书名：CISM考试复习手册（第15版）pdf/doc/txt格式电子书下载

推荐语：

作者：（美）国际信息系统审计协会（ISACA）著

出版社：电子工业出版社

出版时间：2019-11-01

书籍编号：30538567

ISBN：9781604207026

正文语种：中文

字数：499517

版次：15

所属分类：教材教辅-计算机类

版权信息

书名：CISM考试复习手册（第15版）

作者：（美）国际信息系统审计协会（ISACA）

出版社：电子工业出版社

出版日期：2019-11-01

ISBN：9781604207026

版权所有 · 侵权必究

Authorized Ebook from the Chinese Language edition, entitled《CISM考试复习手册（第15版）》, published by ISACA

Global, Inc., Copyright © 2016 by ISACA.

All Rights Reserved.

CHINESE language edition published by Publishing House of Electronics Industry Co., Ltd, arranged by Beijing ISACA

Information Technology Co., Ltd., Copyright © 2019 by Publishing House of Electronics Industry Co., Ltd.

ISACA®

国际信息系统审计协会（ISACA，网址：isaca.org）为全球专业人士提供创新性、世界级的知识、标准、社群、认证和职业发展，协助其引领及适应不断向前发展的数字世界并树立信心。ISACA成立于1969年，是一个非营利性的全球协会，有140 000名专业人员，遍布在180个国家。ISACA还提供一套完整的网络安全资源Cybersecurity Nexus^TM (CSX)以及用于治理企业技术的业务框架COBIT^®。

此外，ISACA通过全球著名的注册信息系统审计师(Certified Information Systems Auditor^®, CISA^®)、注册信息安全经理(Certified Information Security Manager^®, CISM^®)、企业IT治理认证(Certified in the Governance of Enterprise IT^®, CGEIT^®)和风险及信息系统控制认证(Certified in Risk and Information Systems Control^TM, CRISC^TM)来提升和验证关键业务技能及知识。

免责声明

ISACA设计并制定了《CISM^®考试复习手册（第15版）》，主要用作准备参加CISM认证考试的考生的培训资料。本手册与CISM考试以及CISM认证工作组是相互独立的，认证工作组不对其内容负责。过往的考题副本从未公开发放，试题亦未提供给ISACA制作本出版物使用。ISACA不声明或保证这些或其他ISACA刊物能确保考生通过CISM考试。

保留权利

© 2016 ISACA.保留所有权利。未经ISACA事先书面授权，本出版物中的任何部分均不得在检索系统中使用、复制、再版、修改、分发、显示和储存，或通过任何途径以任何形式（电子、机械、影印、录制或其他）传播。

ISACA

3701 Algonquin Road, Suite 1010

Rolling Meadows, Illinois 60008 USA

电话：+1.847.253.1545

传真：+1.847.253.1443

电子邮箱：info@isaca.org

网站：www.isaca.org

参加使用ISACA知识总汇：www.isaca.org/knowledge-center

在Twitter上关注ISACA：https://twitter.com/ISACANews

在LinkedIn加入ISACA：ISACA（官方），http://linkd.in/ISACAOfficial

在Facebook上喜欢ISACA：www.facebook.com/ISACAHQ

ISBN 978-1-60420-702-6

《CISM^®考试复习手册（第15版）》

印刷地点：美国

CRISC是ISACA的商标/服务标记。此标记在全球各个国家/地区均已申请注册或已完成注册。

CISM考试复习手册（第15版）

ISACA很高兴提供第15版的《CISM^®考试复习手册》。本手册的目的是为CISM考生提供更新的技术信息和参考，帮助他们学习和备考注册信息安全经理考试。

更新《CISM^®考试复习手册》是为了跟上管理、设计、监督和评估信息安全的快速变化的节奏。与之前的手册一样，第15版也是众多资深权威人士共同努力的结果，他们慷慨地贡献了自己的时间和专业知识。我们对他们的奉献表示由衷的感谢和崇高的敬意，并确信他们的努力能为CISM考试复习手册的读者提供大量的学习价值。

