從2011年開始在信息安全領域做合規,後來陸續接觸其他領域(如漏洞管理、事故管理、架構評估等),摸爬滾打了10年。信息安全領域從來都是需要高大上的認證來證明自己。同時,我感覺應該多學習一點專業知識來武裝自己,畢竟科學的方法論還是很重要的。經過考察,我報名參加了谷安的CISM(國際註冊信息安全經理認證)課程。
課程完結後,趕上了疫情席捲全球。我在焦躁、鬱悶之後平靜下來,感覺讀書纔是最好的安定劑。同時,我也碰到了公司(某世界500強企業)前所未有的國際改革。就這樣,一邊開始讀書學習,另一半則是公司的結構調整、職責變動。
此時我驚奇地發現,公司的改革就是CISM理論的落地。在開國際改革會議時,國際老闆各種強化風險聲明變革的時候,我發自內心地理解,因爲這個跟我們學習的內容完全吻合。公司戰略、組織結構、風險偏好、業務導向,這些書本上面的單詞,我在工作中天天碰到。
隨着公司改革的縱深發展,我也不斷地需要跟公司高層彙報工作。由於有了CISM的理論在心,在彙報的時候也遊刃有餘。當高層開始各種質疑問詢的時候,我的高大上理論就不由自主地溜達出來,而公司的高層竟然理解和接受。那時的我,內心甚是歡喜。
CISM的信息安全治理、信息風險管理、信息安全計劃開發和管理、信息安全事故管理完整地串起了我工作的全部。雖然書本的知識與工作的實際操作不是百分百吻合,但是至少我們知道原則上應該如何操作。
我的學習備考分享
1、讀書
坦率地說,CISM複習手冊是寶典,就是太枯燥了。開始讀書,總是看了幾頁就看不下去了。這個時候就想,還是做題吧。可是做題錯了,還是需要回來在複習手冊上找答案。時間久了,我發現複習手冊每一段話都可能是考點。因此,複習手冊非常重要。
2、網絡班上課
疫情之下,大家都是上網課。谷安的老師和班主任,都是非常盡職盡責。方老師的講課水平毋庸置疑,融會貫通結合多種知識(如CISA, CISSP, CRISC, COBIT等),讓大家學習的同時也不僅僅侷限於CISM的範疇。班主任羣裏時刻提醒大家上課和學習進度,可以說是爲了督促大家學習而操碎了心。方老師的4次答疑,爲大家講解題庫的每一道題目,答疑解惑,大大降低了大家的焦躁(因爲有些題目是可以忽略的)。
3、看錄播回放
班主任爲大家整理了方老師的直播講課視頻。在手機端緩存非常方便,可以在上下班路上聽,充分利用零碎的時間學習。
4、做題
一起學習的小夥伴非常給力,在網上共享了他的題庫,供大家學習。原則上,平時的訓練需要平均分在70分以上。習題要反覆練習,最好能做到看到題目不僅僅知道答案,而且還知道考點是什麼。如果做題碰到疑惑,拋到直播答疑羣大家一起討論也是非常受益的。當報考確認了考試時間,開始倒計時的時候,我會在繁忙的工作之餘,保證每週至少有2-3個晚上做習題。這樣,提醒自己已經進入戰備狀態。
5、迎考
爲了踩點,我提前一週去確認考場。不確認不知道,一確認嚇一跳。由於疫情的緣故,我的考場竟然封閉了。緊急聯絡老師和同學,才發現考場變更了。之後又去新的考場踩點,纔算是放心。後來發現,我之所以沒有收到考場變更的郵件是因爲此郵件被視爲垃圾郵件了,所以提醒同學們,要注意考場的信息和可能的變更。
6、考試
真正的考試題與平時的練習題不一樣。四個小時的考試讓每個考生置身於企業的高級信息經理的崗位,經過150個不同場景,來做150個決策。考試屏幕右上角的倒計時會讓你加速決策。這個時候,平時的基本功都出來了。雖然題目不同,但是考點相同。加上平日的工作經驗,還是會淡定選擇的。如果碰到比較糾結的題目,可以做一個標註,回來檢查的時候再審視。個人經驗,剛剛開始考試的時候,還沒有完全進入狀態,考着考着,就進入狀態了。回頭再看開始標註的題目,就沒有那麼糾結了。
7、其他
考試之前,要睡個好覺。我選擇在上午考試,這樣腦子比較清楚。提前準備好兩個證件,早一點到現場。考試現場可能會跟想象的不太一樣,例如會有進進出出的人考別的科目,周圍的環境會比較嘈雜等,這個時候一定要專注。沒有答題完畢之前,千萬不要點擊屏幕右上角“結束測試”的按鈕。
考試結束,點擊提交,看到屏幕上面跳出“通過”的字樣,緊張了許久的神經算是放鬆了下來。考試歸來,跟老師同學分享心得。通過有限的腦容量,提供給同學一些參考題目也是非常開心。之後陸續傳來同學考試通過的喜訊,感覺班裏的同學都很厲害。
備考只是一個短暫的過程。但是通過學習,認識了老師和同學們。而且大家可以互相幫助、共同進步、職場互助,這纔是硬道理,纔是我們的所得。當然,我們取得了CISM這個高大上的證書傍身,可以在日後的職場上有更大的發展。
以上是6期CISM認證學員隋同學的分享,考過成績在10個工作日左右收到郵件的正式通知,祝看到此篇的朋友們順利通過考試成功拿到證書!
CISM是針對信息安全經理人,重點已經不再是個別的技術或者技能,而是移轉到整個企業的信息安全管理。CISM備受行業翹楚青睞,如甲方、行業TOP等龍頭企業,上市公司、外資合資企業,世界500強企業,金融證券保險行業等。
發證機構:國際信息系統審計協會(ISACA),是全球公認的信息科技管治、監控、保安,以及標準合規的領導組織。ISACA成立於1969年,除贊助國際會議外,還有出版《信息系統監控期刊》(ISACA
Journal),開發國際信息系統的審計與監控標準,以及頒授廣受全球接納的國際公認信息系統審計師(CISA)和國際公認信息保安經理(CISM)專業資格。金牌講師 方樂老師,谷安天下合夥人、資深講師,itSMF 認證 ISO20000 諮詢顧問,ITIL V3 MALC 高級課程認證,
EXIN,ITIL V3 Intermedia 課程認證(SOA, OSA, PPO, RCV),ITIL 服務經理認證,
EXIN,ISO27001 主任審覈員,CISA ( 註冊信息系統審計師), CISM( 註冊信息安全經理),itSMF 會員,ISACA
會員 超過 18 年 IT 風險管理、服務管理與信息安全領域研究與從業經驗,主要從事 IT 服務管理規 劃、IT
服務管理體系建立和實施、信息安全風險評估、信息安全管理體系建立和實施等方面工作,具備豐富的 IT
服務管理和信息安全管理諮詢實踐經驗,尤其在金融、運營商、政府行業有豐富的項目實施經經驗。