Die vier Säulen des CISM.

Über 107.000 Menschen haben seit 2002 die CISM-Zertifizierung erworben – Certified Information Security Manager, eine der weltweit anerkanntesten Qualifikationen für IT-Sicherheitsmanagement. Anders als der CISA, der sich an Revisoren richtet, zielt der CISM auf diejenigen, die Informationssicherheit nicht nur prüfen, sondern führen.

Die Prüfung gliedert sich in vier Domänen. Wer sich zum ersten Mal mit dem Stoff beschäftigt, sieht oft nur eine Liste von Themen. Tatsächlich beschreiben die vier Domänen eine Logik – eine Reihenfolge, in der ein Sicherheitsprogramm tatsächlich entsteht und betrieben wird.

Governance: das kleinste Gewicht, das größte Fundament

Mit 17 Prozent ist Governance die am geringsten gewichtete Domäne der Prüfung – und gleichzeitig diejenige, auf der alle anderen drei aufbauen. Governance beantwortet eine einzige Frage: Wer entscheidet was, und wonach richten sich diese Entscheidungen?

Konkret geht es darum, eine Sicherheitsstrategie zu entwickeln, die zu den Unternehmenszielen passt, ein Governance-Rahmenwerk zu etablieren und es in die übergeordnete Unternehmenssteuerung zu integrieren. Ohne diese Grundlage hängen Risikobewertung, Programmaufbau und Vorfallreaktion in der Luft – sie haben keinen Maßstab, an dem sie sich orientieren.

Das ist der Grund, warum erfahrene Prüfungstrainer Governance trotz des geringen Prozentanteils nie überspringen lassen: Wer die Logik der Governance-Domäne nicht verinnerlicht hat, beantwortet die Fragen der anderen drei Domänen oft technisch richtig – aber aus der falschen Perspektive.

Risk Management: Risiken sichtbar machen, bevor sie eintreten

Mit 20 Prozent der Prüfung befasst sich diese Domäne mit der Identifikation, Analyse und Bewertung von Risiken, Bedrohungen und Schwachstellen. Es geht darum, die Risikolandschaft zu verstehen, Kontrolllücken zu erkennen und daraus angemessene Reaktionen abzuleiten – von der Akzeptanz über die Minderung bis zum Transfer eines Risikos.

Der Unterschied zur Governance-Domäne: Governance legt fest, welches Risikoniveau ein Unternehmen akzeptiert. Risk Management liefert die Methodik, um zu messen, wo ein Unternehmen tatsächlich steht – und wie groß die Lücke zum akzeptierten Niveau ist.

Program Development: die größte Domäne

Mit 33 Prozent ist dies die umfangreichste Domäne – und inhaltlich die Brücke zwischen Strategie und Betrieb. Hier geht es um Konzeption, Aufbau und Steuerung eines Informationssicherheitsprogramms, das die in der Governance-Domäne festgelegte Strategie tatsächlich umsetzt.

Ein Sicherheitsprogramm in diesem Sinne ist mehr als eine Sammlung von Tools. Es umfasst Richtlinien, Standards, Prozesse, Ressourcenplanung und die Frage, wie all das mit dem laufenden Geschäftsbetrieb verzahnt wird – ohne ihn zu blockieren.

Incident Management: wenn der Ernstfall eintritt

Mit 30 Prozent fast gleich gewichtet wie Domäne 3 behandelt diese Domäne die Vorbereitung auf Sicherheitsvorfälle, deren Erkennung, Eindämmung, Behebung und Nachbereitung – einschließlich Wiederherstellungsplänen und der Frage, wie ein Unternehmen aus einem Vorfall lernt.

Auffällig: Domänen 3 und 4 zusammen machen 63 Prozent der Prüfung aus. Das spiegelt eine Verschiebung wider, die ISACA mit der Aktualisierung 2022 vorgenommen hat – weg von reiner Theorie, hin zu der Frage, wie ein Sicherheitsprogramm im Alltag tatsächlich funktioniert und im Ernstfall reagiert.

Warum die Reihenfolge zählt

Die vier Domänen sind kein Themenkatalog, sondern ein Kreislauf. Governance setzt den Rahmen. Risk Management zeigt, wo dieser Rahmen unter Druck gerät. Program Development setzt die daraus abgeleiteten Maßnahmen um. Incident Management testet, ob all das im Ernstfall trägt – und liefert die Erkenntnisse, mit denen die Governance-Strategie wieder angepasst wird.

Wer diese Logik verstanden hat, hat mehr als die Hälfte der CISM-Prüfung bereits verstanden – unabhängig davon, wie viele Detailfragen noch zu lernen sind.