我们欢迎阁下为本手册提供意见及建议。考试结束后，请您再花点时间完成在线调查问卷(www.isaca.org/studyaidsevaluation)。您的意见将为我们编写第16版的《CISM^®考试复习手册》提供宝贵的价值。

本手册中的自我评估问题旨在描述通常会在CISM考试中碰到的题型，并进一步阐明本手册中的内容。CISM考试是基于实务的考试。仅仅阅读本手册中参考材料对考生备考是不够的。自我评估题仅起引导作用。评分结果并不表示您将来能否通过考试。

获得认证会对许多职业生涯产生积极的影响。CISM旨在向高级管理层保证，获得认证的相关人员具备必要的知识和能力来提供有效的信息安全管理和咨询服务。虽然CISM关注的核心是信息安全管理，但从事IT工作且具有安全经验的所有专业人员一定都会发现CISM认证的价值。ISACA祝您顺利通过CISM考试。

致谢

第15版《CISM^® 考试复习手册》是许多志愿者共同努力的结果。ISACA 遍布全球的信息安全管理专业人员参与了编写工作，慷慨地奉献了他们的才华和专业知识。这样的国际团队展示出的无私奉献精神已成为本手册所有贡献者的真实写照。衷心感谢他们的参与和见解。

我们向参与《CISM^®考试复习手册》审校工作的所有ISACA成员表示衷心的感谢。

特别感谢 CISM、CGEIT 认证计划的 W. Krag Brotby，他是 Sacramento（加利福尼亚州）地方分会高级安全顾问，曾担任技术内容的项目主管和编辑。

校审专家

Michael Broady，CISM、CRISC，ACE，US Southern Command/Exeter Cooperation，美国

Mouhamed Diop，CISA、CISM、CGEIT、CRISC，塞内加尔

Sandeep Godbole，CISA、CISM、CGEIT、CEH、CISSP，Syntel，印度

Mohamed Gohar，CISA、CISM、COBIT Foundation、CPDE、ISO 27001、27034、38500 和 24762 认证，ITIL Expert、PECB-CLPTP、PMP、Resilia Practitioner、TOGAF Practitioner、Itpreneurs、Global Knowledge、AUC、El-Khalij 研究院或New Horizons和Egybyte，埃及

Robert T. Hanson，CISA、CISM、CRISC、CRMA，澳大利亚政府，澳大利亚

Foster Henderson，CISM、CRISC、CISSP，美国

Kevin Henry，CISA、CISM、CRISC、CISSP，加拿大

Abdus Sami Khan，CISA、CISM、CIA，SALE Advanced Co. Ltd.，沙特阿拉伯

Israel Rosales M.，CISA、CISM、CRISC、CEH、CHFI、CISSP、COBIT 5、ISO 27001LA、ITIL、COSIM TI，玻利维亚

Cory Missimore，CISM，美国

Juan Carlos Morales，CISA、CISM、CGEIT、CRISC，危地马拉

Balakrishnan Natarajan，CISM，Pivotal Software Inc.，美国

S. Peter Nota，CISA、CISM、APMP、CISSP、MBCS、PCI-ISA，Premier Farnell plc，英国

Opeyemi Onifade，CISA、CISM、CGEIT、CISSP、COBIT 认证培训师、COBIT 认证评估师，Afenoid Enterprise Limited，尼日利亚

Vaibhav Patkar，CISA、CISM、CRISC、CGEIT、CISSP，印度

Abdul Jaleel Puthenpurayil，CISM，阿联酋

Ravikumar Ramachandran，CISA、CISM、CGEIT、CRISC、CAP、CEH、CFE、CHFI、CIA、CISSP-ISSAP、CIA、CIMA-Adv. Dip. MA、CRMA、ECSA、FCMA、PMP、SSCP，Hewlett-Packard India Sales Pvt. Ltd，印度

