Den komplette guide om hvordan du blir en Certified Information Security Manager (CISM)

Hva gjør en CISM?

En CISM administrerer informasjonssikkerhetsprogrammer. Dette inkluderer oppstart, utvikling og vedlikehold av informasjonssikkerhetssystemer og -initiativer. Selv om det kan innebære noen praktiske oppgaver, er det meste av jobben ledelsesmessig. Hvis du er mer interessert i den tekniske siden av informasjonssikkerhet, kan det å bli Certified Information Security Auditor (CISA) være å foretrekke.

Du kan få en følelse av hva en CISM gjør fra den offisielle ISACA CISM-eksameninnholdsoversikten. Den beskriver nøkkeldomenene, underemnene og oppgavene en CISM må mestre for å bestå testen. Noen av de viktigste CISM-oppgavene inkluderer følgende:

• Identifiser interne og eksterne påvirkninger til organisasjonen som påvirker informasjonssikkerhetsstrategien
• Etablere og/eller opprettholde en informasjonssikkerhetsstrategi i tråd med organisasjonens mål og mål
• Etablere og/eller vedlikeholde et rammeverk for styring av informasjonssikkerhet
• Etablere og vedlikeholde retningslinjer for informasjonssikkerhet for å veilede utviklingen av standarder, prosedyrer og retningslinjer
• Utvikle forretningscases for å støtte investeringer i informasjonssikkerhet
• Få løpende engasjement fra toppledere og andre interessenter for å støtte vellykket implementering av informasjonssikkerhetsstrategien
• Definer, kommuniser og overvåk informasjonssikkerhetsansvar i hele organisasjonen og myndighetslinjene
• Samle og presentere rapporter til sentrale interessenter om aktivitetene, trendene og den generelle effektiviteten til informasjonssikkerhetsprogrammet
• Evaluer og rapporter informasjonssikkerhetsberegninger til sentrale interessenter
• Etabler og/eller vedlikehold informasjonssikkerhetsprogrammet i samsvar med informasjonssikkerhetsstrategien
• Sett informasjonssikkerhetsprogrammet på linje med de operasjonelle målene
• Etabler og vedlikehold informasjonssikkerhetsprosesser og -ressurser
• Etablere, kommunisere og vedlikeholde organisatoriske retningslinjer for informasjonssikkerhet, standarder, retningslinjer, prosedyrer og annen dokumentasjon
• Etablere, promotere og vedlikeholde et program for informasjonssikkerhetsbevissthet og opplæring
• Integrer krav til informasjonssikkerhet i organisasjonsprosesser for å opprettholde organisasjonens sikkerhetsstrategi
• Integrer krav til informasjonssikkerhet i kontrakter og aktiviteter til eksterne parter
• Overvåk eksterne parters etterlevelse av etablerte sikkerhetskrav
• Definer og overvåk administrasjons- og driftsberegninger for informasjonssikkerhetsprogrammet
• Etablere og/eller vedlikeholde en prosess for identifisering og klassifisering av informasjonsmidler
• Identifiser juridiske, regulatoriske, organisatoriske og andre gjeldende overholdelseskrav
• Delta i og/eller overvåke risikoidentifikasjonen, risikovurderingen og risikobehandlingsprosessen
• Delta i og/eller overvåke sårbarhetsvurderingen og trusselanalyseprosessen
• Identifiser, anbefaler eller implementer passende risikobehandlings- og responsalternativer for å håndtere risiko til akseptable nivåer basert på organisatorisk risikoappetitt
• Avgjør om informasjonssikkerhetskontroller er hensiktsmessige og effektivt administrer risiko til et akseptabelt nivå
• Gjør det lettere å integrere informasjonsrisikostyring i forretnings- og IT-prosesser
• Overvåk for interne og eksterne faktorer som kan kreve revurdering av risiko
• Rapporter om informasjonssikkerhetsrisiko, inkludert manglende overholdelse og endringer i informasjonsrisiko, til sentrale interessenter for å lette beslutningsprosessen for risikostyring
• Etabler og vedlikehold en hendelsesresponsplan, i samsvar med forretningskontinuitetsplanen og katastrofegjenopprettingsplanen
• Etablere og vedlikeholde en prosess for klassifisering og kategorisering av hendelser for informasjonssikkerhet
• Utvikle og implementere prosesser for å sikre rettidig identifisering av informasjonssikkerhetshendelser
• Etablere og vedlikeholde prosesser for å undersøke og dokumentere informasjonssikkerhetshendelser i samsvar med lov- og forskriftskrav
• Etablere og vedlikeholde hendelseshåndteringsprosessen, inkludert inneslutning, varsling, eskalering, utryddelse og gjenoppretting
• Organiser, tren, utstyr og tildel ansvar til hendelsesresponsteam
• Etablere og vedlikeholde hendelseskommunikasjonsplaner og prosesser for interne og eksterne parter
• Evaluer hendelseshåndteringsplaner gjennom testing og gjennomgang, inkludert tabelløvelser, sjekklistegjennomgang og simuleringstesting med planlagte intervaller
• Utføre gjennomganger etter hendelsen for å lette kontinuerlige forbedringer, inkludert rotårsaksanalyse, erfaringer, korrigerende handlinger og revurdering av risiko

