yīng) 1 風(fēng)險(xiǎn)處理/風(fēng)險(xiǎn)應(yīng)對(duì)選項(xiàng) 2 風(fēng)險(xiǎn)和控制所有權(quán) 3 風(fēng)險(xiǎn)監(jiān)控和報(bào)告 |
33%-領(lǐng)域3:信息安全計(jì)劃
該領(lǐng)域涵蓋信息安全的資源、資產(chǎn)分類和框架,并使您能夠管理信息安全計(jì)劃,包括安全控制、測(cè)試、通信、報(bào)告和實(shí)施。
A-信息安全計(jì)劃開發(fā) 1 信息安全計(jì)劃資源(如人員、工具、技術(shù)) 2 信息資產(chǎn)識(shí)別和分類 3 信息安全的行業(yè)標(biāo)準(zhǔn)和框架 4 信息安全政策、程序和指南 5 信息安全計(jì)劃指標(biāo) B-信息安全計(jì)劃管理 1 信息安全控制設(shè)計(jì)和選擇 2 信息安全控制實(shí)施和集成 3 信息安全控制測(cè)試和評(píng)估 4 信息安全意識(shí)和培訓(xùn) 5 外部服務(wù)的管理(如提供商、供應(yīng)商、第三方、第四方) 6 信息安全計(jì)劃通信和報(bào)告 |
30%-領(lǐng)域4:事故管理
該領(lǐng)域提供風(fēng)險(xiǎn)管理和準(zhǔn)備方面的深入培訓(xùn),包括如何讓企業(yè)做好應(yīng)對(duì)事故的準(zhǔn)備和指導(dǎo)恢復(fù)。第二個(gè)模塊涵蓋事件管理的工具、評(píng)估和遏制方法。
A-事故管理準(zhǔn)備就緒 1 事故響應(yīng)計(jì)劃 2 業(yè)務(wù)影響分析(BIA) 3 業(yè)務(wù)連續(xù)性計(jì)劃(BCP) 4 災(zāi)難恢復(fù)計(jì)劃 5 事故分類/歸類 6 事故管理培訓(xùn)、測(cè)試和評(píng)估 | B-事故管理運(yùn)營(yíng) 1 事故管理工具和技術(shù) 2 事故調(diào)查和評(píng)估 3 事故遏制方法 4 事故響應(yīng)溝通(例如,報(bào)告、通知、上報(bào)) 5 事故根除和恢復(fù) 6 事故后審查實(shí)踐 |
任務(wù)
1 確定影響信息安全戰(zhàn)略的內(nèi)部和外部因素。 2 建立和/或維護(hù)與組織目標(biāo)一致的信息安全戰(zhàn)略。 3 建立和/或維護(hù)信息安全治理框架。 4 將信息安全治理整合到公司治理中。 5 建立和維護(hù)信息安全政策,以指導(dǎo)標(biāo)準(zhǔn)、程序和準(zhǔn)則的制定。 6 開發(fā)業(yè)務(wù)案例以支持信息安全投資。 7 獲得高層領(lǐng)導(dǎo)和其他利益相關(guān)方的持續(xù)_,以支持信息安全戰(zhàn)略的成功實(shí)施。 8 在整個(gè)組織和各級(jí)權(quán)力機(jī)構(gòu)中定義、傳達(dá)和監(jiān)控信息安全責(zé)任。 9 就信息安全計(jì)劃的活動(dòng)、趨勢(shì)和整體有效性,編制并向主要利益相關(guān)方提交報(bào)告。 10 評(píng)估信息安全指標(biāo)并向主要利益相關(guān)方報(bào)告。 11 根據(jù)信息安全戰(zhàn)略建立和/或維護(hù)信息安全計(jì)劃。 12 使信息安全計(jì)劃與其他業(yè)務(wù)職能部門的運(yùn)營(yíng)目標(biāo)保持一致。 13 建立和維護(hù)信息安全流程和資源,以執(zhí)行信息安全計(jì)劃。 14 建立、傳達(dá)和維護(hù)組織信息安全政策、標(biāo)準(zhǔn)、指南、程序和其他文件。 