James C. Samans，CISA、CISM、CRISC、CISSP-ISSEP、CPP、CIPT、CEH、PMP，XENSHA LLC，美国

Pavel Strongin，CISA、CISM、CPA，Charter Communications，美国

Darlene M. Tester，CISM、CISSP，Mystic Lake Hotel&Casino，美国

Larry G. Wlosinski，CISA、CISM、CRISC、CAP、CCSP、CBCP、CDP、CISSP、ITIL v3，Veris Group, LLC，美国

ISACA已开始规划第16版《CISM^®考试复习手册》。志愿者的参与将推动该手册取得成功。如果您有兴趣成为这一全球项目专家小组中的一员，请与我们联系。请发送电子邮件至studymaterials@isaca.org。

新增—CISM工作实务

从2017年起，CISM考试范围将包括新的CISM工作实务。

国际工作实务分析至少每五年进行一次，以保持CISM认证计划的有效性。2017年开始的CISM考试以新工作实务为基础。

工作实务的重点是CISM执行的当前任务和使用的知识。ISACA通过收集当前CISM工作实务的证据，确保CISM认证计划能继续符合全球专业人员资格认证的高要求。

CISM工作实务分析的结果均经过了仔细考虑，并将直接用于制定新版的测试规范，从而确保CISM考试可以反映最新的最佳实践。

新版2017工作实务反映了要测试的研究领域，下表将其与之前的工作实务进行了比较。完整的CISM工作实务请参见网站www.isaca.org/cismjobpractice。

关于本手册

概述

《CISM^®考试复习手册（第15版）》是帮助考生准备CISM考试的参考指南。本手册只是备考资源之一，不应将其当作唯一资源或视为通过该考试所需的所有信息和经验的全集。没有一种出版物具有这样的涵盖范围和详细程度。

当考生在阅读手册的过程中遇到新主题或发觉自身的知识和经验有限对新主题有困难时，考生应寻求其他参考。该考试的问题旨在测试考生的技术和实践知识，及其在特定情况下根据经验应用知识的能力。

本手册的结构

《CISM^®考试复习手册（第15版）》分为四章，按以下比例涵盖考试中考查的CISM领域：

注：每章给出CISM考生应当了解如何做的任务的定义，同时包括完成相应任务所需的一系列知识点说明。这些内容构成了信息安全经理目前的实务。请访问 www.isaca. org/cismjobpractice 了解详细的 CISM 工作实务。考试以这些任务和知识点说明为基础。

编写及整理本手册的目的是为了帮助考生学习这些领域的知识。考生应根据本身的知识和经验，评估个人在上述各个领域的能力。

本手册的编排

《CISM^®考试复习手册（第15版）》共四章，每章分为两部分，以便集中学习。

第一部分包括：

·该领域的定义

·该领域作为实务领域的学习目标

·该领域的任务和知识点说明列表

·该领域每项任务与知识点说明之间的对应关系

·该领域知识点说明的参考指南，包括相关的概念和解析

·第二部分中每个知识点说明的特定内容的参考

·模拟自我评估问题及答案与解析

·深造学习该领域知识的参考资料

第二部分包括：

·为任务和知识点说明提供支持的参考资料和内容

·考试中最常见的术语的定义

·用于巩固概念和知识的学习活动

包涵的资料与CISM考生在准备CISM认证考试时了解和/或理解考试内容有关。

内容编排中以编号标识某主题所在的章节以及该章节中陈述的次级主题的标题（例如，“2.1.1风险管理的重要性”是第2章中“风险管理概述”的副主题）。副主题中的相关内容使用粗体字，以便引起注意。

对材料的理解是衡量考生知识、强项和弱项的晴雨表，并且能指示考生在哪些领域中需要寻找除本手册之外的参考资料。可是书本知识并不能替代经验。CISM考试将着重考查考生对这些知识的实际应用能力。

