CISM aneb certifikovaný manažer informační bezpečnosti
Titul certifikovaný manažer informační bezpečnosti (Certified Information Security Manager, zkr. CISM) je titul, který uděluje organizace ISACA tomu kandidátovi, který úspěšně absolvuje zkoušku a splní i další podmínky.
Pokud se rozhodnete tento proces podstoupit, tak se nejprve musíte zaregistrovat u organizace ISACA a poté si zvolit, kde a kdy budete zkoušku skládat.
Zkouška se koná několikrát ročně, a termínů je dost, takže si určitě vyberete. Po uhrazení poplatku ve výši 760 USD obdržíte e-mailem další instrukce, jako co si máte přinést sebou apod.
Samotná zkouška má podobu testu, který probíhá na počítači a skládá ze 150 otázek v angličtině, kdy kandidát vybírá správnou odpověď ze 4 možných odpovědí, přičemž jen jedna je ta správná. Někdy se může jednat i o nejlepší z nejhorších možných odpovědí.
Zkouška pokrývá čtyři domény, konkrétně se jedná o Information Security Governance, Information Risk Management and Compliance, Information Security Program Development and Management a Information Security Incident Management. Detailnější popis těchto domén je uveden na stránkách ISACA.
Na zodpovězení všech otázek má kandidát 4 hodiny. Kandidát může získat maximálně 800 bodů, tedy pokud zodpoví správně všechny otázky, přičemž k získání certifikátu postačuje 450 bodů. Předběžný výsledek, tedy zda kandidát prošel nebo ne, se dozví ihned po skončení testu a vyplnění dotazníku spokojenosti.
Oficiální vyhodnocení včetně dosaženého celkového skóre, a skoré v jednotlivých 4 testovaných doménách je pak kandidátovi sděleno e-mailem do 10 dnů od konání zkoušky a je rovněž zobrazeno i po přihlášení na stránkách společnosti ISACA v sekci myISACA.
Pro získání certifikátu pak musí kandidát ještě vyplnit formulář, kde uvede délku praxe v oboru, zkušenost v testovaných doménách a tyto údaje stvrdí svým podpisem a o potvrzení těchto údajů pak požádá jinou osobu, jejíž kontaktní údaje na formulář též uvede, a ta musí tento formulář rovněž podepsat.
Poté kandidát musí uhradit administrativní poplatek 50 USD za zpracování této žádosti a formulář zaslat přes web zpět do ISACA, která žádost o přidělení titulu CISM posoudí a následně zašle vyjádření, zda kandidátovi tento titul přidělí nebo ne. V zásadě by se mělo jednat o formalitu, ale přesto doporučuji si předem prostudovat podmínky.
Udělený titul CISM je platný pouze po dobu 3 let, poté je buď nutné zkoušku absolvovat znovu, anebo platit roční udržovací poplatek ve výši 85 USD a vykázat celkem 120 CPE hodin. Přičemž ročně by měl kandidát vykázat minimálně 20 CPE, ideálně pak 40 CPE, aby mu to za 4 roky dalo těch požadovaných 120 CPE.
CPE lze v zásadě získat za účast na vzdělávacích akcí pořádaných ISACA a jejími partnery, absolvováním dalších kurzů, ale i jejich vedením anebo publikační činností. Jak získat CPE body je uvedeno zde. V zásadě se dá říci, že 1 CPE hodina odpovídá 50 minutám aktivity výše uvedené.
Časové omezení platnosti certifikace je u zkoušky tohoto typu trochu zarážející, protože vzhledem k tomu, že se otázky netýkají konkrétních technologií, legislativy anebo norem, tak nelze moc argumentovat nějakými významnými změnami v dané oblasti, ale budiž.
Bez určitých vědomostí, zkušeností a hlavně výborné znalosti angličtiny nemáte příliš velkou šanci v testu uspět. Problém je, že mnohdy nemáte šanci uspět ani s nimi. Je tomu tak proto, že musíte odpovídat tak, jak je to podle ISACA správně, nikoliv podle vás, neboť váš osobní názor nikoho nezajímá.
ISACA to zdůvodňuje tím, že jejím cílem je garantovat, že držitelé certifikátů budou zaujímat k řízení informační bezpečnosti konzistentní přístup bez ohledu na to, z jaké země pochází, a kde budou nakonec praxi manažera informační bezpečnosti vykonávat.
Otázky jsou položeny stylem, co je nej (MOST) nejdůležitější (IMPORTANT), nejlepší postup (BEST), největší (GREATEST), nebo co je hlavní cíl (PRIMARY), anebo co se má udělat jako první (FIRST) apod.
Množství a kvalitě otázek nelze nic moc co vytknout, neboť jednoznačně pokrývají problematiku, kterou by měl manažer bezpečnosti perfektně ovládat, jenže někdy ďábel tví skutečně jen v detailu a o nabízených odpovědích by se dalo velice dlouho diskutovat.
A diskutuje se i přímo na webu ISACA. Ovšem veškerá diskuse je vždy zakončena sdělením, že takto je to správně, protože takhle je to uvedeno v ISACA databázi. A kandidát má možnost absolvovat kurz a seznámit se s publikacemi, které ISACA vydává, a kde je způsob řízení bezpečnosti dostatečně detailně popsán. Jak jinak.
Oficiální zdůvodnění správnosti dané odpovědi, je pak naprosto logické a dává smysl, takže lze proti němu jen těžko něco namítnout. Snad jen, že dost často by se dala stejně exaktně obhájit i smysluplnost úplně jiné odpovědi.
