![[externer Link]](../../../../images/link.gif)
www.isaca.de und www.isaca.org/cism/ im Internet.Woran erkennt man einen guten und erfahrenen Informations-Sicherheits-Manager? Sicherheit war und ist in vielen Projekten und Unternehmen eher ein Randthema; häufig wurde und wird mehr reagiert als agiert. Wo ein aktives Sicherheitsmanagement fehlt, wird Sicherheit meist erst dann zum Thema, wenn sich Lücken oder Angriffe offenbaren und möglichst umgehend unter Minimierung der Folgeschäden zu beheben sind. Etliche Unternehmen haben erst durch eigene böse Erfahrungen oder die vermehrte Berichterstattung über Sicherheitsprobleme ihren Bedarf an qualifizierten Information-Security-Managern erkannt.
Dabei taucht schnell die Frage nach der Eignung interner wie externer Bewerber auf. Angesichts der länderübergreifenden IT-Welt entstand ein Bedarf für eine global anerkannte Qualifizierung von Information-Security-Managern. Nicht selten entstammen Sicherheits-Manager der Revision. Innerhalb der Information Systems Audit and Control Association (ISACA) stieg die Zahl der im Bereich Informationssicherheit tätigen Mitglieder in den letzten Jahren kontinuierlich. In der ISACA entstand daher die Idee, ein entsprechendes Examen ins Leben zu rufen. In zweijähriger Vorbereitungszeit wurde nach dem Vorbild des bereits international anerkannten Certified Information Systems Auditor (CISA) für IT-Revisoren nun die Qualifizierung zum Certified Information Systems Manager, kurz CISM entworfen und in ein entsprechendes Examen umgesetzt.
Der CISM stellt eine internationale Berufsqualifikation für Information-Security-Manager dar. Er stützt sich dazu nicht wie andere Sicherheitszertifikate auf das Wissen um technische Details oder spezielle IT-Plattformen und -Systeme, sondern konzentriert sich ausschließlich auf das Management von Informationssicherheit. In diesem Zusammenhang definieren sich auch die Kernkompetenzen und internationalen Standards zur Berufsausübung, die ein CISM beherrschen muss. Die Qualifizierung ist ein handfester Nachweis dafür, dass ihr Inhaber Fähigkeit und Wissen besitzt, die Informationssicherheit eines Unternehmens zu konzipieren, zu managen und zu überwachen.
Der CISM ist keine Zertifizierung für Berufsanfänger, sondern richtet sich an Information Security Professionals, die nachweisbare Berufserfahrung auf dem Gebiet der Informationssicherheit mitbringen. Hierzu sollte eine Berufspraxis von fünf oder mehr Jahren im Information-Security-Management oder in der Ausübung damit verbundener Aufgaben vorhanden sein.
Das Examen ist in fünf Fachgebiete unterteilt:
Diese Fachgebiete bilden die Grundlage für die schriftliche CISM-Prüfung, die in Form von Multiple-Choice-Fragen abzulegen ist. Die Prüfungsfragen verteilen sich wie folgt auf die Fachgebiete:
| Information Security Governance | 21 % |
|---|---|
| Risk Management | 21 % |
| Information Security Programme Management | 21 % |
| Information Security Management | 24 % |
| Response Management | 13 % |
Zur Vorbereitung auf die Prüfung gibt es seit Februar 2003 das CISM Review Manual, das Kandidaten anhand von detaillierten Beschreibungen und Erklärungen zu den Fachgebieten sowie Hinweisen auf weitere Literatur unterstützt. Es ist über den ISACA-Bookstore auf www.isaca.org/bookstore/ für 122 US-$ (inkl. Versandkosten) erhältlich (92 US-$ ISACA-Mitglieder).
Die erste Prüfung zum CISM wird weltweit am 14. Juni 2003 ausschließlich auf Englisch an circa 200 Orten in 75 Ländern angeboten, an denen (zeitlich parallel) auch die Prüfung zum CISA durchgeführt wird; ein Kandidat kann daher nicht im gleichen Jahr beide Prüfungen ablegen. Wer gern beide Examen ablegen möchte, sollte grundsätzlich zuerst das CISA- und danach aufbauend das CISM-Examen erlangen.