虽然我们尽全力做到述及考生应当了解的绝大部分信息，但本手册并无必要涵盖所有的考题，因此考生需要凭借专业经验提供最佳的答案。

本手册中“协会”是指ISACA，其正式名称为信息系统审计与控制协会，“研究院”或“ITGI^®”是指IT治理研究院(IT Governance Institute^®)。另请注意，本手册采用标准美式英文编写（中文翻译以简体发行）。

注：《CISM^®考试复习手册（第15版）》是动态更新的文档。随着技术的进步和信息安全管理实务的发展演变，本手册将会做相应的更新，以反映此类变化。要得悉本文档在考试日之前的进一步更新，请浏览www.isaca.org/studyaidupdates。

本手册的评价

ISACA始终密切关注在专业、技术和环境方面对信息安全管理行业产生影响的快速而深奥的进步。鉴于这些领域的迅速发展，《CISM^®考试复习手册》每年都会更新。

为帮助 ISACA 始终走在发展的前沿，请您花费一点时间评估《CISM^®考试复习手册（第15版）》。您的反馈对于我们全面服务专业人士和未来的CISM考生极为宝贵。

要进行在线评估，请访问www.isaca.org/studyaidsevaluation。

感谢您的支持与帮助。

准备CISM考试

如本考试复习手册所述，CISM考试评估考生在工作实践领域中的实务知识，包括经验和应用。我们建议考生在备考过程中参考多种资源，包括本考试复习手册和复习考题及解答手册或数据库以及外部出版物。本部分将包含一些备考提示，并说明如何与其他资源相结合来充分利用本考试复习手册。

开始准备

用足够的时间准备CISM考试至关重要。大部分考生在参加考试之前都会花三到六个月的时间来学习。请确保您每周都能留出指定的时间用于学习，随着考试日期临近，也可根据自己的情况适当增加学习时间。

制定学习计划也能帮助您最有效地利用考试之前的时间。

CISM自我评估

为了更有效率地准备CISM考试，您应首先确定自己不擅长的工作实务领域。进行CISM自我评估是良好的开端，网址为：http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Prepare-for-the-Exam/Pages/CISM-Self-Assessment.aspx

这50道模拟测试题目参考了CISM考试的题目分配，能有效地评测出您需要强化的领域。完成自我评估后，您将收到一份关于您在四个工作实务领域中表现的汇总结果。您可以使用此汇总结果对照工作实务的任务和知识点说明，初步确定您在学习过程中应重点关注哪些内容。

使用CISM考试复习手册

《CISM考试复习手册》分为四章，每一章对应于CISM工作实务中的一个领域。这些章节中的内容是围绕每一章的任务说明进行组织的。虽然考试复习手册不包含CISM考试中可能会考查的每个概念，但它确实涵盖广泛的知识，可为考生打下坚实的基础。本手册只是备考资源之一，不应将其当作唯一资源或视为通过该考试所需的所有信息和经验的全集。

手册特征

《CISM 考试复习手册》包含多种特征，可帮助您充分了解CISM工作实务，并加强您对资料的学习和巩固。

任务说明参考指南

任务说明参考指南将每个领域中的任务说明与考试复习手册中的相关部分对应起来。可将该指南与其他学习资料（例如《CISM 复习考题及解答手册（第9 版）》）结合使用，以帮助您轻松找到与您要复习的任务说明相关的内容。

自我评估问题与解答

每章第一部分结尾的自我评估问题可帮助考生了解CISM问题会如何出现在CISM考试中，不应将其单独用作知识来源。自我评估问题不应被视为衡量考生能否在CISM考试中正确回答相应领域问题的标准。这些练习题的目的是帮助考生熟悉问题结构，并不表示在CISM考试中一定会碰到或一定不会碰到类似问题。

深造学习参考资料

由于考试复习手册中出现的许多概念都很复杂，您可能会发现，参考外部资料作为补充来帮助您理解这些概念是非常有用的。您可以使用建议的资源作为参考来帮助您提高学习效果，因为这些资源是与每一章相关的。

