شهادة عالمية مرموقة وموجهة بشكل خاص نحو الجوانب الإدارية والاستراتيجية والقيادية لأمن المعلومات، وتُمنح من قبل جمعية تدقيق ومراقبة نظم المعلومات ISACA
شهادة مدير أمن المعلومات المعتمد (CISM) هي شهادة عالمية مرموقة وموجهة بشكل خاص نحو الجوانب الإدارية والاستراتيجية والقيادية لأمن المعلومات، وتُمنح من قبل جمعية تدقيق ومراقبة نظم المعلومات (ISACA).
على عكس الشهادات التقنية (مثل CompTIA Security+) أو الهندسية (مثل CISSP)، تركز CISM على إثبات قدرة الفرد على وضع استراتيجية الأمن، وحوكمة الأمن، وإدارة المخاطر، وتطوير برنامج الأمن الذي يتماشى مع أهداف العمل الكلية للمؤسسة. تُعتبر هذه الشهادة مثالية للمديرين، ومديري الأمن التنفيذيين (CISOs)، والمستشارين الذين يحددون السياسات ويشرفون على فرق الأمن.
يغطي منهج CISM أربعة مجالات معرفية (Domains) أساسية، تمثل وظائف مدير أمن المعلومات:
الوزن التقريبي في الاختبار: 24%
القيادة والتنظيم: إنشاء هيكل حوكمة أمن المعلومات لتحديد الأدوار والمسؤوليات وصنع القرار.
الاستراتيجية: تطوير استراتيجية أمن المعلومات التي تدعم وتتوافق مع أهداف وغايات العمل (Business Objectives).
المقاييس والتقارير: تحديد وتطوير مؤشرات الأداء الرئيسية (KPIs) ومقاييس المخاطر الرئيسية (KRIs) لتقديم تقارير فعالة للإدارة العليا ومجلس الإدارة.
الوزن التقريبي في الاختبار: 30%
تقييم المخاطر: تطوير وتنفيذ عملية موحدة لتحديد وتقييم وتصنيف مخاطر المعلومات.
تخفيف المخاطر: تحديد وتوصية وتنفيذ الضوابط الأمنية المناسبة لتقليل التعرض للمخاطر إلى مستوى مقبول.
إدارة دورة حياة المخاطر: مراقبة البيئة الداخلية والخارجية لتحديد التهديدات ونقاط الضعف الجديدة بشكل مستمر.
الوزن التقريبي في الاختبار: 27%
تطوير البرنامج: تصميم وإدارة برنامج أمن معلومات شامل يغطي جميع جوانب العمليات.
الموارد: إدارة الموارد البشرية والمالية اللازمة لتنفيذ البرنامج الأمني.
البنية التحتية: الإشراف على اختيار وتطبيق البنية التحتية والتقنيات الأمنية.
الامتثال: ضمان أن البرنامج الأمني يحقق متطلبات الامتثال القانونية والتنظيمية.
الوزن التقريبي في الاختبار: 19%
الاستجابة والتعافي: تطوير وتنفيذ عملية موحدة للاستجابة للحوادث الأمنية (Incident Response) والتحقيق فيها.
خطط استمرارية الأعمال: ضمان أن خطط استمرارية الأعمال والتعافي من الكوارث (BCP/DRP) يتم دمجها واختبارها بانتظام لتكون فعالة في حالة وقوع هجوم سيبراني.
التدريب والتوعية: التأكد من تدريب الموظفين على إجراءات الاستجابة للحوادث والحد منها.
باختصار، شهادة CISM تثبت أن حاملها قادر على قيادة برنامج أمن معلومات المؤسسة بأكمله من منظور إداري رفيع، مما يجعلها شهادة حاسمة لمن يشغلون مناصب تنفيذية أو إشرافية عليا في الأمن السيبراني.