A to, že se na znění otázek, nabízených odpovědích a jejich správnosti shodla mezinárodní komunita, je samozřejmé, protože vychází ze stejných publikací a zaujímají tak k jejich sestavení naprosto stejný přístup
Co mi však trochu vadilo, že v otázkách a odpovědích jsou občas používány méně frekventované výrazy a synonyma. Alespoň já, vzhledem k tomu, že nejsem rodilý mluvčí, jsem to tak vnímal, a když jsem si pak pár takových slov vložil do Google, tak ani on mi nevrátil přehršle výsledků na můj dotaz, a některé slova dokonce označil jako knižní, takže buď tato slova musíte znát anebo si z kontextu věty jejich význam sami odvodit.
Já jsem zkoušku CISM absolvoval ve školícím středisku společnosti Gopas, kam jsem to měl nejblíže. Když jsem se ve stanovený čas dostavil do společnosti Gopas, tak jsem byl požádán o dva průkazy totožnosti a podepsání několika papírů a byl poučen, jak se mám v průběhu zkoušky chovat. Poté jsem byl vyzván, abych si uložil veškeré své věci i obsah kapes včetně kapesníku do uzamykatelné skřínky, protože co kdybych na tom svém měl napsán tahák, že.
Následně jsem byl odveden do testovací místnosti a usazen k počítači, kde jsem byl po celou dobu testování pod kamerovým dohledem. Místnost můžete v průběhu zkoušky opustit až po kontaktování osoby provádějící dohled zvednutím ruky nebo stisknutím tlačítka a vyčkáním jejího příchodu.
Můžete si tak udělat přestávku, odskočit na toaletu či se občerstvit, ale čas vám běží dál. Můžete se tak napít zdarma z nápojového automatu, který je umístěn na chodbě a případně schroupat cereální tyčinku, která je k dispozici na recepci. Vlastní jídlo a pití si donést nemůžete.
Pokud se chcete vrátit zpět do testovací místnosti, tak předložíte osobě provádějící dohled svůj doklad totožnosti, který musíte mít v průběhu celé zkoušky u sebe, a ta vás po jeho kontrole odvede zpět do testovací místnosti, protože co kdybyste se s někým prohodili a ten pak udělal test za vás.
Celé je to trochu stresující, ale supervisorky zajištující, aby průběh testu byl v souladu s ISO, byly velice příjemné, což musím ocenit a poděkovat jim za jejich profesionální přístup.
Pokud jste si prostudovali CISM Review Manual, důkladně prošli i CISM Review Questions, Answers & Explanations, a je asi celkem jedno jakou verzi, tak byste měli být na způsob formulace otázek a odpovědí připraveni.
Nemám sice fotografickou paměť, ale řekl bych, že v samotném testu jsem se s žádnou obdobnou otázkou, kterou bych znal z knížky, nesetkal, ale pro představu s jakými otázkami se můžete setkat v testu, se asi vyplatí si jich pár přečíst.
Samotný test včetně dvou desetiminutových přestávek jsem absolvoval za cca 3 hodiny a jsem rád, že ho mám za sebou. Nejtěžší pro mě bylo udržet pozornost a jen těch 150 otázek přečíst.
Je totiž třeba je číst velice, ale opravdu velice pečlivě, protože každé slovo v otázce má svůj význam. A u některých otázek jsem musel dlouze přemýšlet o tom, na co se mne daná otázka vůbec ptá.
U některých otázek mi přišlo, že jejich snahou snad ani nemůže být ověřit znalosti kandidáta, které samozřejmě musí, tak jako tak mít, jako spíš jeho schopnost pochopit vůbec tu otázku. Ale možná, že to byla otázka testovací, která se ani nezapočítává do hodnocení.
ČERMÁK, Miroslav, 2018. CISM aneb certifikovaný manažer informační bezpečnosti. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/cism-aneb-certifikovany-manazer-informacni-bezpecnosti/. [citováno 07.12.2024].
Štítky: CISM, ISACA, vzdělávání
K článku “CISM aneb certifikovaný manažer informační bezpečnosti” se zde nachází 3 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Hm…to vypadá dobře -pouze 56,24% stačí k úspěšnému složení zkoušky?! 450 bodů z 800? U jiných 70-75%.
No uvažoval jsme o ní dříve. Uvidíme :)
Skvělé je, že se dovím aspoň bližší výsledky zkoušky. u CC jen udělal/neudělal. A Certifikát v podobě jakéhosi badge v Credly je hrůza.
3 letá doba trvání je zdá se mi asi podobné všude. Způsob kladení otázek vypadají přesně jako u CC. Bohužel u CC jsem nepočítal s tím, že se budou ptát na něco, co v přípravném kurzu nebylo. Ale vůbec nebylo. Přišel jsem na to ještě zavčas, tak jsem měl tři málosné noci před zkouškou :D Ale povedlo se.
Synonyma méně frekventované jsou snad záměrné – já si je začal vypisovat. některá slova snad ani nenajdete c lexikonu a nevěřím, že je bezpečáci v praxi používají!
Podle mne je to záměr. Čím více lidí neudělá, tím více kurzů zaplatí a ISACA i ISC2 dostane více prašulí. Asi autoři moc sledují SPONGEBOBA a příklad si vzali z pana Krabse :D
Koukám, že jste byl taky v GOPASU (já v Praze a využil pak vánoční trhy) a vypadá to stejně jako u ISC2 CC zkoušky. Mám stejné zkušenosti – GOPAS na výbornou. Já měl jen kratší čas – 120 minut, ale v pohodě se to dalo stihnout