Hvis dette høres ut som oppgaver du ville like å utføre, kan det være riktig for deg å bli en CISM. I de neste delene vil vi gå gjennom nøyaktig hva du må gjøre for å sertifisere som en CISM.

CISM-sertifisering: krav, forutsetninger og kostnader

Så hvordan får du CISM-sertifikatet? Først må du oppfylle forutsetningene. Disse inkluderer minst fem års erfaring med styring av informasjonssikkerhet. Du må ha oppnådd denne erfaringen innen 10 år etter søknad om CISM-sertifisering og ikke mer enn fem år etter bestått CISM-eksamen.

Det finnes imidlertid måter å gi avkall på opptil to års arbeidserfaring. Følgende fraskriver seg ett års erfaring:

• Ett helt års erfaring med informasjonssystemer
• Ett helt års erfaring med generell sikkerhetsadministrasjon
• Kompetansebaserte sikkerhetssertifiseringer (f.eks. SANS Global Information Assurance Certification (GIAC), Microsoft Certified Systems Engineer (MCSE), CompTIA Security +, Disaster Recovery Institute Certified Business Continuity Professional (CBCP), ESL IT Security Manager)

For å frafalle to års erfaring må du ha ett av følgende:

• Sertifisert informasjonssystemrevisor (CISA) med god anseelse
• Certified Information Systems Security Professional (CISSP) med god anseelse
• Forskerutdanning i informasjonssikkerhet eller et relatert felt (f.eks. forretningsadministrasjon, informasjonssystemer, informasjonssikkerhet)

Når du oppfyller kravene til arbeidserfaring, må du godta å følge ISACAs Code of Professional Ethics . Dette betyr at du vil:

• Støtte implementeringen av, og oppmuntre til overholdelse av, passende standarder og prosedyrer for effektiv styring og styring av bedriftsinformasjonssystemer og -teknologi, inkludert: revisjon, kontroll, sikkerhet og risikostyring
• Utfør pliktene med objektivitet, due diligence og profesjonell omsorg, i samsvar med profesjonelle standarder
• Tjene i interessentenes interesse på en lovlig måte, samtidig som man opprettholder høye standarder for oppførsel og karakter, og ikke diskrediterer profesjonen eller foreningen
• Oppretthold personvernet og konfidensialiteten til informasjon innhentet i løpet av aktivitetene dine, med mindre avsløring er påkrevd av juridisk myndighet. Slik informasjon skal ikke brukes til personlig fordel eller gis ut til upassende parter.
• Oppretthold kompetansen på dine respektive felt og godta å utføre bare de aktivitetene du med rimelighet kan forvente å fullføre med nødvendige ferdigheter, kunnskaper og kompetanse
• Informer relevante parter om resultatene av utført arbeid, inkludert avsløring av alle viktige fakta kjent for deg som, hvis de ikke avsløres, kan forvrenge rapporteringen av resultatene
• Støtt den profesjonelle utdanningen til interessenter i å forbedre deres forståelse av styring og styring av bedriftsinformasjonssystemer og -teknologi, inkludert: revisjon, kontroll, sikkerhet og risikostyring

Deretter må du registrere deg for CISM-eksamenen. Eksamenen koster $575 for ISACA-medlemmer og $760 for ikke-medlemmer. Før du registrerer deg, sørg for at det er et PSI-teststed i nærheten av deg (med mindre du velger å ta eksamen online med fjernkontroll). Det er 1300 PSI-steder over hele verden. Fra det tidspunktet du registrerer deg for eksamen, har du ett år på deg til å ta den, og deretter mister du kvalifiseringen til å oppnå sertifiseringen.

