Beide Zertifizierungen kommen von ISACA, beide gelten als Türöffner in der IT-Sicherheit, und beide werden regelmäßig verwechselt. Wer sich für einen der beiden Wege entscheidet, sollte aber wissen: CISA und CISM richten sich an unterschiedliche Rollen, nicht an unterschiedliche Erfahrungsstufen derselben Rolle.

Zielgruppe: Prüfer oder Steuerer

CISA, der Certified Information Systems Auditor, richtet sich an Menschen, die IT-Systeme und -Prozesse prüfen, bewerten und dokumentieren. Klassische Rollen sind IT-Auditor, interne Revision, Wirtschaftsprüfer mit IT-Schwerpunkt oder Compliance-Analyst. Der Blick ist der des Kontrolleurs: Funktioniert ein Kontrollsystem, ist es wirksam, lässt es sich belegen?

CISM, der Certified Information Security Manager, richtet sich dagegen an Menschen, die Informationssicherheit als Programm steuern, nicht prüfen. Klassische Rollen sind Security Manager, Head of Information Security oder angehende CISOs. Der Blick ist der des Verantwortlichen: Wie wird Risiko unternehmensweit gesteuert, wie wird ein Sicherheitsprogramm aufgebaut und finanziert, wie wird im Ernstfall reagiert?

CISA CISM ZIELGRUPPE IT-Auditor, Revision Security Manager, CISO FOKUS Prüfung, Kontrolle, Nachweis Steuerung, Risiko, Programm DOMÄNEN 5 Domänen 4 Domänen PRÜFUNG 150 Fragen, 4 Stunden 150 Fragen, 4 Stunden TYPISCHE ROLLE DANACH Compliance Manager, Auditor CISO, Head of InfoSec

ABB. 1 · CISA UND CISM IM DIREKTEN VERGLEICH

Prüfungsformat: ähnlich strukturiert, andere Inhalte

Formal sind sich beide Prüfungen ähnlich: 150 Multiple-Choice-Fragen, 4 Stunden Zeit, computerbasiert an lizenzierten Testzentren. Der Unterschied liegt im Inhalt. CISA prüft fünf Domänen rund um den Auditprozess, IT-Governance, Systementwicklung, Betrieb und den Schutz von Informationswerten. CISM prüft vier Domänen: Sicherheits-Governance, Risikomanagement, Aufbau eines Sicherheitsprogramms und Incident Management.

Für die Zertifizierung selbst reicht das Bestehen der Prüfung nicht aus. Beide verlangen zusätzlich einen Erfahrungsnachweis: CISA fünf Jahre einschlägige Berufserfahrung in IS-Audit, -Kontrolle oder -Sicherheit, CISM fünf Jahre Erfahrung im Informationssicherheitsmanagement, davon mindestens drei Jahre in mindestens drei der vier CISM-Domänen.

Stellenwert: unterschiedliche Türen, nicht unterschiedliche Etagen

Ein verbreitetes Missverständnis ist, CISM sei die „höherwertige" Fortsetzung von CISA. Tatsächlich handelt es sich um zwei parallele Laufbahnen, keine Stufenfolge. Wer in die interne Revision, in die Wirtschaftsprüfung oder in eine spezialisierte Auditfunktion will, profitiert von CISA. Wer perspektivisch ein Sicherheitsprogramm verantworten oder CISO werden will, profitiert von CISM. Manche erfahrene Fachkräfte erwerben im Laufe ihrer Karriere beide, weil sich die Perspektiven ergänzen: Wer geprüft hat, versteht Kontrollen besser. Wer gesteuert hat, versteht, worauf Prüfer eigentlich hinauswollen.

Kurz gefasst

CISA passt zu Ihnen, wenn Sie gerne strukturiert prüfen, bewerten und dokumentieren. CISM passt zu Ihnen, wenn Sie lieber ein Programm verantworten, Budget und Priorität setzen und Risiken unternehmensweit steuern wollen.

Nach der Prüfung: Erhalt der Zertifizierung

Beide Zertifizierungen sind mit der bestandenen Prüfung nicht erledigt. ISACA verlangt für CISA wie für CISM jährlich mindestens 20 CPE-Stunden Weiterbildung, über einen Dreijahreszyklus insgesamt 120 Stunden, dazu eine jährliche Erhaltungsgebühr. Wer beide Zertifizierungen führt, muss die CPE-Nachweise für beide getrennt dokumentieren, auch wenn sich einzelne Fortbildungen inhaltlich überschneiden.

Lohnt sich die Kombination beider Zertifizierungen?

Für viele Karrierewege reicht eine der beiden Zertifizierungen völlig aus. Die Kombination lohnt sich vor allem dort, wo Prüfung und Steuerung tatsächlich zusammentreffen: etwa in der Leitung einer internen Revision mit IT-Schwerpunkt, die selbst auch Sicherheitsprogramme mitgestaltet, oder in Beratungsrollen, die sowohl Audits durchführen als auch Kunden beim Aufbau von Sicherheitsprogrammen begleiten. Inhaltlich überschneiden sich beide Zertifizierungen am ehesten im Bereich Governance: Wer die CISA-Domäne zur IT-Governance verstanden hat, hat für die CISM-Domäne zur Sicherheits-Governance bereits eine solide Grundlage.

Wer beide parallel vorbereiten möchte, sollte trotzdem nacheinander lernen und nacheinander prüfen. Beide Prüfungen verlangen unterschiedliche Denkweisen, Prüfungsperspektive gegen Steuerungsperspektive, und diese Umstellung gelingt leichter, wenn nicht beide Stoffgebiete gleichzeitig neu sind.

Vorbereitung auf beide Wege

Für CISM ist das Brain-Media-Vorbereitungsbuch bereits verfügbar, inklusive Online-Plattform mit über 800 Prüfungsfragen, 100 davon kostenlos testbar. Für CISA erscheint das entsprechende Vorbereitungsbuch in der kommenden Woche, mit demselben Aufbau: kompakte Domänen-Zusammenfassungen, Praxisbeispiele und eine Online-Plattform mit Übungsfragen im Prüfungsformat.