CISM Certified Information Security Manager.

CISM ist die ISACA-Zertifizierung für Informationssicherheitsmanager: Governance, Programmmanagement, Risikomanagement, Incident Management. Der Goldstandard für Führungsrollen im Sicherheitsbereich, der in etwa 60 % der CISO-Stellenausschreibungen gefordert wird. Andere Perspektive als CISSP: managementorientiert, weniger technisch.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

Die Einschätzung der Cyber Academy

CISM ist die ISACA-Zertifizierung für Informationssicherheitsmanager: Governance, Programmmanagement, Risikomanagement, Incident Management. Der Goldstandard für Führungsrollen im Sicherheitsbereich, der in etwa 60 % der CISO-Stellenausschreibungen gefordert wird. Andere Perspektive als CISSP: managementorientiert, weniger technisch.

Was das CISM zertifiziert

Das CISM ist die Zertifizierung von ISACA für Menschen, die Informationssicherheit managen, statt sie zu konfigurieren. Es bestätigt, dass Sie ein Sicherheitsprogramm aufbauen und steuern, es an den Geschäftszielen ausrichten und gegenüber der Geschäftsleitung und dem Vorstand dafür Rechenschaft ablegen können.

Der Nachweis gliedert sich in vier fachliche Domänen: Governance der Informationssicherheit, Management von Informationssicherheitsrisiken, Entwicklung und Management des Informationssicherheitsprogramms sowie Management von Informationssicherheitsvorfällen. Diese vier Bereiche beschreiben die tatsächliche Aufgabe einer Sicherheitsführungskraft: die Richtung vorgeben, Risiko verstehen und behandeln, das Programm liefern, das die Arbeit leistet, und Vorfälle eindämmen, wenn Kontrollen versagen.

Die shortDefinition liegt richtig damit, dass das CISM der Goldstandard für Führungsrollen in der Sicherheit ist. In der Praxis bedeutet das, dass Personalverantwortliche es als Indiz dafür nutzen, dass eine Person «eine Sicherheitsfunktion verantworten kann», nicht «einen Server härten kann». Von einer Person mit CISM wird erwartet, dass sie zwischen zwei Zielgruppen übersetzt: den technischen Teams, die Kontrollen betreiben, und der Geschäftsleitung, die Risiko finanziert und akzeptiert. Diese Übersetzungsschicht bildet den Kern der Rolle, und sie ist der Grund, warum sich die CISM-Kommunikation auf Governance, Berichtswege und Risikoakzeptanz stützt statt auf Werkzeuge.

CISM gegenüber CISSP: die Management-Perspektive

Die häufigste Frage von Fachleuten lautet, wie sich das CISM vom CISSP unterscheidet. Beide sind Nachweise für leitende Funktionen und beide berühren Governance, Risiko und Betrieb, doch ihr Schwerpunkt liegt anders. Das CISSP von (ISC)squared ist breiter und technischer: acht Domänen, die Architektur, Kryptografie, Netzwerksicherheit, Softwaresicherheit und Betrieb umfassen. Es ist die natürliche Zertifizierung für eine Sicherheitsfachkraft oder einen Sicherheitsarchitekten. Das CISM ist enger gefasst und managementorientiert: vier Domänen, allesamt aus der Perspektive einer Person betrachtet, die für ein Programm und ein Budget verantwortlich ist, nicht für die Umsetzung der Kontrollen.

Das CISM im Vergleich zu benachbarten Nachweisen
NachweisOrganisationHauptperspektive
CISMISACASteuerung eines Sicherheitsprogramms: Governance, Risiko, Programm, Vorfälle
CISSP(ISC)squaredBreit aufgestellte technische Fachkraft: acht Domänen, von der Architektur bis zum Betrieb
CISAISACAPrüfung und Assurance von Informationssystemen
CRISCISACAIdentifizierung, Bewertung und Behandlung von IT-Risiken im Unternehmen

Innerhalb der eigenen Familie von ISACA steht das CISM neben dem CISA und dem CRISC. Das CISA ist der Nachweis für Prüfer, ausgerichtet auf die Bewertung von Kontrollen und das Erbringen von Assurance. Das CRISC ist der Nachweis für Risikospezialisten, ausgerichtet auf die Identifizierung von IT-Risiken und die Reaktion darauf. Das CISM ist der Nachweis für Führungskräfte, ausgerichtet auf die Verantwortung für die Funktion, die Governance, Risiko und Betrieb miteinander verbindet. Viele Sicherheitsverantwortliche halten am Ende mehr als einen, weil sich die Rollen überschneiden, je weiter man aufsteigt.

