Certified Information Security Manager (CISM) 國際資訊安全經理人證照內容注重組織資安治理, 其中包含風險評估, 資安計畫, 資安事件應對及處理等等. 換句話說, CISM 主要著重在資安治理而非資安技術層面.

CISM 適用職務：

InfoSec Institute 建議 [1] 下列職務人員可考慮擁有 CISM 證照

• Information Security Manager
• Information/Privacy Risk Consultant
• Information System Security Officer

成為 CISM 流程：

1. 確認報考資格
2. 決定筆試準備方式
3. 報名並進行筆試
4. 填寫資格申請表
5. 進行審核
6. 繳交會費
7. 累積持續教育積分 Continuing Professional Education (CPE)

---

1. 確認 CISM 報考資格：

決定準備 CISM 考試前, 請先確認具備基本要求. 否則即便考過筆試也無法獲取證照, 而考試成績只保留 5 年.

發證組織 ISACA 規定需具備下列四個領域至少五年以上工作經驗. 若滿足特定條件, 得抵免一至兩年工作經驗 [2], 最多也只能抵免兩年. 而我本身直接使用 CISSP 證照來抵免兩年工作經驗.

• DOMAIN 1 – Information Security Governance
• DOMAIN 2 – Information Risk Management
• DOMAIN 3 – Information Security Program Development and Management
• DOMAIN 4 – Information Security Incident Management

這邊建議先找好一位 verifier (建議找直接主管). 屆時 CISM 筆試通過後, 會需要他的具名推薦.

ISACA 也提供一些題目, 讓想報考的人了解目前的知識程度:

https://www.isaca.org/-/media/info/cism-practice-quiz/index.html

---

2. 決定筆試準備方式

由於每個人學習方法, 以及準備時間皆有所差異. 所以可根據自身需求來選擇下列筆試準備方式.

1. 課程
   • ISACA 官方線上課程
   • ISACA台灣分會 / 中華民國電腦稽核協會實體課程
   • 臺灣許多訓練中心都有開 CISM 實體課程
2. 自修
   • ISACA 官方建議書單

以下是我準備 CISM 所使用到的書單、學習網站以及手機 APP:

• ExamTopics
• ISACA^® CISM Exam Prep
• CISM Review Manual, 15th Edition

個人主要準備方式為

1. 先進行由中華民國電腦稽核協會開的實體課程, 想參與課程的初衷除了想瞭解其他公司的資安治理經驗跟狀況, 還想多認識一些資安業界同好.
2. 上完課程後, 瀏覽 CISM review manual, 並結合自身的經驗, 進行知識微調.
3. 下載 CISM Exam Prep APP, 這個 APP 提供 600 個題目, 且每個題目都會附上 Review Manual 的出處, 以及詳細講解. 好處是隨時都可以找空檔練習並加強觀念.
4. 接著在 ExamTopics 網站開始練習題目, 做了約 800 題. 我覺得 ExamTopics 的好處是, 若答案有問題, 可以提出來跟其他人討論.
5. 大概做了 1400 題後前去應考.
6. 考完才發現 ISACA 有不錯的論壇, 裡面有許多資訊可供準備考試的人討論及參考
   • https://engage.isaca.org/

認證考試範圍

CISM 考試範圍涵蓋了下列四個領域

• Security and Risk Management (24%)
• Asset Security (30%)
• Security Architecture and Engineering (27%)
• Communication and Network Security (19%)

---

3. 報名並進行筆試

ISACA 委由 PSI 進行考試, 由於疫情關係, 我選用 PSI remote proctor , 也就是遠端監考方式進行 CISM 測驗

考試方式:

CISM 提供許多語言以供應試選擇, 其中包含簡體中文以及英文. 

• 考試時間: 4 小時
• 題數: 150 題
• 形式: 單選題

應試當天:

• 記得帶護照
• 好好閱讀題目敘述, 避免誤解題意
• 遞交答案後, 系統會顯示初步是否通過考試

我個人選用英文考試, 整體作答時間約 180 分鐘.

要注意的是, 作答時要以管理者的角度來思考該採取哪一種方法較為合適. 畢竟不同角色對於問題的處理方式會有所差異. 對我最挑戰的是, 日常工作所能使用的解決方案, 不一定是業界的最佳解 (最佳解或許就接不了地氣…), 所以知識微調就很重要.

---

4. 填寫資格申請表

測驗後約莫 10 個工作天, ISACA 就會透過 email 正式寄送成績單. 若通過測驗, 即可透過 ISACA 官方網站填寫 CISM 資格申請表. 除了自己的資料外, 也須請推薦人填寫相關表單並簽名以進行推薦.

---

5. 進行審核

一切填寫完畢後, 發證組織 ISACA  就會進行審核. 一般須等 3~4 週左右. 我自己是等了接近十週都還沒有消息, 詢問後發現是他們系統轉換造成一些問題, 客服約三天內就協助我通過審核並授證.

---

6. 繳交會費

審核完畢, 並繳交會費後會員年費 USD: 195 即可生效.

此外, ISACA 與 Acclaim 進行合作, 能在網站上查到證照訊息

---

7. 累積持續教育積分 Continuing Professional Education (CPE)

• 每年完成最少20小時的持續教育積分。
• 每 3 年完成最少120小時的持續教育積分。

CPE 可以透過參加資安論壇、擔任資安會議講者、參加資安 webinar、寫書或者開課等等方式獲得.

關於 CPE 的詳細資訊, 可參考官方資料

---

心得:

良善資安治理對於公司營運甚至資安產品, 技術發展為重要基石. 透過準備 CISM 的過程, 讓我能適當調校一些資安治理以及管理觀念, 以系統性規劃來推動資安發展. 

準備時間:

大概三週, 主要為六日以及週間下班時間.

所花費用:

• CISM Premium (CISM Pocket Prep) NTD: 1460
• Membership USD: 195
  • ISACA USD: 135
  • New Member Fee USD: 10
  • 142-Taiwan Chapter: USD: 50
• 考試: USD 575
• 申請認證: USD 50

---

Reference:

[1] https://resources.infosecinstitute.com/certification/common-cism-job-titles/

[2] https://www.isaca.org/credentialing/cism

[3] https://www.isaca.org/credentialing/cism/get-cism-certified

[4] https://www.caa.org.tw/cisa-license.php?id=CISM