CISM-eksamenen har 150 flervalgsspørsmål fordelt på fire CISM-domener. Her er domenene og delen av eksamensspørsmålene som faller inn under hvert:

• Governance for informasjonssikkerhet (17 % av spørsmålene)
• Risikostyring for informasjonssikkerhet (20 % av spørsmålene)
• Informasjonssikkerhetsprogram (33 % av spørsmålene)
• Hendelseshåndtering (30 % av spørsmålene)

Du har fire timer til å fullføre CISM-eksamenen. Så snart du er ferdig, vil du se de foreløpige testresultatene dine, som forteller deg om du har bestått. For å bestå må du score minst 450 av 800 poeng. Dine detaljerte testresultater vil bli sendt til deg innen 10 virkedager.

Når du har bestått eksamen, kan du søke om CISM-sertifisering på ISACA-nettstedet for $50. Du må søke om sertifisering innen fem år etter bestått CISM-eksamen. ISACA filtrerer gjennom søknader i den rekkefølgen de mottas, så de vil komme tilbake til deg så snart som mulig for å informere deg om du er kvalifisert for CISM-sertifiseringen.

For å opprettholde CISM-sertifikatet må du også fullføre 120 timer med videreutdanning (CPE) hvert tredje år. Dette for å sikre at du opprettholder tilstrekkelig kunnskap og kompetanse med hensyn til informasjonssikkerhetsstyring. ISACA tilbyr mange CPE-muligheter, inkludert følgende:

• Konferanser (opptil 32 CPEer)
• Opplæringsuker (32 CPEer)
• Nettbasert opplæring (opptil 36 CPE per år)
• One-in-Tech utdanningsarrangementer (opptil 36 CPEs per år)
• On-demand læring (opptil 28 CPEs per kurs)
• Journalquizer (én CPE for hvert av seks tidsskrifter årlig)
• Frivillig arbeid med ISACA (opptil 20 CPEer per år)
• Frivillig arbeid med One in Tech (opptil 20 CPEer per år)
• Kompetansebasert opplæring/labaktiviteter

Det er også flere kvalifiserende profesjonsutdanningsaktiviteter som kan telle mot CPE-er, for eksempel følgende:

• ISACAs profesjonelle utdanningsaktiviteter og møter (ingen grense)
• Ikke-ISACA profesjonsutdanningsaktiviteter og møter (ingen grense)
• Selvstudiekurs (ingen grense)
• Leverandørsalg/markedsføringspresentasjoner (10-timers årlig grense)
• Undervisning/forelesning/presentasjon (ingen grense)
• Publikasjon av artikler, monografier og bøker (ingen grense)
• Utvikling og gjennomgang av eksamensspørsmål (ingen grense)
• Bestå relaterte faglige eksamener (ingen grense)
• Jobber i ISACA-styrer/-komiteer (20-timers årlig grense)
• Bidrag til yrket (20-timers årlig grense)
• Veiledning (10-timers årlig grense)

For mer informasjon om CPE-kravene, les hele CPE-retningslinjene på ISACA-nettstedet.

Så lenge du følger trinnene ovenfor og består CISM-eksamenen, er du garantert å motta CISM-sertifikatet.

Er CISM bedre enn CISSP?

Du vet kanskje at ISACAs CISM ikke er den eneste cybersikkerhetssertifiseringen. En annen populær cybersikkerhetslegitimasjon er CISSP (Certified Information Systems Security Professional) av (ISC)². Både CISM og CISSP er leverandørnøytrale sertifiseringer for informasjonssikkerhetsadministrasjon som krever fem års erfaring, men det er vesentlige forskjeller.

