Ming 
随着互联网的普及,企业系统与外部网络的交互访问激增。信息系统本身的复杂性对信息安全构建造成巨大的挑战。近年来,随着网络攻击愈发猖獗和种类纷繁的系统漏洞,各企业安全事故频发,从业人士和企业领导对信息安全的重视与日俱增,很多企业和政府都纷纷成立专职专责的信息安全部门和反网络攻击部队。
信息安全(Cybersecurity)作为同大数据,物联网,人工智能一波兴起的信息科技概念,已经完成了其从0-1的奠基阶段,走向1-100的成熟发展时期。因此在工作市场上,信息安全相关的职位是日益旺盛,具有熟练技能的从业人员数量相对较少,具有国际认证的专业安全经理则可以在企业中担任首席信息安全官(CISO)的角色,为企业信息安全保驾护航,责任重大。 国际上通用的信息安全相关认证有ISACA(信息系统审计和控制协会)颁发的CISA(审计方向),CISM(管理方向),另外著名的认证还有(ISC)²颁发的CISSP(综合管理加实操)。
CISM信息安全经理,专为负责管理、设计、监督和评估企业信息安全职能的人士而设计。它要求申请者有至少三至五年信息安全管理工作经验,会认证考察四个大领域:
- 领域 1 – 信息安全治理(24%)
- 领域 2 – 信息风险管理(30%)
- 领域 3 – 信息安全计划开发与管理 (27%)
- 领域 4 – 信息安全事故管理 (19%)
考试4小时150道单项选择题,800分满分,450分通过。可以在线进行考试,费用为760美元(非会员)。 考试通过后,还要缴纳50美元认证申请费,填报工作经验,才可以获得最终的证书。
CISM考试的难度和强度还是较高的,没有经过系统的学习和备考是不可能通过考试的。其对申请者3-5年信息安全相关经验的要求是合理的,因为没有在成熟企业的IT环境中工作过很难真正理解各种专业词汇在具体场景中的涵义;而仅仅具有IT经验而没有与信息安全部门紧密合作过的,在对各种概念的梳理上同样要花费大量的时间,所以还是建议有真正从事过信息安全管理,风险控制,事故应急响应的人士来学习和认证。和很多专业认证一样,学习可以通过认证机构的合作培训机构脱产上课或者自己灵活线上自学来进行。各地区机构的师资水平不一,所以上脱产班的学习效果不见得是最佳,但其优势在于保证了整块不受干扰的学习时间(一般是4-5天)。老师上课只会带着把官方教材讲解一遍,做一些相关的练习并解答,师傅带进门修行还靠个人,靠上课的内容通过考试是完全没有希望的。官方合作培训的最大优势是提供长达一年的在线题库。
这个在线题库的易用性是我个人认为体验最好的之一,它共提供1000套测试题覆盖4大领域21个细分领域。你可以设置自己希望完成学习的日期,系统会记录你的学习进度并提供结构性学习和自适应学习两种试题学习方案。
结构性模式就是按照章节按部就班逐一知识点进行,适合按照书本章节顺序进行学习,也是我最开始选择的方案,缺点是看着满屏1-2000个知识点,难免枯燥,但你可以每做一题都马上看答案进行总结。
过了不久我就抱着试试看的想法切换到了自适应模式,它按照每个细分领域划分,每个领域下的题目随机出现,并不按照书本章节,有一定跳跃性。每个小主题下有20-80题目不等,你不可以做完一题就看答案,而是要连续做题再一起看答案。
无论哪种模式,都可以把自己做错的题或者划重点的放入书签,再做完全部题目之后就可以进行重点复习,甚至可以根据题目的难度进行选择。
如果你有机会获取这个题库的话,考试前要把全部1000道题做完,错误率高的分类可以重新做过,整体正确率要达到75%以上。它提供的2套考试题目是从1000道题里面按考试内容随机抽取150道,正确率要达到85%去参加考试才比较稳妥。
一些考试的要点,可以参考我绘制的思维导图。
ISACA题目的设计可以说是比较狡猾的,很多题目都是考察哪一个是最优或最接近或最先要做的, 往往会伴随1-2个同样符合题目要求但不是最优的答案,以达到机构输出其价值观和思维体系的目的。比如在数据中心发生灾难事件时,安全经理最首要保障的是数据安全还是人员安全?ISACA的答案是人。其实在企业管理三要素的人,流程和系统(科技)之中,最脆弱的环节和最决定性和最有潜力发展的永远是人。 通过考试只是认证符合ISACA的方法论,在实际工作环境中,根据客观条件和场景的不同,并不一定要按照考试答案来执行,重要的还是根据企业的自身条件和当地的监管要求来量体裁衣,建立企业自己的安全体系和准则。
希望这篇文章能够让你对CISM和它的认证考试有简单的了解,也希望准备考试的同学们取得好成绩。
Offload SSL/TLS to Crypto Card and Save million dollar MIPS!