CISM 完整溫書 Notes

📋

考試概覽

Exam Overview

項目	詳情
📝 題數	150 題多項選擇題
⏱️ 考試時間	4 小時
✅ 合格分數	450 / 800 分
🗂️ Domain 數目	4 個
🧠 考試思維	管理者角度，唔係技術人員角度
💰 考試費用	會員 USD $575 / 非會員 USD $760
📅 報名方式	全年開放，隨時可報

⚠️

2026年11月3日 CISM 大更新！ ISACA 將更新考試內容大綱，加入 Enterprise Architecture 及 Information Security Architecture 兩個新範疇。新版備考材料最快 2026年9月才有。想考舊版請盡早在 11月3日前完成考試！

📊 Domain 比重一覽

Domain	名稱	佔分	約題數
Domain 1	Information Security Governance	17%	~25 題
Domain 2	Information Security Risk Management	20%	~30 題
Domain 3	Information Security Program	33%	~50 題
Domain 4	Incident Management	30%	~45 題

🧠

答題黃金法則

先睇！考試思維最重要

01

Business First（業務優先）
所有安全決策要配合業務目標，唔係單純技術最安全就係最好答案

02

Risk-Based Thinking
唔係所有風險都要消除，管理到 Acceptable Level 就夠

03

先 Assess，後 Act
遇到問題唔係即刻修補，係先做風險評估，再決定行動

04

Senior Management Involvement
幾乎所有重大決策都需要高層支持，呢個係必選答案

05

注意 Keywords
BEST / FIRST / PRIMARILY / MOST LIKELY / EXCEPT — 呢啲字完全改變答案方向

06

Policy Review
政策需要定期檢視，最少每年一次，唔係一次寫完就算

📗

Domain 1：Information Security Governance

資訊安全管治

17% 佔分｜約 25 題

考你點樣建立同維護一套完整的資訊安全管治架構，確保安全策略同組織業務目標對齊，並符合法規要求。

🏛️ 兩大子範疇

A. Enterprise Governance

• Organizational Culture
• Legal, Regulatory & Contractual Requirements
• Organizational Structures, Roles & Responsibilities

B. Information Security Strategy

• Information Security Strategy Development
• Information Governance Frameworks & Standards
• Strategic Planning（預算、資源、Business Case）

🔑 重要術語

術語	全寫	解釋
ERM	Enterprise Risk Management	企業整體風險管理框架
COBIT	Control Objectives for Information and Related Technologies	IT 管治框架，最常考
CMM	Capability Maturity Model	衡量組織流程成熟度
SOX	Sarbanes-Oxley Act	美國財務資料保護法規
KGI	Key Goal Indicator	目標達成指標
KPI	Key Performance Indicator	績效表現指標
KRI	Key Risk Indicator	風險水平指標
ISO 27001	—	國際資訊安全管理標準
NIST CSF	NIST Cybersecurity Framework	美國國家網絡安全框架

🔥

Domain 1 Hot Topics

安全策略必須與 Business Objectives 對齊，呢個係最常考概念
Senior Management Commitment 係資安計劃成功最關鍵因素
Security Policy 需定期 Review（至少每年一次），唔係一次寫完就算
建立 Business Case 係爭取資源的必要工具，要清楚表達 ROI 同風險影響
IT Governance 要配合 Corporate Governance，唔係獨立運作
衡量安全成效要用 KGI / KPI / KRI，唔係只靠主觀判斷

✅

常見考題方向

問「安全策略第一步係咩」→ 答案通常係了解業務目標 / Business Objectives
問「安全計劃失敗最常見原因」→ 答案通常係缺乏高層支持
問「最重要的安全文件係咩」→ 答案通常係 Security Policy

📘

Domain 2：Information Security Risk Management

資訊安全風險管理

20% 佔分｜約 30 題

考你識唔識識別、評估同回應風險。重點係理解 Risk Appetite（風險承受能力），並選擇合適的 Risk Treatment。

🏛️ 兩大子範疇

A. Risk Assessment（風險評估）

• Emerging Risk & Threat Landscape
• Vulnerability & Control Deficiency Analysis
• Risk Assessment & Analysis

B. Risk Response（風險回應）

• Risk Treatment / Risk Response Options
• Risk & Control Ownership
• Risk Monitoring & Reporting

🔑 重要術語

術語	全寫	解釋
RTO	Recovery Time Objective	業務恢復時間目標（最長可接受停機時間）
RPO	Recovery Point Objective	資料恢復時間點目標（最多可接受資料損失）
AIW	Acceptable Interruption Window	可接受中斷時限
SLA	Service Level Agreement	服務水平協議
TCO	Total Cost of Ownership	擁有總成本
BIA	Business Impact Analysis	業務影響分析，係 BCP/DRP 的基礎
ALE	Annualized Loss Expectancy	年化損失預期值
SLE	Single Loss Expectancy	單次損失預期值
ARO	Annualized Rate of Occurrence	年化發生率