CISM er ledelsesfokusert og svært forretningsorientert. Ingen av de fire informasjonssikkerhetsdomenene (styring, risikostyring, sikkerhetsprogram eller hendelseshåndtering) involverer tunge tekniske ferdigheter. Derimot dekker CISSP-programmet både ledelsesmessige og tekniske ferdigheter. Så fokuset er bredere. Faktisk dekker CISSP åtte informasjonssikkerhetsdomeneområder:

• Sikkerhet og risikostyring
• Eiendelssikkerhet
• Sikkerhetsarkitektur og -teknikk
• Kommunikasjon og nettverkssikkerhet
• Identity and Access Management (IAM)
• Sikkerhetsvurdering og -testing
• Sikkerhetsoperasjoner
• Sikkerhet for programvareutvikling

Når du prøver å bestemme om CISM eller CISSP er mer egnet for deg, bør du studere hvordan de to eksamenene er forskjellige. CISM koster $760 (eller $575 for ISACA-medlemmer), varer i fire timer, inkluderer 150 flervalgsspørsmål, og krever 450 av 800 poeng for å bestå. CISSP koster $749, tar tre timer, har 100 til 150 spørsmål og krever 700 av 1000 poeng for å bestå.

Her er noen andre detaljer du bør vurdere:

• For CISM må du fullføre 120 timer med videreutdanning hvert år for å holde sertifikatet ditt aktivt, men for CISSP-er er det 120 timer hvert tredje år.
• Verdensomspennende er det rundt 28 000 CISM-sertifikatinnehavere, sammenlignet med 136 428 CISSP-sertifikatinnehavere.
• Den gjennomsnittlige CISM-lønnen er $131 209, mens gjennomsnittlig CISSP-lønn er $129 902.

Til syvende og sist er det opp til deg om du vil gå for CISM eller CISSP. Den ene er ikke nødvendigvis bedre enn den andre, og begge vil fremme cybersikkerhetskarrieren din. Hvis du er interessert i CISM og CISSP, kan du til og med tjene begge!

Forskjellen mellom CISM og CISA-sertifisering

En annen cybersikkerhetssertifisering du kanskje har vurdert er CISA, som står for sertifisert informasjonssystemrevisor. CISA og CISM har mye til felles, men de har også viktige forskjeller. La oss gå gjennom likhetene først.

For det første er både CISA og CISM utstedt av ISACA og akkreditert av ANSI under ISO/IEC. De krever begge fem års yrkeserfaring innen informasjonssikkerhet samt en firetimers eksamen med 150 flervalgsspørsmål. I begge tilfeller koster eksamen $575 for ISACA-medlemmer og $760 for ikke-medlemmer.

Men de to sertifiseringene innebærer også betydelige forskjeller. Mens CISA-sertifiseringen viser at du kan revidere, kontrollere, overvåke og vurdere en organisasjons informasjonsteknologi og forretningssystemer, er CISM rettet mot informasjonssikkerhetsstyring, programutvikling og -styring, og hendelses- og risikostyring.

For å få en bedre forståelse av hvordan CISA er forskjellig, bør du vurdere de fem domenene:

• Revisjonsprosess for informasjonssystemer
• Styring og ledelse av IT
• Anskaffelse, utvikling og implementering av informasjonssystemer
• Operasjon av informasjonssystemer og forretningsresiliens
• Beskyttelse av informasjonsressurser

CISA er faktisk ISACAs lengste sertifisering. Det er derfor det er mer enn 140 000 CISA-innehavere, sammenlignet med bare rundt 28 000 CISM-sertifikatinnehavere. Gjennomsnittslønnen for CISA-er er imidlertid $106 267, noe lavere enn $131 209 gjennomsnittlig CISM tjener.

Når det gjelder CISA-karriereveier, inkluderer vanlige CISA-jobbstillinger:

• Internrevisor
• Offentlig regnskapsrevisor
• IS-analytiker
• IT-revisjonsleder
• IT-prosjektleder
• Sikkerhetsingeniør for nettverksdrift
• Sybersikkerhetsekspert

I motsetning til dette har CISM-innehavere en tendens til å påta seg roller på høyere nivå som informasjonssikkerhetssjefer, informasjonssjefer, spesialister på overholdelse av informasjonsrisiko, sikkerhetsansvarlige for informasjonssystemer og konsulenter for informasjons-/personvernrisiko.

Til syvende og sist er den største forskjellen mellom CISA og CISM omfanget. CISA-er fokuserer mest på tekniske ferdigheter innen cybersikkerhet, mens CISM-er fokuserer på å administrere et helt cybersikkerhetsprogram.

Hva er den beste måten å forberede seg til CISM-eksamenen?

