الشهادة الدولية لمدير أمن المعلومات CISM

دليلك الشامل لفهم والحصول على شهادة CISM المعترف بها عالمياً في مجال إدارة أمن المعلومات

استعرض المنهج التفصيلي

ما هي شهادة CISM؟

CISM

تعريف الشهادة

شهادة CISM (Certified Information Security Manager) هي شهادة مهنية معترف بها عالمياً تقدمها منظمة ISACA، وتركز على إدارة أمن المعلومات وربطها بأهداف العمل. تم تصميم هذه الشهادة لمدراء أمن المعلومات والأفراد الذين يديرون ويصممون ويشرفون على برامج أمن المعلومات في المؤسسات.

ISACA

الجهة المانحة

ISACA (Information Systems Audit and Control Association) هي منظمة عالمية غير ربحية تقدم معارف وممارسات ومعايير مهنية في مجالات حوكمة وإدارة تكنولوجيا المعلومات. تأسست عام 1969 ولديها أكثر من 150,000 عضو في 188 دولة.

👥

الفئات المستهدفة

مديري أمن المعلومات، المستشارين الأمنيين، مدققي نظم المعلومات، وكل من يعمل في مجال إدارة أمن المعلومات ويرغب في تطوير مساره المهني. كما تستهدف الأفراد الذين يخططون للانتقال من الأدوار التقنية إلى الأدوار الإدارية في أمن المعلومات.

متطلبات الحصول على الشهادة

المتطلب التفاصيل
الخبرة العملية 5 سنوات على الأقل في مجال إدارة أمن المعلومات، مع إمكانية التنازل عن سنتين في حالات محددة (مثل الحصول على شهادات معينة أو الخبرة في التدقيق)
اجتياز الاختبار الحصول على درجة النجاح في اختبار CISM الذي يتكون من 150 سؤالاً ويغطي 4 مجالات معرفية رئيسية
مدونة الأخلاقيات الالتزام بمدونة الأخلاقيات المهنية لـ ISACA والتي تحدد المعايير السلوكية المتوقعة من حاملي الشهادة
التطوير المهني المستمر الحفاظ على الشهادة من خلال برنامج التطوير المهني المستمر (CPE) الذي يتطلب الحصول على 120 ساعة تطوير مهني خلال 3 سنوات

هيكل اختبار CISM

1

إدارة حوكمة المعلومات (24%)

تطوير وإدارة إطار حوكمة أمن المعلومات لضمان التوافق مع استراتيجية المؤسسة. يشمل هذا المجال وضع السياسات والإجراءات وضمان التوافق مع القوانين واللوائح.

2

إدارة مخاطر المعلومات (30%)

تحديد وتقييم وإدارة مخاطر المعلومات لتحقيق أهداف العمل. يشمل تحليل المخاطر وتقييم الضوابط وتحديد أولويات المعالجة بناءً على التأثير المحتمل على المؤسسة.

3

برنامج أمن المعلومات (27%)

تطوير وإدارة برنامج أمن المعلومات لدعم أهداف العمل. يتضمن تصميم وتنفيذ ومراقبة برنامج أمن المعلومات الشامل للمؤسسة.

4

إدارة استجابة الحوادث (19%)

وضع خطة للاستجابة للحوادث واستمرارية العمل لاحتواء الأضرار. يشمل إنشاء وتنفيذ خطط الاستجابة للحوادث واستمرارية العمل والتعافي من الكوارث.

يتكون الاختبار من 150 سؤال متعدد الخيارات، ويستغرق 4 ساعات، ويتم تقديمه بلغات متعددة بما فيها العربية.

المنهج التفصيلي لشهادة CISM

المجال 1: إدارة حوكمة المعلومات (24%)

1.1 تطوير إطار حوكمة أمن المعلومات

  • مفاهيم حوكمة أمن المعلومات
  • هياكل وأطر الحوكمة (مثل COBIT، ISO 27001)
  • تكامل أمن المعلومات مع حوكمة المؤسسة
  • دور ولجنة حوكمة أمن المعلومات
  • توثيق إطار الحوكمة

1.2 سياسات وأطر أمن المعلومات

  • تطوير سياسات أمن المعلومات
  • معايير وضوابط أمن المعلومات
  • إجراءات تنفيذ السياسات
  • مراجعة وتحديث السياسات
  • نشر وتوعية الموظفين بالسياسات