📐 重要公式

ALE = SLE × ARO

SLE = Asset Value × Exposure Factor

Risk = Threat × Vulnerability × Impact

🎯 四大 Risk Treatment（必考！）

✅ Acceptance（接受）

風險在可接受範圍內，唔採取額外行動

例：低風險系統不作額外防護

🛡️ Mitigation（減輕）

實施控制措施降低風險至可接受水平

例：安裝防火牆、加密數據

🔄 Transfer（轉移）

將風險轉嫁給第三方承擔

例：購買網絡保險、外包服務

🚫 Avoidance（迴避）

停止該項業務活動以完全消除風險

例：停止使用某高危系統

🔥

Domain 2 Hot Topics

風險評估係持續性流程，唔係一次性活動
Third-Party / Supply Chain Risk 係近年熱門考點
Risk Appetite vs Risk Tolerance：Appetite 係整體取向，Tolerance 係具體上限
Quantitative（用數字 ALE）vs Qualitative（用高中低描述）Risk Assessment
Control Types：Preventive / Detective / Corrective / Deterrent / Compensating
Risk Owner 係業務部門，唔係 IT 部門！

✅

常見考題方向

問「風險太高點辦」→ 先考慮 Mitigate，唔夠先考慮 Transfer
問「風險評估第一步」→ 答案係識別資產（Asset Identification）
問「邊個負責風險」→ Risk Owner 係業務部門，唔係 IT 部門

📙

Domain 3：Information Security Program

資訊安全計劃開發與管理 🔥 最重要 Domain！

33% 佔分｜約 50 題｜最重！

考你點樣設計、執行同管理一個完整的 Information Security Program，包括整合唔同部門、制定政策、培訓員工、管理供應商，以及持續衡量成效。

🏛️ 兩大子範疇

A. Program Development（計劃開發）

• Program Resources（人、工具、技術）
• Asset Identification & Classification
• Industry Standards & Frameworks
• Policies, Procedures & Guidelines
• Program Metrics（績效指標）

B. Program Management（計劃管理）

• Control Design & Selection
• Control Integration & Implementation
• Control Testing & Evaluation
• Security Awareness & Training
• Management of External Services
• Program Communications & Reporting

🔑 重要術語

術語	全寫	解釋
SDLC	System Development Life Cycle	系統開發生命週期，需嵌入安全要求
PKI	Public Key Infrastructure	公鑰基礎設施，用於加密認證
SIEM	Security Information and Event Management	安全事件管理系統
DLP	Data Loss Prevention	資料外洩防護
MDM	Mobile Device Management	流動裝置管理
ISO 27001	—	資訊安全管理系統國際標準
NIST SP 800	—	美國國家標準安全指引系列

📁 資產分類四級（必記！）

級別	例子	保護程度
Public（公開）	公司網站、宣傳資料	最低
Internal（內部）	內部通告、員工手冊	一般
Confidential（機密）	客戶資料、財務報告	高
Restricted（高度機密）	密碼、加密金鑰、核心源碼	最高

🛡️ Security Controls 三大類型（必記！）

Technical Controls

防火牆、加密、MFA、IDS/IPS、SIEM

Administrative Controls

政策、程序、培訓、背景調查

Physical Controls

門禁、CCTV、保安人員、保險箱

🔥

Domain 3 Hot Topics

Security Awareness Training 係最具成本效益的控制措施，非常常考
Third-Party Risk Management：供應商合約必須包含安全要求
Security by Design：安全要從 SDLC 最初期嵌入，唔係事後補救
Metrics & KPIs 係向管理層證明安全投資價值的工具
Data Classification 係設計控制措施的基礎，唔分類就無法保護
Cloud Security 整合：共同責任模型（Shared Responsibility Model）

✅

常見考題方向

問「Program 最重要目標」→ 配合業務目標，保護資訊資產
問「點解安全意識培訓重要」→ 人係最大安全漏洞（Human is the weakest link）
問「評估第三方安全第一步」→ 進行風險評估 / Due Diligence

📕

Domain 4：Incident Management

資訊安全事故管理

30% 佔分｜約 45 題

考你對事故的準備、應對、調查同事後改善能力。要識區分 Event vs Incident，並懂得整合 IRP、BCP、DRP 三大計劃。

🏛️ 兩大子範疇

A. Incident Management Readiness（準備）

• Incident Response Plan (IRP)
• Business Impact Analysis (BIA)
• Business Continuity Plan (BCP)
• Disaster Recovery Plan (DRP)
• Incident Categorization / Classification
• Testing, Evaluation & Training

B. Incident Management Operations（運作）

• Incident Management Techniques & Tools
• Incident Investigation & Evaluation
• Incident Containment Methods
• Incident Response Communications
• Incident Recovery & Eradication
• Post-Incident Review Practices