Det er mange måter å forberede seg til CISM-eksamenen på. For å øke sjansene dine for å bestå, er det lurest å bruke flere tilnærminger. Dette er våre beste eksamensforberedelsestips for å hjelpe deg med å lykkes:

• Planlegg eksamen. Før du gjør noe annet, må du registrere deg for CISM-eksamenen på ISACA-nettstedet. Eksamenen er tilgjengelig online med fjernkontroll eller personlig på et PSI-testsenter (det er 1300 PSI-steder over hele verden). Uansett, sørg for at du gir deg selv god tid til å forberede deg.
• Lag en studieplan. Når du har satt en eksamensdato, er du klar til å utvikle en studieplan. Ta en titt på de fire CISM-domenene (styring, risikostyring, sikkerhetsprogram og hendelseshåndtering) og del opp materialet i håndterbare biter. Vær oppmerksom på hvert domenes vekting og identifiser områder der du ikke er like sterk. Sørg for å dedikere mer tid til de vanskeligere emnene og reduser hullene i kunnskapen din. En godt utformet studieplan er nøkkelen til å ikke gå tom for forberedelsestid.
• Gjennomgå det offisielle ISACA-studiemateriellet. ISACA har mange gratis studieressurser på nettsiden sin. For eksempel, Informasjonsveiledning for eksamenskandidater inneholder informasjon om eksamensregistrering, frister, forberedelsesregler, administrasjon, poengsum, detaljer om eksamensdagen, retningslinjer for gjentakelse og eksamenslengde, språk og terminologi. Du kan også sjekke ut ISACAs forberedelsesmateriell for eksamen (merk at CISM-eksamenen og eksamensinnholdsoversikten ble oppdatert på 1. juni 2020, så sørg for at du har de mest oppdaterte versjonene).
• Ta et kurs. I tillegg til å bruke ISACAs studiemateriell, dra nytte av tredjeparts CISM-eksamenforberedende kurs. Du kan for eksempel ta ISACA CISM CERTIFICATION boot camp-kurset av Readynez. Den varer bare i fire dager, og du kan ta den praktisk talt for 2350 Euro. Kurset inkluderer alt kursmateriell og sertifiseringsgaranti! Andre kurs er i eget tempo og fokuserer på ulike læringsmetoder: visuell, skriving/lesing, lytting og så videre. Velg et kurs som passer din læringsstil.
• Gjør praksiseksamener. Å studere kan bare bringe deg så langt. På et tidspunkt bør du ta en praksiseksamen for å vite hvordan den faktiske opplevelsen vil være. Gi deg selv en frist på fire timer for å simulere den virkelige opplevelsen. Du kan finne mange gratis og betalte praksiseksamener på nettet.
• Utvikle gode testferdigheter. Å gjøre det bra på CISM-eksamenen er som enhver annen stor akademisk test. Det krever gode testkunnskaper. Det betyr at du bør ta fart selv. Hopp over spørsmål som forstyrrer deg og kom tilbake til dem senere. Hvis du vet at noen svar er feil, bruk elimineringsprosessen for å identifisere den mest sannsynlige. Les spørsmål med forsiktighet og vær spesielt oppmerksom på begreper som "MEST, MINST, IKKE, ALT, ALDRI og ALLTID", som kan endre betydningen av et spørsmål dramatisk. Bryt opp de fire timene ved å ta en drink eller ta en tur. Når du ikke vet svaret, følg magefølelsen. Det er ingen straff for feil svar, så du kan like gjerne gjette når du går tom for tid. Til slutt, tenk som en informasjonssikkerhetssjef. Tross alt er det det eksamen tester deg på.
• Møt opp klar på eksamensdagen. Når eksamensdagen kommer, sørg for at du får en god natts søvn på forhånd og spis en god frokost. Kom tidlig (30 minutter før tiden er ideelt). Hvis du er mer enn 15 minutter forsinket, vil du bli behandlet som fraværende. Og ikke glem å ha en offisiell ID klar til å vises (akseptable former for ID inkluderer førerkort, statlig identitetskort, pass, militær ID, grønt kort og nasjonalt ID-kort). Hvis du går glipp av eller stryker eksamenen, må du vente 30 dager for å ta den på nytt. Hvis du mislykkes igjen, må du vente 90 dager fra første omtak for å ta eksamen på nytt. Og hvis du stryker en tredje gang, må du vente 90 dager fra den andre gjentakelsen for å ta eksamen på nytt.

Hvis du følger alle disse forberedelsestipsene, har du mye større sjanse for å bestå. Så begynn å forberede deg i dag, så får du en utmerket start!

