CISM - Zertifikat für Informationssicherheit

Im Bereich IT- respektive Informationssicherheit gibt es verschiedene Personen-Zertifizierungen; so zum Beispiel ISO27001 Lead Auditor, CISSP sowie das von ISACA getragene Zertifikat CISM (Certified Information Security Manager). Während der Titel «ISO27001 Lead Auditor» mit einer 3–5tägigen Ausbildung und einer relativ einfachen Prüfung erworben werden kann, basieren sowohl CISSP wie auch CISM auf einer Kombination von Prüfung und qualifizierter Berufspraxis.

Das seit 2003 angebotene CISM-Zertifikat deckt insgesamt 45 (!) verschiedene Aufgaben in fünf Themenbereichen ab: Governance der Informationssicherheit (Aufbau- und Ablauforganisation), Informations-Risikomanagement, Entwicklung eines Programms für Informationssicherheit, Management dieses Programms sowie Response Management. Dabei umfasst der Begriff «Sicherheitsprogramm» sämtliche Aktivitäten einer Sicherheitsorganisation, insbesondere auch alle Projekte zur Entwicklung und Verbesserung der Sicherheit (also z.B. Identity Management Systems, Data Loss Prevention, usw.) sowie die Überwachung und Anpassung sämtlicher aktuell laufenden Sicherheitsmassnahmen. Vergleicht man das CISM-Berufsbild mit den Inhalten von ISO27000, so deckt letzteres keine 15% der Tätigkeiten eines CISM ab.

Bereits haben über 15,500 Personen das CISM-Zertifikat erworben, wofür eine vierstündige Prüfung zu bestehen ist sowie fünf Jahre qualifizierte Fachpraxis nachzuweisen sind. Bestimmte Abschlüsse und Titel können mit bis zu max. zwei Jahren angerechnet werden (z.B. CISSP, SANS Global Information ­Assurance Certification GIAC, Microsoft Certified Systems Engineer MCSE, CompTIA Security+, ­Disaster Recovery Institute Certified Business ­Continuity Professional CBCP).

Das ISACA Switzerland Chapter führt zwei Mal jährlich einen berufsbegleitenden Kurs (14 Kurstage verteilt über jeweils 4–5 Monate) durch. Dieser richtet sich an alle Personen, die unternehmensweit oder auch in Teilbereichen für das Management der IT-/Informationssicherheit verantwortlich sind oder eine Schnittstellen-Funktion bekleiden – also Sicherheitsbeauftragte, Risikomanager, Verantwortliche für Business Continuity usw. Die Informatik ist zwar für die Informationssicherheit von Bedeutung, doch für einen CISM ein Faktor von vielen.
Der CISM-Kurs vermittelt und vertieft theoretisches wie praktisches Fachwissen im breiten Gebiet von Informationssicherheit, bereitet aber auch intensiv auf die von ISACA organisierte CISM-Prüfung vor.