🔑 重要術語

術語	全寫	解釋
IRP	Incident Response Plan	事故應對計劃
BCP	Business Continuity Plan	業務持續計劃（業務層面）
DRP	Disaster Recovery Plan	災難復原計劃（IT 系統層面）
BIA	Business Impact Analysis	業務影響分析，係三大計劃的共同基礎
RTO	Recovery Time Objective	最長可接受停機時間
RPO	Recovery Point Objective	最多可接受資料損失時間點
APT	Advanced Persistent Threat	高階持續性威脅
IMT	Incident Management Team	事故管理團隊
CSIRT	Computer Security Incident Response Team	電腦安全事故應對團隊

🚨 事故應對六大步驟（必記！）

1

Preparation

建立 IRP
培訓團隊

2

Identification

確認係咪
真正 Incident

3

Containment

阻止擴散
限制損害

4

Eradication

移除惡意程式
消除根本原因

5

Recovery

恢復系統
正常運作

6

Lessons Learned

事後檢討
改善流程

📋 三大計劃分別（必考！）

🚨 IRP — 事故應對計劃

重點：針對安全事故的即時回應

目標：快速識別、遏制、恢復

層面：安全事故即時處理

🏢 BCP — 業務持續計劃

重點：確保業務在災難中持續運作

目標：維持關鍵業務功能

層面：業務運作層面

💻 DRP — 災難復原計劃

重點：恢復 IT 系統及數據

目標：最小化停機時間及資料損失

層面：IT 系統層面（係 BCP 的一部分）

💡

BIA 係三個計劃的共同基礎！ 做任何計劃都要先做 BIA，唔做 BIA 就唔知邊個系統最重要、RTO/RPO 應該設幾耐。

🔥

Domain 4 Hot Topics

Ransomware 係高速威脅，需要即時反應，唔可以慢慢評估
Post-Incident Review 係改善安全的最重要步驟，一定要做
BIA 必須在 BCP/DRP 之前完成，唔做 BIA 就唔知邊個系統最重要
Communication Plan：事故期間對內對外溝通都要預先計劃好
Testing the IRP：計劃需定期測試（Tabletop Exercise / Full Simulation）

✅

常見考題方向

問「事故應對第一步係咩」→ Containment（遏制），阻止擴散先
問「BCP 最重要基礎係咩」→ BIA（業務影響分析）
問「事後最重要做咩」→ Post-Incident Review / Lessons Learned
問「RTO 同 RPO 邊個更重要」→ 視乎業務需求，RTO 係停機時間，RPO 係資料損失

🗝️

超級重要概念總結

考前必讀！

📚 必背框架對照表

框架 / 標準	主要用途
ISO 27001	資訊安全管理系統（ISMS）國際標準
NIST CSF	網絡安全框架，五大功能：Identify / Protect / Detect / Respond / Recover
COBIT	IT 管治框架，連接 IT 目標與業務目標
ITIL	IT 服務管理最佳實踐
PCI DSS	支付卡行業資料安全標準
GDPR	歐盟個人資料保護法規

⚡ 常見易混淆概念

概念	分別
Policy vs Procedure vs Guideline	Policy = What（做咩）｜ Procedure = How（點做）｜ Guideline = 建議性（可跟可唔跟）
Threat vs Vulnerability vs Risk	Threat = 潛在威脅｜ Vulnerability = 漏洞｜ Risk = Threat × Vulnerability × Impact
BCP vs DRP	BCP = 業務層面持續運作｜ DRP = IT 系統恢復｜ DRP 係 BCP 的一部分
Risk Appetite vs Risk Tolerance	Appetite = 整體風險取向｜ Tolerance = 具體可接受上限
RTO vs RPO	RTO = 最長可接受停機時間｜ RPO = 最多可接受資料損失量

🏆 CISM 考試十大必勝心法

1

永遠用管理者／CISO 角度思考 唔係工程師角度，所有答案從管治、業務影響出發

2

Business Alignment 永遠係第一優先 安全措施要配合業務目標，唔係越安全越好

3

遇到問題先 Assess，後 Act 唔係即刻修補，係先做風險評估再決定行動

4

Senior Management Support 係關鍵 幾乎所有答案都需要高層參與或承諾

5

所有 Policy 需定期 Review 最少每年一次，唔係一次寫完就算

6

人（Human）係最大安全威脅 培訓永遠係最具成本效益的控制措施

7

第三方風險唔可以忽視 外包唔代表風險轉移，責任仍在自己組織

8

BIA 優先 所有 BCP / DRP 計劃都以 BIA 為基礎，先 BIA 後一切

9

Post-Incident Review 係改善安全文化最重要步驟 事後一定要做，唔係復原完就算

10

注意題目關鍵字：BEST / FIRST / MOST 呢啲字完全決定答案方向，睇題目一定要留意

📚 CISM 完整溫書 Notes