Was es braucht, um das CISM zu halten

Das CISM ist ein an Erfahrung gebundener Nachweis, nicht bloß eine Prüfung. ISACA verlangt von den Kandidaten, die Prüfung zu bestehen und einschlägige Berufserfahrung im Management der Informationssicherheit nachzuweisen, wobei ein Teil dieser Erfahrung innerhalb der vier Domänen liegen muss. Für einen Teil der Erfahrungsanforderung gibt es begrenzte Ausnahmen, und die Zertifizierung muss anschließend durch kontinuierliche berufliche Weiterbildung und die Einhaltung des berufsethischen Kodex von ISACA aufrechterhalten werden. Diese Pflicht zur Aufrechterhaltung ist der Grund, warum das CISM aktuell bleibt: Inhaberinnen und Inhaber sammeln in jedem Zyklus CPE-Stunden, statt einmal zu bestehen und sich darauf auszuruhen.

Für Fachleute, die abwägen, ob sie es anstreben sollen, lautet die ehrliche Einordnung so. Wenn Ihr Weg darauf zusteuert, eine Sicherheitsfunktion zu leiten, einen Vorstand zu beraten oder einen CISO-Posten zu übernehmen, ist das CISM der Nachweis, den Personalverantwortliche am häufigsten nennen. Wenn Ihre Arbeit praktische Architektur und Engineering ist, dient Ihnen das CISSP oder eine technische Spezialisierung besser. Die beiden ergänzen einander, statt zu konkurrieren, und leitende Führungskräfte halten häufig beide.

Frequently asked questions

01Was ist der Unterschied zwischen CISM und CISSP?

Das CISM ist managementorientiert und eng gefasst: vier Domänen rund um die Steuerung eines Sicherheitsprogramms. Das CISSP ist technisch und breit: acht Domänen, von der Architektur bis zum Betrieb. Das CISM passt zu Sicherheitsführungskräften und angehenden CISOs; das CISSP passt zu Fachkräften und Architekten. Viele erfahrene Personen halten beide.

02Was sind die vier CISM-Domänen?

Governance der Informationssicherheit, Management von Informationssicherheitsrisiken, Entwicklung und Management des Informationssicherheitsprogramms sowie Management von Informationssicherheitsvorfällen. Zusammen beschreiben sie die gesamte Aufgabe, eine Sicherheitsfunktion zu verantworten.

03Brauche ich Berufserfahrung, um das CISM zu erhalten?

Ja. Das CISM ist an Erfahrung gebunden. Sie müssen die Prüfung bestehen und einschlägige Erfahrung im Management der Informationssicherheit nachweisen, einen Teil davon innerhalb der vier Domänen. Es gibt begrenzte Ausnahmen bei der Erfahrung, und der Nachweis wird durch kontinuierliche berufliche Weiterbildung aufrechterhalten.

04Lohnt sich das CISM für eine CISO-Rolle?

Es ist einer der am häufigsten geforderten Nachweise in Stellenausschreibungen für Sicherheitsführung und CISO-Positionen, weil es signalisiert, dass Sie ein Programm verantworten und Risiko an die Geschäftsleitung berichten können, nicht nur Kontrollen betreiben. Es passt sehr gut, wenn Ihr Weg in Richtung Führung geht.

05Wie verhält sich das CISM zu CISA und CRISC?

Alle drei sind Nachweise von ISACA mit unterschiedlichen Perspektiven. Das CISA ist für Prüfer, die Assurance über Systeme erbringen, das CRISC für IT-Risikospezialisten und das CISM für Führungskräfte, die die Sicherheitsfunktion verantworten. Sie überschneiden sich und werden oft gemeinsam gehalten.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.