1.3 التوافق مع القوانين واللوائح

  • متطلبات التوافق القانوني والتنظيمي
  • قوانين حماية البيانات والخصوصية
  • معايير الصناعة (مثل PCI-DSS، HIPAA)
  • إدارة مخاطر التوافق
  • إجراءات التدقيق والمراجعة الداخلية

1.4 متابعة وتقييم أداء حوكمة أمن المعلومات

  • مؤشرات أداء حوكمة أمن المعلومات (KPIs)
  • مؤشرات مخاطر أمن المعلومات (KRIs)
  • تقارير أداء أمن المعلومات
  • مراجعة فعالية إطار الحوكمة
  • تحسين مستمر لإطار الحوكمة

المجال 2: إدارة مخاطر المعلومات (30%)

2.1 منهجية إدارة المخاطر

  • مبادئ إدارة مخاطر المعلومات
  • منهجيات تقييم المخاطر (الكمية والنوعية)
  • تحديد وتصنيف الأصول المعلوماتية
  • تحديد التهديدات ونقاط الضعف
  • تحليل التأثير على العمل (BIA)

2.2 تحليل وتقييم المخاطر

  • تحليل احتمالية وتأثير المخاطر
  • تقييم فعالية الضوابط الحالية
  • تحديد مستوى تحمل المخاطر
  • توثيق نتائج تحليل المخاطر
  • أدوات تحليل المخاطر

2.3 معالجة المخاطر

  • استراتيجيات معالجة المخاطر (القبول، النقل، التخفيف، التجنب)
  • تحديد أولويات معالجة المخاطر
  • تصميم وتنفيذ ضوابط أمن المعلومات
  • خطط معالجة المخاطر
  • مؤشرات فعالية معالجة المخاطر

2.4 مراقبة ومراجعة المخاطر

  • مراقبة بيئة المخاطر
  • مراجعة وتحديث تقييمات المخاطر
  • إعداد تقارير مخاطر المعلومات
  • دمج إدارة المخاطر في عمليات المؤسسة
  • تحسين منهجية إدارة المخاطر

المجال 3: برنامج أمن المعلومات (27%)

3.1 تطوير برنامج أمن المعلومات

  • مكونات برنامج أمن المعلومات
  • محاذاة برنامج الأمن مع أهداف العمل
  • هيكل وإدارة برنامج الأمن
  • تخطيط موارد برنامج الأمن
  • توثيق برنامج أمن المعلومات

3.2 إدارة عمليات أمن المعلومات

  • إدارة الهوية والوصول
  • إدارة الثغرات الأمنية
  • مراقبة وتحليل الأحداث الأمنية
  • إدارة التغييرات الأمنية
  • إدارة الحوادث الأمنية

3.3 ضوابط أمن المعلومات

  • تصنيف الضوابط (إدارية، فنية، فيزيائية)
  • ضوابط الوقاية والكشف والتصحيح
  • ضوابط الأمن حسب طبقات الحوسبة
  • تكامل الضوابط في بيئة العمل
  • اختبار وتقييم فعالية الضوابط

3.4 الوعي الأمني والتدريب

  • تطوير برامج التوعية الأمنية
  • تحديد احتياجات التدريب الأمني
  • تصميم محتوى التوعية والتدريب
  • تقييم فعالية برامج التوعية
  • ثقافة أمن المعلومات في المؤسسة

المجال 4: إدارة استجابة الحوادث (19%)

4.1 خطة استجابة الحوادث

  • مكونات خطة استجابة الحوادث
  • تطوير إجراءات استجابة الحوادث
  • فريق استجابة الحوادث (الهيكل والمسؤوليات)
  • تصنيف وتصنيف الحوادث الأمنية
  • توثيق خطة استجابة الحوادث

4.2 استمرارية العمل والتعافي من الكوارث

  • تخطيط استمرارية العمل
  • تخطيط التعافي من الكوارث
  • تحليل تأثير الأعمال (BIA) لاستمرارية العمل
  • استراتيجيات استمرارية العمل
  • اختبار خطط استمرارية العمل والتعافي

4.3 إدارة واستجابة الحوادث

  • كشف وتحديد الحوادث الأمنية
  • استعادة العمليات بعد الحوادث
  • تحليل جذور الأسباب (Root Cause Analysis)
  • تحسينات ما بعد الحوادث