Neben einer bestandenen Prüfung muss ein Anwärter relevante Berufserfahrung und entsprechende Fachkenntnisse nachweisen: Von mindestens fünf Berufsjahren in der Informationssicherheit muss er mindestens drei Jahre in drei oder mehr der genannten Fachgebiete tätig gewesen sein. Allerdings können einige weiter gefasste Examen und Zertifizierungen als Substitution für Berufsjahre anerkannt werden. Beispiele hierfür sind:
Diese Substitutionen können nicht in Kombination genutzt werden, sondern insgesamt maximal zwei Jahre Berufserfahrung ersetzen. Zusätzlich sind mindestens drei Jahre Berufserfahrung (in dennoch wenigstens drei der angegebenen CISM-Fachgebiete) nachzuweisen. Kandidaten können grundsätzlich die schriftliche Prüfung zum CISM ablegen, bevor sie alle Anforderungen an die Berufspraxis erfüllen. Die Verleihung des Titels erfolgt aber erst nach Erfüllung aller Bedingungen.
Zur Einführung des Examens gibt es 2003 einen so genannten Grandfather-Zeitraum, in dem erfahrene Information-Security-Manager und Menschen, die Verantwortung im Rahmen des Managements der Informationssicherheit haben, die Zertifizierung zum CISM beantragen können, ohne die schriftliche CISM-Prüfung ablegen zu müssen. Dafür müssen die Anwärter dann mindestens acht Berufsjahre (statt fünf) in mindestens vier Fachgebieten (statt drei) nachweisen, wobei für maximal drei Jahre Substitution durch (mehrere kombinierte) entsprechende Examen oder Zertifizierungen möglich sind.
Somit kann beispielsweise ein Kandidat in diesem Jahr ohne Prüfung den CISM erlangen, wenn er fünf Jahre Berufspraxis in vier genannten Fachgebieten nachweisen kann und zusätzlich sowohl das CISA Examen als auch eine MCSE-Zertifizierung besitzt.
| regulär | Grandfather-Regelung (bis 2003-12-31) | ||||||
|---|---|---|---|---|---|---|---|
| Anzahl der Fachgebiete mit Berufserfahrung | 3 | 3 | 3 | 4 | 4 | 4 | 4 |
| relevante Berufserfahrung | 5 Jahre | 4 Jahre | 3 Jahre | 8 Jahre | 7 Jahre | 6 Jahre | 5 Jahre |
| angerechnete Examen/Zertifizierungen | 0 "Jahre" | 1 "Jahr" | 2 "Jahre" | 0 "Jahre" | 1 "Jahr" | 2 "Jahre" | 3 "Jahre" |
| erfolgreiche schriftliche Prüfung | x | x | x | – | – | – | – |
| Anerkenntnis Code of Professional Ethics | x | x | x | x | x | x | x |
| kontinuierliche Weiterbildung | x | x | x | x | x | x | x |
Auch nach erfolgreich bestandener Prüfung und der Verleihung des Titels muss der CISM ständig eine qualifizierte Weiterbildung verfolgen. Dies sind mindestens 120 Stunden in einem Dreijahreszeitraum, in jedem einzelnen Jahr mindestens 20 Stunden. Diese Weiterbildung unterliegt bestimmten Regularien des ISACA und wird stichprobenhaft kontrolliert. Die kontinuierliche Weiterbildung stellt sicher, dass ein CISM dauerhaft lernt und aktuelles Wissen über Themen des Managements von Informationssicherheit besitzt. Nicht zuletzt muss sich ein CISM zur Einhaltung ethischer Grundsätze nach dem ISACA Code of Professional Ethics verpflichten.
Interessenten am CISM-Examen erhalten weitere Informationen über den Vorstand des ISACA German Chapter (E-Mail: info@isaca.de) oder unter www.isaca.de und www.isaca.org/cism/ im Internet.
Dipl.-Wirtschaftsinformatiker Ingo Struckmeyer (CISA, CIA) ist Vorstand Publikationen des ISACA German Chapter e. V. und Mitarbeiter im Internal Audit der comdirect bank AG.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#1, Seite 078
| 