17%-领域1:信息安全治理
该领域将为您提供对企业治理中涉及的文化、法规和结构的透彻了解,并使您能够分析、规划和开发信息安全战略。总之,这将向利益相关方确认信息安全治理的高可信度。
| A-企业治理 1 组织文化 2 法律、法规和合同要求 3 组织结构、角色和职责 | B-信息安全战略 1 信息安全战略发展 2 信息治理框架和标准 3 战略规划(例如,预算、资源、商业案例) |
20%-领域2:信息安全风险管理
该领域使您能够分析和识别潜在的信息安全风险、威胁和漏洞,并为您提供识别和应对信息安全风险所需的所有信息。
| A-信息安全风险评估 1 新出现的风险和威胁形势 2 脆弱性和控制缺陷分析 3 风险评估和分析 | B-信息安全风险响应 1 风险处理/风险应对选项 2 风险和控制所有权 3 风险监控和报告 |
33%-领域3:信息安全计划
该领域涵盖信息安全的资源、资产分类和框架,并使您能够管理信息安全计划,包括安全控制、测试、通信、报告和实施。
| A-信息安全计划开发 1 信息安全计划资源(如人员、工具、技术) 2 信息资产识别和分类 3 信息安全的行业标准和框架 4 信息安全政策、程序和指南 5 信息安全计划指标 B-信息安全计划管理 1 信息安全控制设计和选择 2 信息安全控制实施和集成 3 信息安全控制测试和评估 4 信息安全意识和培训 5 外部服务的管理(如提供商、供应商、第三方、第四方) 6 信息安全计划通信和报告 |
30%-领域4:事故管理
该领域提供风险管理和准备方面的深入培训,包括如何让企业做好应对事故的准备和指导恢复。第二个模块涵盖事件管理的工具、评估和遏制方法。
| A-事故管理准备就绪 1 事故响应计划 2 业务影响分析(BIA) 3 业务连续性计划(BCP) 4 灾难恢复计划 5 事故分类/归类 6 事故管理培训、测试和评估 | B-事故管理运营 1 事故管理工具和技术 2 事故调查和评估 3 事故遏制方法 4 事故响应沟通(例如,报告、通知、上报) 5 事故根除和恢复 6 事故后审查实践 |
任务
| 1 确定影响信息安全战略的内部和外部因素。 2 建立和/或维护与组织目标一致的信息安全战略。 3 建立和/或维护信息安全治理框架。 4 将信息安全治理整合到公司治理中。 5 建立和维护信息安全政策,以指导标准、程序和准则的制定。 6 开发业务案例以支持信息安全投资。 7 获得高层领导和其他利益相关方的持续_,以支持信息安全战略的成功实施。 8 在整个组织和各级权力机构中定义、传达和监控信息安全责任。 9 就信息安全计划的活动、趋势和整体有效性,编制并向主要利益相关方提交报告。 10 评估信息安全指标并向主要利益相关方报告。 11 根据信息安全战略建立和/或维护信息安全计划。 12 使信息安全计划与其他业务职能部门的运营目标保持一致。 13 建立和维护信息安全流程和资源,以执行信息安全计划。 14 建立、传达和维护组织信息安全政策、标准、指南、程序和其他文件。 15 建立、推广和维护信息安全意识和培训计划。 16 将信息安全要求集成到组织流程中,以维护组织的安全策略。 17 将信息安全要求整合到外部各方的合同和活动中。 18 监控外部各方对既定安全要求的遵守情况。 19 定义和监控信息安全计划的管理和运营指标。 20 建立和/或维护信息资产识别和分类流程。 21 确定法律、法规、组织和其他适用的合规要求。 22 参与和/或监督风险识别、风险评估和风险处理过程。 23 参与和/或监督漏洞评估和威胁分析流程。 24 根据组织的风险偏好,确定、推荐或实施适当的风险处理和响应方案,将风险控制在可接受的水平。 25 确定信息安全控制措施是否适当,并有效地将风险控制在可接受的水平。 26 促进信息风险管理与业务和IT流程的集成。 27 监控可能需要重新评估风险的内部和外部因素。 28 向主要利益相关方报告信息安全风险,包括信息风险中的违规和变化,以促进风险管理决策流程。 29 根据业务连续性计划和灾难恢复计划,建立并维护事件响应计划。 30 建立和维护信息安全事件分类和归类流程。 31 制定和实施流程以确保及时识别信息安全事件。 32 根据法律和法规要求,建立和维护调查和记录信息安全事件的流程。 33 建立和维护事故处理流程,包括遏制、通知、上报、根除和恢复。 34 组织、培训、装备事故响应团队并分配职责。 35 为内部和外部各方建立和维护事故沟通计划和流程。 36 通过测试和审查评估事故管理计划,包括桌面练习、清单审查和计划时间间隔的模拟测试。 37 进行事故后审查以促进持续改进,包括根本原因分析、经验教训、纠正措施和风险重新评估。 |
* 以上内容参考ISACA官方的CISM考试内容说明,原文内容参见:点此>>
ISACA官方考试说明,在线预览↓↓↓
ISACA-Exam-Candidate-Guide以我现在的基础,考CISM能考几分?
CISM考试难不难?通过率怎么样? 预约模拟自测