15 建立、推廣和維護(hù)信息安全意識(shí)和培訓(xùn)計(jì)劃。 16 將信息安全要求集成到組織流程中,以維護(hù)組織的安全策略。 17 將信息安全要求整合到外部各方的合同和活動(dòng)中。 18 監(jiān)控外部各方對(duì)既定安全要求的遵守情況。 19 定義和監(jiān)控信息安全計(jì)劃的管理和運(yùn)營(yíng)指標(biāo)。 20 建立和/或維護(hù)信息資產(chǎn)識(shí)別和分類流程。 21 確定法律、法規(guī)、組織和其他適用的合規(guī)要求。 22 參與和/或監(jiān)督風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程。 23 參與和/或監(jiān)督漏洞評(píng)估和威脅分析流程。 24 根據(jù)組織的風(fēng)險(xiǎn)偏好,確定、推薦或?qū)嵤┻m當(dāng)?shù)娘L(fēng)險(xiǎn)處理和響應(yīng)方案,將風(fēng)險(xiǎn)控制在可接受的水平。 25 確定信息安全控制措施是否適當(dāng),并有效地將風(fēng)險(xiǎn)控制在可接受的水平。 26 促進(jìn)信息風(fēng)險(xiǎn)管理與業(yè)務(wù)和IT流程的集成。 27 監(jiān)控可能需要重新評(píng)估風(fēng)險(xiǎn)的內(nèi)部和外部因素。 28 向主要利益相關(guān)方報(bào)告信息安全風(fēng)險(xiǎn),包括信息風(fēng)險(xiǎn)中的違規(guī)和變化,以促進(jìn)風(fēng)險(xiǎn)管理決策流程。 29 根據(jù)業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃,建立并維護(hù)事件響應(yīng)計(jì)劃。 30 建立和維護(hù)信息安全事件分類和歸類流程。 31 制定和實(shí)施流程以確保及時(shí)識(shí)別信息安全事件。 32 根據(jù)法律和法規(guī)要求,建立和維護(hù)調(diào)查和記錄信息安全事件的流程。 33 建立和維護(hù)事故處理流程,包括遏制、通知、上報(bào)、根除和恢復(fù)。 34 組織、培訓(xùn)、裝備事故響應(yīng)團(tuán)隊(duì)并分配職責(zé)。 35 為內(nèi)部和外部各方建立和維護(hù)事故溝通計(jì)劃和流程。 36 通過(guò)測(cè)試和審查評(píng)估事故管理計(jì)劃,包括桌面練習(xí)、清單審查和計(jì)劃時(shí)間間隔的模擬測(cè)試。 37 進(jìn)行事故后審查以促進(jìn)持續(xù)改進(jìn),包括根本原因分析、經(jīng)驗(yàn)教訓(xùn)、糾正措施和風(fēng)險(xiǎn)重新評(píng)估。 |
* 以上內(nèi)容參考ISACA官方的CISM考試內(nèi)容說(shuō)明,原文內(nèi)容參見(jiàn):點(diǎn)此>>
ISACA官方考試說(shuō)明,在線預(yù)覽↓↓↓
ISACA-Exam-Candidate-Guide審核報(bào)考資格去審核
參加培訓(xùn)課程填寫報(bào)名表→開始學(xué)習(xí)→獲得報(bào)考資質(zhì)
*艾威(授權(quán)機(jī)構(gòu))出具培訓(xùn)證明
參加考試約考→考試→申請(qǐng)證書(申領(lǐng)/續(xù)證)
*艾威提供全程服務(wù),歡迎咨詢
以我現(xiàn)在的基礎(chǔ),考CISM能考幾分?
CISM考試難不難?通過(guò)率怎么樣? 預(yù)約模擬自測(cè)