4.4 اختبار وتقييم خطط الاستجابة

  • أنواع اختبارات استجابة الحوادث
  • تمارين محاكاة الحوادث
  • مراجعة وتقييم خطط الاستجابة
  • تحسين خطط الاستجابة بناءً على الدروس المستفادة
  • التكامل مع خطط استمرارية العمل

التحضير لاختبار CISM

1
التخطيط
2
الدراسة
3
التدريب
4
الاختبار

المواد الدراسية الرسمية

  • كتاب مراجعة CISM الرسمي من ISACA
  • قاعدة أسئلة CISM الرسمية (QAE)
  • دليل المراجعة الرسمي
  • نماذج اختبارات CISM التجريبية
  • أدوات الدراسة الإلكترونية من ISACA

دورات التحضير

  • دورات تدريبية مباشرة من ISACA
  • دورات تدريبية من مزودين معتمدين
  • دورات تدريبية عبر الإنترنت (ذاتية السرعة)
  • ورش عمل مكثفة للتحضير للاختبار
  • مجموعات الدراسة المحلية والعالمية

نصائح للدراسة

  • خصص 3-4 أشهر للتحضير (10-15 ساعة أسبوعياً)
  • ركز على فهم المفاهيم وليس الحفظ
  • تدرب على أسئلة الاختبارات السابقة
  • انضم إلى مجموعات الدراسة والمنتديات
  • قم بإجراء اختبارات تجريبية لتقييم مستواك

الجدول الزمني المقترح للتحضير (12 أسبوعاً)

الأسبوع المجال المواضيع
1-3 المجال 1 إدارة حوكمة المعلومات
4-6 المجال 2 إدارة مخاطر المعلومات
7-9 المجال 3 برنامج أمن المعلومات
10-11 المجال 4 إدارة استجابة الحوادث
12 المراجعة مراجعة شاملة وحل نماذج الاختبارات

الأسئلة الشائعة

ما هي تكلفة اختبار CISM؟ +

تختلف رسوم الاختبار حسب العضوية في ISACA. للأعضاء تبلغ حوالي 575 دولار أمريكي، ولغير الأعضاء حوالي 760 دولار أمريكي. وهناك رسوم إضافية للتسجيل المبكر والعضوية السنوية.

كم مرة يمكن إعادة الاختبار في حالة الرسوب؟ +

يمكن إعادة الاختبار عدة مرات حسب الحاجة، مع دفع رسوم الاختبار في كل مرة. لا يوجد حد لعدد المرات، ولكن يُنصح بالتحضير الجيد قبل إعادة الاختبار والتركيز على المجالات التي كانت نقاط ضعف في المحاولة السابقة.

ما هي مدة صلاحية شهادة CISM؟ +

شهادة CISM صالحة لمدة 3 سنوات، ويمكن تجديدها من خلال برنامج التطوير المهني المستمر (CPE) والحصول على 120 ساعة تطوير مهني خلال 3 سنوات، مع حد أدنى 20 ساعة سنوياً.

هل يمكن التنازل عن متطلبات الخبرة العملية؟ +

نعم، يمكن التنازل عن سنتين من متطلبات الخبرة العملية البالغة 5 سنوات في الحالات التالية: حاملي شهادات معتمدة أخرى مثل CISSP، أو الحاصلين على درجة الماجستير في مجال ذي صلة، أو الخبرة في تدقيق نظم المعلومات.

ما هي اللغات المتاحة لأداء الاختبار؟ +

يتوفر اختبار CISM بعدة لغات منها الإنجليزية والصينية المبسطة واليابانية والكورية والإسبانية والفرنسية والألمانية والعبرية والإيطالية والبرتغالية والتركية والعربية.

الموارد المفيدة

الروابط الرسمية

مواد الدراسة

  • كتاب مراجعة CISM الرسمي (الإصدار الأخير)
  • قاعدة أسئلة CISM الرسمية (QAE)
  • دليل المراجعة السريع (Review Manual)
  • نماذج اختبارات CISM التجريبية
  • تطبيق ISACA للدراسة عبر الجوال

مجتمعات التعلم

  • منتدى ISACA الرسمي للمناقشات
  • مجموعات دراسة CISM على LinkedIn
  • قنوات YouTube المتخصصة في CISM
  • مجموعات Telegram وWhatsApp للدراسة
  • فعاليات ISACA المحلية والعالمية