实务

设计实务问题是为了让您在实践中进一步探索考试复习手册中的概念。这些问题是一些提示，可能需要您观察组织中的实务来巩固在具体的这部分课程中出现的材料。为了进行更深入的探索，请考虑与 ISACA 论坛或社交媒体平台上的同事互动。

知识点检查

知识点检查活动旨在将考试复习手册中的材料应用到实践中。这些活动包括匹配题、场景题、回忆题，以及旨在进一步提高学习效果的其他活动。在每章结尾处提供了答案，但建议您先尝试完成知识点检查，然后再参考答案。

案例研究

案例研究提供基于场景的学习材料，着重强调每章中出现的概念。每个案例研究包含一个与每个领域相关的信息安全管理场景，以及与该场景相关的一些问题。这些案例研究的目的是针对每个领域的内容及其与CISM实务的关联方式提供真实的看法。

词汇表

手册末尾附有词汇表，其中包含适用于各章节材料的术语。另外还包含适用于未具体讨论的相关领域的术语。词汇表是手册中文字的扩展，以另外一种方式指示考生可能需要寻求附加参考的领域。

将CISM考试复习手册与其他ISACA资源结合使用

可将CISM考试复习手册与其他CISM备考材料结合使用。这些产品基于CISM工作实务，可使用引用的任务和知识点说明来查找CISM考试复习手册中的相关内容。这些资源包括：

·《CISM复习考题及解答手册（第9版）》

· CISM复习考题及解答数据库—12个月订阅期

·地方分会CISM考试复习课程

关于CISM复习考题及解答产品

《CISM^®复习考题及解答手册（第9版）》从目前CISM工作实务领域中编选出1,000道包含答案、解析的选择题。

另一个可用的辅助材料是CISM^®复习考题及解答数据库—12个月订阅期。该数据库包含《CISM^®复习考题及解答手册（第9版）》中的1,000个问题及解答。藉此辅导材料， CISM考生可以随意选答不同长度的模拟试卷，查看在不同领域的作答成绩，从而确定自己在各领域的强项和弱项。模拟试卷亦可按领域选择从而进行重点学习，另外还有一些其他分类功能，如筛选之前答对的题目等。

这些资料中的问题代表考试中可能会出现的问题类型，并对正确答案和错误答案分别作了解析。问题按CISM领域分类，作为模拟考试使用。这些资料非常适合与《CISM^®考试复习手册（第15 版）》结合使用。这些资料可作为考生在整个学习过程中的一个学习资源，或可作为最后复习时的其中一环，从而判断自己是否需要额外的学习。请大家注意这些问题和参考答案应视为范例；并非真实试题，且可能与实际考试中出现的问题在内容上有出入。

CISM考试中的题目类型

CISM考试题目的设置目的是衡量和测试实务知识以及信息安全管理原则和标准的运用。如前面所述，所有题目均采用选择题的形式，并且每道题目仅有一个最佳答案。

考生应仔细阅读每道问题。多数情况下，CISM考试题目会要求考生选择最有可能或最佳的答案，还可能会要求考生选择一个先于其他答案执行的操作或程序。无论何时，考生均应仔细阅读题目内容，排除明显错误的答案，然后选出最佳选项。了解提问的试题类型以及如何学会回答这些题目有助于考生正确回答问题。最佳答案在所给的选项中。对于题目中提出的场景，可能有许多可能的解决方案，具体取决于行业、地理位置等。建议您考虑题目中提供的信息并从所给选项中选出最佳答案。

每个CISM题目均包含一个题干（题目）和四个选项（备选答案）。考生需要从选项中选出正确或最佳答案。题干的形式可能是问句，也可能是不完整的陈述句。在某些情况下，也可能会涉及一个情景或描述。此类题目通常包含对某状况的描述，要求考生根据所提供的信息回答两个或更多个问题。