Fordeler med å ha en CISM-sertifisering

Nå som vi har dekket hvordan du forbereder deg til og tar CISM-eksamenen, la oss snakke om fordelene med å få CISM-sertifikatet ditt. Her er noen:

• Tjen en høyere lønn. Blant dem som tjener CISM, får 48 % en lønnsøkning innen et år. Mange av disse lønnsøkningene er i intervallet 20% til 25%. Så et CISM-sertifikat er vel verdt investeringen. Gjennomsnittlig CISM-lønn er $131 209.
• Få mer troverdighet. CISM er anerkjent over hele verden. Det vil hjelpe deg å skille deg ut fra jevnaldrende når arbeidsgivere tar beslutninger om ansettelse og forfremmelse.
• Utvid kunnskapen din. Å tjene CISM vil selvfølgelig øke din mestring av feltet. Ikke bare må du bevise ferdighetene dine ved å bestå eksamen, men du må ha yrkeserfaring på tvers av fem informasjonssikkerhetsdomener.
• Forbedre karrieren din. Å tjene CISM hjelper deg å gå fra en teknisk rolle til en lederstilling. "Manager" er i navnet (sertifisert informasjonssikkerhetssjef), tross alt. Hvis du har sittet fast i samme posisjon lenge, kan CISM være akkurat det du trenger for å komme deg opp i selskapet.
• Forbedre jobbytelsen din. Selv om du ikke liker en forfremmelse med en gang, vil en CISM øke jobbprestasjonen din. Til slutt vil dette imponere arbeidsgiveren din og gi deg en forfremmelse eller i det minste en høyning.
• Åpne nettverksmuligheter. ISACA gir mange nettverksmuligheter for CISMs gjennom arrangementer og etterutdanningsprogrammer. Men selv utenfor ISACA vil du oppdage at et CISM-sertifikat vil åpne dører til jobbopplevelser du aldri har hatt før.

Hvor som helst du deler det opp, har det mange fordeler å tjene et CISM-sertifikat. Så ikke undervurder dens kraft til å øke cybersikkerhetskarrieren din.

Jobbutsikter etter å ha utført en CISM-sertifisering? Karrierevei

Jobbutsiktene for CISM-innehavere er betydelige. Ta en titt på denne statistikken rapportert av National Initiativ for Cybersecurity Education (NICE):

• Det er en global mangel på 2,72 millioner cybersikkerhetsarbeidere.
• I gjennomsnitt tror 50 % av de spurte ansettelseslederne generelt ikke at søkerne deres er godt kvalifiserte, og ytterligere 16 % er enten ute av stand til eller er ukomfortable med å ta avgjørelsen.
• Fra november 2021 var det totalt 597 767 ledige stillinger innen cybersikkerhet og totalt 1 053 468 ansatte i cybersikkerhetsarbeidsstyrken.
• Mellom 2016 og 2026 vil data- og matematiske yrker vokse med 13,5 %, mye raskere enn den gjennomsnittlige jobbveksten.

Det er ganske tydelig at cybersikkerhetseksperter er etterspurt, og etterspørselen kommer bare til å øke i fremtiden. Noen vanlige karriereveier etter å ha oppnådd CISM-sertifikatet ditt inkluderer følgende:

