备考干货「三」CISM（国际注册信息安全经理）考过笔记

我自09年以来一直从事信息安全相关工作， 先后历经安全开发、咨询顾问， 合规， IT审计， 渗透测试等岗位， 持有CISSP, CISP, CBCP, ITIL, ISO27001等认证， 现任职某银行网络安全经理.

原已计划今年6月份有一项重要培训考试(跨学科)作为本年个人学习目标与愿足矣， 受疫情影响， 考试机构将考试改期至12月， 学习计划被打乱， 时间的拖长很多时候并不能增加学习效果， 同时也可能造成浪费.考虑至此， 何不为自己信息安全老本行再增加一点砝码，自信以自己的专业背景， 信息安全类的证书应能速战速决， 遂将目光瞄准了CISM国际信息安全经理认证.

首先CISM它不是一个入门级别的认证， 它是一个面向管理人员的认证，但通用的管理方法论和技巧是不可能应付CISM要求的知识储备， 它要求对象对信息安全在企业当中实践有深入理解， 需要处理业务和信息安全的关系， 对信息安全的成本和效益作出合理判断……,这些不正是我当下的工作内容， CISM对我只不过是囊中取物.购买了官方指定教材和复习题后， 我才发现自己把CISM想简单了， 理论框架都熟悉， 但我几乎无法对它考查的安全问题作出正确判断，自信心受到了打击， 然而又不想打退堂鼓， 我想到了向谷安求助.

4月份参加了谷安方乐老师主讲的远程培训， 方乐老师课程的特点是细致， 无需担心知识点有任何的遗漏， 详略得当， 居然把5天讲课4天答疑内容安排得井井有条， 足见经验丰富. 顺着老师的思路， 自己就要开始着手重建CISM知识体系与安全问题的映射关系， 沿着CISM的知识点再回顾自己过往现实处理过的问题， 原来有些时候不是最佳的选择， 或者表面上做出正确的选择， 也只是殊途同归， do the thing right而不是do the right thing.

复习题具有非常重要的意义， 应反复的练习， 然而尽管考同一个知识点， 真题和复习题往往在表述上可以有很大的出入， 理解上容易造成偏差， 忌机械背题， 应从复习题的反复锤炼上， 结合CISM理论， 确立对关键理论的正确关系， 例如战略与计划上下层关系、需求与目标的先后关系、 从重要性/敏感性，价值， 影响到分类的风险评估过程、审计/测试分别适用的环境等， 正确理解立住了， 才能以不变应万变.

最后想提示大家一点， 考试当天需要保持平和的心态， 因为在未知的环境当中持续四个小时的考试， 本身就具有很多的不确定性， 设施问题， 网络问题， 临近午休时间也可能出现更多的干扰. 理想的环境客观上是不存在的， 我们可以把控的只有我们自己， 保持平和的心态， 自信经过精心的准备， 不管何种环境都能体现出自己的真正水平.或许可以考虑在模拟练习当中适当加入一些干扰因素， 锻炼适应能力.

CISM并不是信息安全经理们的终点， 而是起点， 解决信息安全问题也不是在做选择题，但持有CISM相信令你可以在职场上更从容自信， 将CISM的知识灵活学以致用， 可以使你在职业道路上走得更远更踏实.