CISA和CISM考试：入门指南与流程

PMP360 2024-1-18

在不断变化的信息安全领域中，证书在验证专业人员的技能和专业知识方面发挥着关键作用。Certified Information Systems Auditor（CISA）国际电脑稽核师认证和Certified Information Security Manager（CISM）国际信息安全经理人认证是其中两个卓越的证书。尽管这两种证书都由ISACA（国际电脑稽核协会）提供，但它们具有不同的目的并针对不同的工作实务场景。因此在决定首先考取哪一个证书之前，最好先了解它们各自的针对性以及相互之间的区别是至关重要。

认证简介

CISA认证

自1978年以来，CISA认证已被全球公认为具备电脑稽核、控管、监视和评价IT组织和业务系统的业界成就标准，用来展示您的专业知识，强调应用基于风险的方法来计划、执行和报告稽核任务的能力。CISA证书持有人在识别漏洞、确保信息来源的可用性、保密性和完整性以及为组织进行信息系统稽核方面发挥着至关重要的作用。

CISM认证

CISM认证则涵盖了IT专业人士如何应对当今最为关注的数据泄露、勒索软件攻击和其他不断演进的信息安全威胁。通过CISM认证，你将学会如何评价风险，实施有效的治理并主动应对资安事件。在信息安全管理领域，CISM在建立和管理信息安全计划方面的能力而广受推崇，是专业人士需要除了信息安全所需的众多技术证书外的最佳管理证书。

如何选择适合您的认证

无论是CISA（国际电脑稽核师）还是CISM（国际信息安全经理人），都提供了自己独特的工作实务领域和不同的技能经验要求，使其对那些渴望在信息安全和治理的不同方面取得优异成绩的个人至关重要。我们下面就从工作实务领域（Domain），工作职称（Job Title），申请要求（Requirement）等方面进行讨论和对比。

对比工作实务领域

虽然CISA和CISM的领域知识都主要集中在信息安全方面，但各自的侧重点有很大的不同：

#	CISA	CISM
領域 (%)	信息系统稽核流程（21%）信息技术治理与管理（17%）信息系统的取得、开发与建置（12%）信息系统的营运及企业灵活性（23%）信息资产的保护（27%）	信息安全治理（17%）信息安全风险管理（20%）信息安全计划（33%）事故管理（30%）

CISA认证主要侧重于稽核、运营和保护。这意味着通过内部控制保护重点信息资产，从而建立业务弹性。CISA的实务领域涵盖稽核、风险管理和IT科技治理等主题，并对信息系统及其控制提供了更广泛的了解。另一方面，CISM认证侧重于信息安全管理的治理和策略。这意味着需要深入了解企业资讯安全计划和事件响应的管理、设计和评价。此外，除了科技专长外，CISM的认证还侧重于培养领导技能。最关键的区别是：CISM的实务领域聚焦到企业资讯安全的管理，而CISA的领域则更加强调信息安全控制技术和针对目标对象的稽核。

分析工作职称

如果想更直观的了解CISA和CISM的差异，那么从雇主的视角看可能会更加便利。笔者从台湾104人力银行（中文）和香港JobsDB（英文）这两个大型的求职征才平台上分别搜寻了要求CISA或CISM证书的职缺信息，然后利用自然语言处理（NLP）技术制作了关于数据中工作职称的词云图（Word Cloud）。观察NLP生成的词云图时，读者可以通过文字的大小来快速了解工作职称中的关键词组重复出现次数的高低，高者越大，低者反之。

下面两张图分别呈现了在台湾104人力银行和香港JobsDB中，搜寻CISA所产生的词云图结果：

香港 JobsDB CISA 工作職稱文字雲 — 香港 JobsDB - CISA

透过观察台湾和香港的CISA工作职称词云图，我们发现和CISA相关的工作职称大部分都围绕着稽核（Audit），尤其是IT稽核，内部稽核（Internal Audit）最为常见。另外，资安顾问/咨询（Consultant），资安工程师等也比较常见。

下面两张图分别呈现了在台湾104人力银行和香港JobsDB中，搜寻CISM所产生的词云图结果：

香港 JobsDB CISM 工作職稱文字雲 — 香港 JobsDB - CISM

观察台湾和香港的CISM词云图，不难发现大多数相关的工作职称主要集中在资安的管理和咨询为主，而且包含一部分高级管理人员，比如公司资安方面主管（Officer），安全顾问（Consultant），IT安全主管（Manager）等。

通过对比CISA和CISM的工作职称（Job Title），CISA的职称名称更适用于参与稽核、控制和保证的专业人员，这些专业人员的职责包括IT稽核、内部稽核、资安顾问或分析师等。而CISM的职称名称则更适用于信息安全管理和治理领域，包括信息安全经理、安全顾问或安全性策略师等角色。