• Informasjonssikkerhetssjef – I denne stillingen overvåker du all informasjonsteknologi i et firma. Du sørger for at selskapet tar cybersikkerhet på alvor gjennom antivirusprogramvare, sterke passord, brannmurer, multifaktorautentisering (MFA) og mer. Informasjonssikkerhetsledere leder også regelmessige nettsikkerhetstreninger for å holde alle oppdatert og på samme side.
• Chief Information Officer – Dette er en høyt rangert lederstilling som fører tilsyn med informasjonsteknologi og IT-spesialister innenfor et selskaps IT-seksjon, og bidrar til å sikre resultater som støtter virksomhetens mål. Dette inkluderer å føre tilsyn med det daglige vedlikeholdet av alle datasystemer (både maskinvare og programvare). Informasjonssjefer må også være smidige og raske til å reagere på trender innen cybersikkerhetsindustrien og endringer i organisasjonen.
• Informasjonsrisiko-overholdelsesspesialist — Denne stillingen er ansvarlig for å identifisere og vurdere cybersikkerhetstrusler mot en organisasjon. Det innebærer å tilby internkontrolltesting, revisjon, overvåking og risikostyring og -redusering. Spesialisten for etterlevelse av informasjonsrisiko lager risikostyringsmodeller for å vurdere eksponering og utdanner ledere, frontlinjearbeidere og andre ledere med hensyn til denne informasjonen. Dette sikrer at organisasjonen vet hvordan den skal reagere på trusler og beholde et konkurransefortrinn.
• Sikkerhetsansvarlig for informasjonssystem – I denne stillingen overvåker du en organisasjons informasjonsteknologisystem, søker etter sikkerhetstrusler og etablerer protokoller for å nøytralisere dem. Du hjelper også til med å vedlikeholde og oppdatere antivirusprogramvare for å blokkere trusler. For å gjøre dette må sikkerhetsansvarlige for informasjonssystem forstå sikkerhetsrammeverk, ha gode problemløsnings- og analytiske ferdigheter og være i stand til å utdanne andre om trusler om informasjonssikkerhet på en enkel måte.
• Konsulent for informasjons-/personvernrisiko — I denne rollen hjelper du med å overvåke og vurdere informasjonssikkerhetsprogrammer ved å utvikle personvernprogramberegninger, opprette og oppdatere retningslinjer og prosedyrer for personvern og bidra til å redusere eller eliminere risiko som mye som mulig. Konsulenter for informasjons- og personvernrisiko skreddersyr sine policyanbefalinger til de unike behovene til hver organisasjon.

Og listen fortsetter. Det er mange andre stillinger som CISM kommer godt med. Dette er fordi organisasjoner over hele verden setter en premie på CISM-er for sin dokumenterte ekspertise innen informasjonssikkerhet og ledelseskunnskap. Så CISM-er har sjelden problemer med å finne godt betalte stillinger i store organisasjoner og selskaper over hele verden.

CISM Lønn 2022

Hvor mye tjener CISM? Gjennomsnittlig CISM-lønn i 2022 er 131 209 USD. Det er $63,08 per time, $2523 per uke eller $10,934 per måned.

Selvfølgelig varierer lønn for CISM etter sted, ferdighetsnivå og erfaring. De laveste registrerte lønningene er $80.000, og de høyeste er $190.000. Det er en rekkevidde på $110 000. Toppinntektene tjener et gjennomsnitt på $174 000, den 75. persentilen tjener $150.000, og den 25. persentilen tjener $100.000.

CISM jobbpraksisområder

CISM-rollen spenner over mange praksisområder. De fire viktigste er informasjonssikkerhetsstyring, informasjonssikkerhetsrisikostyring, informasjonssikkerhetsprogram og hendelseshåndtering. La oss gå gjennom de offisielle beskrivelsene av hvert jobbpraksisområde fra ISACA-nettstedet og hva de involvere.

Governance for informasjonssikkerhet

Informasjonssikkerhetsstyring omfatter enterprise governance (inkludert organisasjonskultur; juridiske, regulatoriske og kontraktsmessige krav; og organisasjonsstrukturer, roller og ansvar) og informasjonssikkerhetsstrategi ( utvikling av informasjonssikkerhetsstrategi, rammeverk og standarder for informasjonsstyring, og strategisk planlegging).

Governance for informasjonssikkerhet handler om å forstå forholdet mellom ledelse og cybersikkerhetsresultater. Det betyr å forstå relasjonene mellom informasjonssikkerhetsorganisasjon, design, strategi, prosesser, teknologi, menneskelige faktorer, kultur og arkitektur.

Det innebærer også å måle verdien og effektiviteten til nettsikkerhetstiltak mot resultatene deres. Rettferdiggjør kostnaden resultatet? En stor nøkkel til dette er å forstå cybersikkerhetsmålinger og vite hvordan de skal forklares for den øverste ledelsen.

Informasjonsrisikostyring

Informasjonsrisikostyring omfatter informasjon sikkerhetsrisikovurdering (fremvoksende risiko- og trussellandskap, analyse av sårbarhet og kontrollmangler, risikovurdering og -analyse) og informasjonssikkerhetsrisikorespons (risiko) behandlings- og responsalternativer, risiko- og kontrolleierskap, risikoovervåking og rapportering).

