CISM (Certified Information Security Manager) 是 ISACA 推出的、全球公认的信息安全管理顶级认证,核心定位是安全管理者视角(区别于 CISSP 的技术架构视角),专注安全治理、风险管理、安全计划、事件管理四大核心管理职能,是 CISO、安全总监、信息安全经理 的 “黄金证书”。
颁发机构:ISACA(国际信息系统审计协会)
核心定位:信息安全管理(偏管理、治理、风险、合规、运营)
含金量:全球安全管理领域认可度最高、企业招聘安全管理岗优先要求
适合人群:
CISO、信息安全经理 / 总监、安全负责人
IT 经理、风控经理、合规经理、审计负责人
安全架构师、安全顾问(向管理岗转型)
负责信息安全战略、风险管理、合规、团队管理的人员
掌握从业务视角做安全决策的能力
建立安全治理 — 风险 — 计划 — 事件全流程管理体系
满足等保、监管、合规、招投标硬性要求
提升薪资与晋升竞争力(全球 CISM 持证者薪资普遍高于非持证 20%–40%)
国际权威、ANSI 认可、终身职业背书
权重分布:
领域 1:信息安全治理(17%)
领域 2:信息安全风险管理(20%)
领域 3:信息安全计划(33%)【最大权重】
领域 4:信息安全事件管理(30%)ISACA
核心目标:将信息安全与业务战略对齐,建立治理结构、职责、合规与监管框架
组织文化与安全意识
法律法规与合规要求(网络安全法、数据安全法、个人信息保护法、GDPR、PCI-DSS、HIPAA 等)
组织架构、角色与职责(CISO、安全委员会、管理层、业务部门权责)
治理框架(COBIT、ITIL、ISO38505 等)
第三方 / 供应商治理
安全战略制定(对齐业务目标、风险偏好)
安全治理框架与标准(ISO27001、NIST、等保 2.0)
战略规划:预算、资源、商业论证、ROI
安全政策体系(方针、策略、标准、流程、指南)
安全治理度量与 KPI(向董事会汇报指标)
核心目标:识别、评估、处理、监控信息安全风险,基于业务影响决策
风险与威胁识别(内部 / 外部、人为 / 技术、供应链)
漏洞与控制缺陷评估
业务影响分析(BIA)
风险评估方法论(定性 / 定量、FAIR、NIST RMF)
新兴风险(AI 安全、云风险、远程办公、数据泄露)
风险处理选项:接受、规避、转移、缓解
控制选择与优化(管理 / 技术 / 物理控制)
风险所有权与问责
风险监控、报告与复盘
风险偏好与容忍度(与管理层对齐)
合规风险与审计
核心目标:设计、建设、运营、优化完整信息安全计划与管控体系
信息资产识别与分类分级(机密 / 内部 / 公开)
安全控制框架(ISO27001/27002、NIST CSF、等保)
安全政策、标准、流程、规程制定
安全意识与培训体系
资源管理(人力、预算、工具、技术)
身份与访问管理(IAM、特权账号、MFA、SSO)
密码学与密钥管理
网络与边界安全(防火墙、WAF、IDS/IPS、零信任)
终端安全、数据防泄漏(DLP)
云安全、容器安全、应用安全(DevSecOps、SDL)
物理与环境安全
安全项目管理(立项、实施、验收、复盘)
供应商 / 外包安全管理
安全度量、监控与报告
安全意识与培训执行
合规检查、内部审计、持续改进
安全工具与 SOC 运营
分层安全意识体系(管理层 / 员工 / 技术岗)
意识培训 KPI 与效果评估
钓鱼演练、安全文化建设
核心目标:建立事件响应能力,检测、响应、遏制、恢复、复盘,最小化业务影响
事件响应计划(IRP)制定、审批、发布
事件分级分类(一般 / 重大 / 特大)
应急组织与职责(CIRT、指挥链、升级路径)
业务连续性(BCP)与灾难恢复(DRP)
预案演练、渗透测试、红队演练
工具与资源(SIEM、EDR、取证、情报)
事件监测、告警、研判、上报
事件调查、取证、溯源
事件遏制、根除、恢复
内外部沟通(管理层、业务、监管、客户、媒体)
法律合规(证据留存、上报要求)
事后复盘(AAR)、根因分析(RCA)
控制优化、流程改进、预案更新
经验库、知识库、情报积累
考试机构:ISACA
考试形式:机考(PSI 考场 / 线上远程监考)
题目数量:150 道单选题(4 选 1)
考试时长:4 小时
语言:中文 / 英文
评分:200–800 分,及格线 450 分(标准分)
有效期:3 年,每 3 年需 120 CPE 学分 续证
5 年信息安全相关工作经验
其中至少 3 年为信息安全管理经验(4 大领域中至少 3 个领域)
经验可减免:
持有 CISSP/CISA → 减免 1 年
相关硕士 / 博士 → 减免 1–2 年
总减免最多 2 年,3 年管理经验不可减免
ISACA 会员:$575
非会员:$760
纯管理视角:不考技术细节(如命令、配置、漏洞原理)
场景化、决策型:考 “管理者怎么做”
强调业务对齐、风险优先、合规、成本效益
无实验题、无主观题:全部单选,但题干长、场景复杂、干扰项强
Day1:CISM 导论 + 领域 1(安全治理)
CISM 体系、考试策略、学习方法
安全治理、合规、战略、组织、职责
Day2:领域 2(风险管理)
风险评估、处理、控制、监控、报告
Day3–4:领域 3(安全计划)【重点 2 天】
资产、政策、控制、IAM、网络、数据、云、应用、运营、度量
Day5:领域 4(事件管理)+ 串讲 + 模考
IRP、响应、遏制、恢复、复盘
考点串讲、模拟考试、错题解析、答题技巧
表格
| 维度 | CISM | CISSP |
|---|---|---|
| 定位 | 安全管理、治理、风险、合规 | 安全架构、技术、全领域 |
| 视角 | 业务 / 管理层 | 技术 / 架构层 |
| 适合 | CISO、安全经理、管理岗 | 安全架构师、技术专家、工程师 |
| 内容 | 治理、风险、计划、事件(4 领域) | 8 大知识域(偏技术 + 管理) |
| 经验 | 5 年(3 年管理) | 5 年(无强制管理) |
系统掌握安全管理全流程
掌握ISACA 官方管理方法论
顺利通过CISM 认证
具备独立搭建安全管理体系能力
获得国际权威证书,提升职业竞争力