对比申请要求

按照ISACA的要求，即使您通过了CISA/CISM的认证考试，也不意味着就能马上获得证书，因为还需要您达到一定的工作经验要求，并向ISACA提交相关的证明材料，才能最终获得证书（如果您通过了考试，但是工作经验不够，也不要着急，ISACA给了您从考试通过之日起计算的5年缓冲期）。虽然CISA和CISM总体上都对候选人有着5年工作经验的要求，但是细则上还是有很大的差异：

#	CISA	CISM
经验要求	五（5）年（含）以上信息系统/信息技术稽核、控制、保证或安全工作经验。经验至少符合一个CISA工作实务领域. 经验豁免最多可抵减三（3）年。	五（5）年（含）以上信息安全管理工作经验。要求在四个工作实务领域中的三个领域拥有至少三年的经验经验豁免最多可抵减两（2）年。
经验豁免	一般工作经验豁免，最多可抵减1年通用信息系统或普通审计工作方面的经验教育经验豁免，最多可抵减3年副学士学位可抵减1年任何研究领域的学士、硕士或博士学位可抵减2年信息系统或相关领域的硕士学位可抵减3年 CIMA（皇家特许管理会计师公会）完全认证可抵减2年特许公认会计师公会的ACCA会员身份可抵减2年	一般信息安全经验抵减，最多可抵减2年 CISM工作经验替代（只能选择下列中的一种），最多可抵减2年合格的CISA可抵减2年合格的CISSP可抵减2年信息安全/相关领域的MBA或硕士学位可抵减2年信息安全领域/相关领域的学士学位可抵减1年基于技能的安全认证或一般安全认证可抵减1年信息系统管理经验可抵减1年（必须是一整年）

如果利用经验豁免，CISA最少只需要2年经验，CISM则需要3年经验。同时CISM对工作经历的要求更加仔细，即必须满足CISM四个工作实务领域中的三个领域，而CISA只要求一个领域。通过比较得出，CISM对工作经验的要求比CISA严格，并且可以使用CISA等证书抵减时间，所以从这个角度看CISM的综合要求更高，更依赖实务经验的积累。

小结

通过以上三个方面的介绍和对比，相信您对CISA和CISM已经有了一个比较快速的了解。作为职业生涯中期的专业人士，如果您的工作和稽核相关或有志于此领域，那CISA证书会非常适合您。如果您希望在信息安全管理方面发展自己的职业生涯，那CISM证书将更有助于您获得领导职位。如果是那些希望在IT领域处于领先地位的专业人士，则建议两者兼而有之。这些认证不仅有助于他们很好地理解这两个领域，而且有助于建立该级别所需的知识权威。

考试流程

CISA和CISM考试从流程上分为5个步骤：

登入ISACA网站进行注册，需注意的是注册登记的姓名要和您考试日出示的身份证明一致。
在网站上为CISM/CISA考试报名缴费，然后方可排定考试日期
考试日参加考试，可以去实体考场或远程在线应考（根据您先前的预定）
考试通过后，需先在网站缴纳50美金的证书申请费用
从网站下载申请表单，按照要求填写，然后发送ISACA核准

以下表格提供了CISA/CISM考试的概要情况

#	CISA	CISM
考试费	ISACA会员：575美金非ISACA会员：760美金考试费无法退还或转让，付款后有效期12个月，超出有效期没有排定考试需重新付款
考试时长	4小时（240分钟），150个选择题。可以向考官要求两次不超过10分钟的休息（可能触发额外的安全检查）。
考试语言	繁体中文简体中文英语日语	简体中文英语日语

证书成本

在不考虑额外的学习成本下，您在CISA/CISM考试上可能的花费为：

非会员：$760（考试费）+ $50（申请费）= $810美金
会员：$145（会员费）+ $575（考试费）+ $50（申请费）= $770美金

取得证书后，仍需支付相应的持有成本，这和会员资格一样需要进行年度支付。有关详细情况，请继续阅读本文。

如何排定考试

按照ISACA的流程，您必须先在网站上支付考试费才能排定考试日期。CISA/CISM考试均为电脑上机考试，并由全球获授权的PSI测试站举办（实体考场），或采远程监考考试形式（在线）。这两种考试方式均需要在网站上排定日期，如果您选择在实体考场考试，可以先在PSI查询您附近是否有合适的考试中心。如果您想选择在家中远程监考方式，需要先对您的电脑设备进行兼容性检查，看是否满足PSI远程考试的要求。

关于考试改期

如果在资格有效期内，在原本排定的考试日期前至少48小时提出，您可以随时重新安排考试日期，不会产生任何罚金。若您在排定的考试日期前48小时内才提出，则必须如期应试，否则报名费不会退还。

