專為主管設計的資安證照

資訊安全是一門很複雜的學問，不僅囊括的技術複雜，連管理面向、範疇都很複雜。在臺灣擔任資安專業經理人一職，不論是安全長（CSO）或者是資安官（CISO），甚至是企業內資安部門的部門主管，為了強化自己在資安專業技能與管理上的能力，考取證照是一種可行的管道。目前，由國際電腦稽核協會（ISACA）於2004年推出的CISM（Certified Information Systems Manager，資訊安全經理人證照）認證考試，則是目前唯一一張要求考生必須具備3年資安管理經驗的資安證照。

在2004年取得CISM證照的ISACA臺灣分會CISM推廣委員謝持恆表示，CISM是一張針對管理並且監督企業資訊安全的證照，考試的範圍就是資安經理人日常工作範圍，從董事會決策、資安計畫的擬定與執行，通通包括在內。在上海銀行擔任稽核工作的ISACA臺灣分會CISA推廣委員楊期荔表示，CISM與其他資安證照最大的不同點在於，CISM是以全公司為管理範圍。也就是說，「CISM管的是整個企業的資訊安全管理」謝持恆說道。

在臺灣，有許多重要的資安證照，多偏重技術或者是技術面的管理。若以資安管理的證照做比較，謝持恆認為，由ISC2推出的CISSP（Certified Information Systems Security Professional，資訊系統安全認證專家）比較偏技術導向的資安經理人。

「在CISM只需懂得基本的IT技術概念即可，重點在於如何將這些IT技術與組織整合起來。」謝持恆說，CISSP不談論溝通，但CISM卻非常重視此類的軟性技巧，甚至面臨企業內的政治議題、資源分配等，「除了抱持死守四行倉庫的心態外，」謝持恆認為，還得做到對上、對下管理，讓資安管理目標明確——可衡量、可達成。他認為，這也使得CISM技術色彩相對CISSP較淡。

此外，謝持恆提醒，CISSP考10大領域，考生可以放棄其中不擅長的單一領域，但CISM是以當次考試全球排名，考試成績必須是前25％的分數，才能算是通過考試，因此，任何一個領域內容都不能放棄。

中華民國電腦稽核協會國際事務委員會主委戴龍表示， CISM的工作領域分析或是考試內容，全都是由ISACA組成專案小組，由專家就其工作內容加以分析，並將分析結果作為考試認證的依據。這也和其他資安考試工作經驗要求上有所不同，「CISM除了要求資安工作經驗，更要求至少要有3年以上資訊安全管理的經驗。」謝持恆說。

根據ISACA的統計資料顯示，擔任資安部門主管取得CISM的比例超過4成（44％），CEO/CFO/CIO取得CISM的比例只有10％，IT顧問取得CISM的比例則將近2成（17％）。

全球目前超過6,000人取得CISM證照，超過6成（62％）CISM是在北美洲，亞洲與中東僅超過1成（12％），顯見亞洲對於CISM的接受與推廣度，與北美仍有一段差距。根據ISACA臺灣分會統計，截至2007年11月底前，全臺灣目前只有25人通過並取得CISM認證。

CISM目前有英文、日文和西班牙文3種語言考試，每年6月和12月的星期六考試，考試形式是4小時考200題單選題。文⊙黃彥棻