有助于解答此类题目的方法包括：

·阅读整个题干，确定问题是在问什么。寻找“最佳”、“最多”、“首先”之类的关键词，以及指明题目是在考查哪个领域或概念的关键术语。

·阅读所有选项，然后再次阅读题干，看看能否根据您对题目的直观理解排除任何选项。

·再次阅读剩余选项，结合个人经验确定哪个选项是该题的最佳答案。

准备考试时另一个需要考虑的情况是，考生应认识到信息安全属于全球性行业，个人的看法和经验可能无法反映全球的形势和情况。由于设计本考试和CISM手册时，针对的是国际性信息安全团体，因此当考生读到与自己的经验相悖的状况时，需要给予一定的弹性对待。值得注意的是，CISM考试题目均由世界各地经验丰富的信息安全经理编写。考试中的每道问题亦由ISACA的CISM考题编写工作组进行审阅，此工作组由国际成员组成。这样的地域分布可保证所有的考试题目在不同国家/地区和语言中的理解相同。

注：使用CISM复习资料准备考试时应注意，它们涵盖广泛的信息安全管理问题。再次请考生注意，不要认为阅读完这些手册及解答复习题后便已充分做好应试准备。由于实际试题常常与实践经验有关，因此考生应参考自身经验和其他参考资源，并借鉴已获得CISM资格认证的同事及他人的经验。

第1章 信息安全治理

第一部分　概述

本章复习制定与组织目标一致的信息安全治理结构所必需的知识主体和相关任务。

领域定义

建立和/或维护信息安全治理框架和支持流程，确保信息安全战略与组织的目的和目标一致。

学习目标

此领域的目标是确保CISM考生具备必要的知识，以便：

·了解信息安全治理的目的，信息安全治理包含的内容，以及如何实现信息安全治理。

· 了解信息安全战略的目的及其目标，以及制定该战略所需的理由和步骤。

· 了解政策、标准、程序和指导原则的含义、内容、制定和使用，以及它们如何彼此相关。

·开发业务案例并获得高级管理层的承诺。

·定义治理指标的要求、选择和制定。

CISM考试参考资料

此领域在CISM考试中所占比重为24%（约36个问题）。

任务和知识点说明

任务说明

此领域有9项任务，CISM考生必须知道如何执行这些任务：

T1.1 制定和/或维护与组织目的和目标一致的信息安全战略，为信息安全计划的制定和/或持续管理提供指南。

T1.2 制定和/或维护信息安全治理框架，为支持信息安全战略的活动提供指南。

T1.3 将信息安全治理整合到公司治理中，确保信息安全计划支持组织的目的和目标。

T1.4 制定和维护信息安全政策，为制定与企业目的和目标一致的标准、程序和指导原则提供指南。

T1.5 开发业务案例，为信息安全投资提供支持。

T1.6 确定对组织的内部和外部影响（例如，新兴技术、社交媒体、业务环境、风险容忍度、监管要求、第三方注意事项、威胁概况），确保信息安全战略始终解决这些因素。

T1.7 获得高级领导层和其他利益相关方的持续承诺，为成功实施信息安全战略提供支持。

T1.8 在整个组织（例如数据所有者、数据保管员、最终用户、特权用户或高风险用户）和上下级权力关系中定义、沟通和监控信息安全责任。

T1.9 制定、监控、评估和报告信息安全关键指标，为管理层提供关于信息安全战略有效性的准确且有意义的信息。

知识点说明

CISM 考生必须透彻了解知识点说明中涉及的各个领域。这些知识点是该考试的基础。

信息安全治理领域中有19个知识点说明：

K1.1 了解用于制定信息安全战略的方法[例如SWOT （优势、劣势、机会、威胁）分析、差距分析、威胁研究]。

K1.2 了解信息安全与业务目的、目标、职能部门、流程和实务的关系。

K1.3 了解可

....