Vellykket informasjonsrisikostyring krever at du forstår en organisasjons risikostyringsstrategi, prioriteringer og roller. Det krever å kjenne til truslene, sårbarhetene, eksponeringene og påvirkningen, samt gjenopprettingstidsmålet (RTO), gjenopprettingspunktmålet (RPO), tjenesteleveringsmålene (SDOer) og akseptabelt avbruddsvindu (AIW).

Disse beregningene vil hjelpe deg med å balansere forretningsavveininger mer effektivt når du reagerer på trusler om informasjonssikkerhet. Du må bestemme omfanget og grensene for informasjonsrisikostyring, utføre risikovurderinger og utforme en risikobehandlingsplan. Det hjelper også å sette kontrollgrunnlag for å måle effektiviteten til informasjonsrisikostyringsfunksjonen din.

Informasjonssikkerhetsprogram

Informasjonssikkerhetsprogram involverer informasjonssikkerhetsprogramutvikling (informasjonssikkerhetsprogramressurser, identifikasjon og klassifisering av informasjonsressurser, industristandarder og rammeverk for informasjonssikkerhet, retningslinjer, prosedyrer og retningslinjer for informasjonssikkerhet, og informasjonssikkerhet programberegninger) og programstyring for informasjonssikkerhet (utforming og valg av kontroll for informasjonssikkerhet, implementering og integrasjon av kontroll av informasjonssikkerhet, testing og evaluering av kontroll av informasjonssikkerhet, bevissthet og opplæring av informasjonssikkerhet, administrasjon av eksterne tjenester og informasjon sikkerhetsprogram kommunikasjon og rapportering).

Å utvikle og administrere et godt informasjonssikkerhetsprogram krever god dokumentasjon, inkludert et risiko- eller kontrollregister og årlige rapporter om gjeldende risiko for organisasjonen.

Hendelseshåndtering

Hendelseshåndtering innebærer hendelseshåndteringsberedskap (hendelsesresponsplan, forretningskonsekvensanalyse, forretningskontinuitetsplan, katastrofegjenopprettingsplan, hendelsesklassifisering/-kategorisering og opplæring, testing og evaluering av hendelseshåndtering) og  hendelseshåndteringsoperasjoner (hendelseshåndteringsverktøy og -teknikker, hendelsesundersøkelse og -evaluering, hendelsesbegrensningsmetoder, hendelsesresponskommunikasjon, utryddelse og gjenoppretting av hendelser, og praksis for gjennomgang etter hendelsen).

Mange anser hendelseshåndtering som det viktigste av de fire CISM jobbpraksisområdene. Dette er fordi en sikkerhetshendelse kan ødelegge firmaet ditt. For å holde et godt grep om informasjonssikkerhetshendelser må du identifisere og inneholde dem raskt.

Dette muliggjør gjenoppretting av hendelser innenfor et akseptabelt avbruddsvindu. Noen teknologier som kan hjelpe med dette inkluderer et nettverkshendelsedeteksjonssystem, vertsinntrengningsdeteksjonssystemer og system-, database-, operativsystem- og applikasjonslogger. Det er også viktig å oppbevare bevis på sikkerhetsbrudd for å vise til domstolene i tilfelle en rettssak.

Til syvende og sist er det et bredt spekter av jobbpraksisområder hvor du kan bruke CISM-sertifiseringen din. Velg en som passer best for dine talenter og interesser.

Bli sertifisert og styrk fremtiden din – gjør ditt valg

Hvis du er klar til å ta din informasjonssikkerhetskarriere til neste nivå, kan du bli CISM-sertifisert i dag! Du kan søke om sertifisering online ved å betale en søknadsavgift på $50. Dette er en engangsavgift som ikke kan refunderes, så søk kun hvis du er forpliktet. Du må også søke innen fem år etter bestått CISM-eksamen. Hvis det høres gjennomførbart ut, trykk send inn!

Til slutt, husk at du også må demonstrere det nødvendige minimum av fem års yrkeserfaring innen informasjonssikkerhet, overholde ISACAs retningslinjer for profesjonell etikk og opprettholde 120 timers studiepoeng (CPE) hvert tredje år. Hvis du krysser av i alle boksene, er du på god vei til å oppnå CISM-sertifikatet og ha en vellykket karriere innen informasjonssikkerhetsadministrasjon.

Ikke nøl med å kontakte oss her hvis det er noe vi kan gjøre for å støtte deg på sertifiseringsreisen.