考试日的流程

根据您标明的考试方式，考试当日的流程略有差异。

前往实体考场
- 预定于考试开始时间至少30分钟前抵达，如因迟到引发的无法考试，不能退款
- 务必带上自己的身份证明文件，特别注意的是，实体考场一般都要求您出示两项有效之身份证明文件：
  1. 一份有照片的政府签发的有效证件，如身份证/护照
  2. 考生姓名及签名的证件，如信用卡等
  *身份证明文件的具体要求请联系当地考试中心
- 考试完成后，考场不能立即出具成绩单，需要自己在官方站点查询
远程监考考试
- 提前完成兼容性检查
- 提前下载安装PSI Secure Browser，请参考远程监考指南
- 准备好自己的有效身份证明文件，要求由政府签发，有自己的照片，且英文名字要和ISACA帐户中登记的一致，比如护照/居留卡等带有英文名字和头像的证件
- 考试开始前30分钟Launch Exam，等待check-in时间的到来，然后按照屏幕提示完成流程
  - 给你的身份证明文件拍照
  - 使用网络摄像头扫描你所在的居室，确保显示你周围的办公桌区域、地板和墙壁
  - 自拍以检查您是否与您的身份证明文件相符
- 等待远程监考官检查你的check-in数据
- 检查通过后，考官会释放考试，您可以开始做题

远程考试的注意事项

请确保你在一个光线充足的居室里，因为你需要上传居室的录像——建议使用人工照明确保明亮。
请确保您的办公桌空间内没有任何违禁物品，最好是除了您的电脑不要再有其他的物品。
请不要配戴智能手表或其他可穿戴装置
监考员将在考试期间使用你的网络摄像头监督你，请不要有下列情形：
- 视线看着电脑的屏幕外面
- 喃喃自语的发出声音，或嘴唇默读题目
- 离开网络摄像头的视野
- 使用任何可能的通讯工具

成绩单及证书申请

您完成考试后，可立即在屏幕上查看初步考试结果。您不可拍摄考试任何部分的屏幕画面或相片，包括考试结果画面。正式分数则会在10个工作天内透过电子邮件寄发，或于在线提供。如果您通过考试，会收到认证申请方式的详情。

电子邮件通知：寄送至您个人档案中列出的电子邮件地址
在线结果：在ISACA网站的「MyISACA > Certifications & CPE Management」（我的ISACA >认证与CPE管理）页面提供
考试分数不会透过电话或传真提供
无法提供分题结果

如果您的成绩通过，可以按照提示支付50美金的申请费，然后上传申请表单，等待ISACA签发证书。

有效期和续证

请千万注意，CISA和CISM证书都只有三年时效，为了能够在时效到期时进行续证，您需要按照ISACA持续专业进修政策（CPE）的规定向ISACA提交CPE学习时数。

持续专业进修政策

每年最低应达到并报告20个持续专业进修（CPE）学习时数。
向ISACA（国际电脑稽核协会）国际总部全额交付年度持续专业进修（CPE）维持费。
在三年报告期间最低应达到并报告120个持续专业进修（CPE）学习时数。
被选中参加年度审查时，必须响应并提交参加持续专业进修（CPE）活动的所需文件记录。
遵守ISACA的职业道德准则。

*未能遵守以上认证要求者，其个人的CISA/CISM证书将被撤消。

CPE年度维持费用

ISACA会员：45美金，非会员：85美金
如果您拥有2个以上的ISACA证书，从第三个证书开始，会员：25美金，非会员：50美金

如何取得CPE学习时数？

ISACA提供了多种途径供您获取CPE学习时数：

参加ISACA网络研讨会和虚拟讲师指导培训，每年可获得多达36个免费CPE
参加ISACA组织的会议，每年可获得多达32个CPE
完成ISACA培训周课程后，最多可获得32个CPE
完成ISACA在线课程后，每门课程最多可获得28个CPE

如需要进一步了解更多的学习时数获取途径，可以访问ISACA的相关页面

结束语

在不断发展的信息安全领域中，ISACA提供的CISA和CISM证书是展现您专业知识和技能的卓越标志，为追求卓越的专业人士提供了不同的发展道路。

无论您选择CISA还是CISM，都是对个人职业生涯极具价值的投资。CISA认证强调电脑稽核、控制、监视和评价IT组织和业务系统，使持有者能够在稽核、风险管理和IT治理方面展现卓越能力。另一方面，CISM认证注重IT专业人士在应对当今复杂的信息安全威胁时的管理技能，包括风险评估、安全治理和事件应对。这两个证书各有其独特之处，CISA更适合那些想要从事稽核、风险管理和IT治理的专业人员，而CISM则更适合希望在信息安全管理和领导方面取得成功的专业人士。我们希望这份CISA和CISM考试的入门指南能够为您提供清晰的方向，助您在信息安全领域取得更大的成就。

我们目前提供了针对CISA和CISM考试的专家服务：零压力，100%通过，先用后付。如有需要，请联系PMP360了解更多详情。

感谢您的耐心阅读，祝您在考试中取得优异成绩，并在职业生涯中蓬勃发展！

CCNA / CCNP系列文章