Wat is CISM?
CISM staat voor Certified Information Security Manager en is een certificering van ISACA, dezelfde internationale beroepsorganisatie die ook achter de bekende CISA-certificering zit. Waar veel securitycertificeringen zich richten op de techniek, draait CISM juist om het managen, opzetten en aansturen van informatiebeveiliging binnen een organisatie. Het is een certificering voor de professional die de brug slaat tussen techniek, risico en bedrijfsdoelstellingen.
De certificering is daarmee uitgesproken management- en governancegericht. Een gecertificeerde CISM-professional begrijpt hoe je een informatiebeveiligingsstrategie afstemt op de doelen van de organisatie, hoe je risico's beheert en hoe je een beveiligingsprogramma opzet en draaiende houdt. Dat maakt CISM bijzonder relevant voor (aankomende) Information Security Managers en CISO's.
CISM vs. CISA vs. CISSP: wat is het verschil?
Dit is veruit de meest gestelde vraag van professionals die zich willen specialiseren. De drie certificeringen worden vaak in één adem genoemd, maar ze dienen elk een ander doel en passen bij een andere rol.
| Certificering | Aanbieder | Focus | Typische rol |
|---|---|---|---|
| CISM | ISACA | Management van informatiebeveiliging | Security Manager, CISO |
| CISA | ISACA | Auditen en beoordelen van IT | IT-auditor |
| CISSP | ISC2 | Brede technische security-kennis | Security-engineer, architect |
Kort gezegd: CISM is voor wie security stuurt, CISA voor wie het toetst en CISSP voor wie het technisch ontwerpt. Heb je een audit-achtergrond, dan is de CISA-certificering vaak de logischere eerste stap. Wil je juist doorgroeien naar een leidende securityrol, dan is CISM het meest passend. Veel ervaren professionals combineren uiteindelijk meerdere certificeringen, omdat een CISA- of CISSP-achtergrond bovendien een vrijstelling op de CISM-ervaringseis oplevert.
De vier CISM-domeinen
Het CISM-examen en de bijbehorende kennis zijn opgebouwd rond vier kerndomeinen. Samen vormen ze de complete cyclus van het managen van informatiebeveiliging, van strategie tot het afhandelen van incidenten.
| Domein | Waar het over gaat |
|---|---|
| 1. Information Security Governance | Het opzetten van een beveiligingsstrategie die aansluit op de organisatiedoelen, met de juiste rollen en verantwoordelijkheden. |
| 2. Information Security Risk Management | Het identificeren, beoordelen en behandelen van informatierisico's binnen de bedrijfscontext. |
| 3. Information Security Program | Het ontwikkelen, implementeren en beheren van een effectief beveiligingsprogramma. |
| 4. Incident Management | Het voorbereiden op, detecteren van en reageren op beveiligingsincidenten. |
De domeinen rond het securityprogramma en incident management wegen traditioneel het zwaarst mee in het examen, omdat dit de praktijk van de dagelijkse aansturing weerspiegelt. ISACA herziet de exameninhoud periodiek; de eerstvolgende update van de CISM Exam Content Outline staat gepland voor 3 november 2026. Wie zich daarna laat examineren, doet er goed aan met de meest actuele studiematerialen te werken.
Examen en eisen
Het CISM-examen bestaat uit 150 meerkeuzevragen die je binnen vier uur beantwoordt. Je legt het examen af via computer-based testing, online met remote proctoring of op een erkende testlocatie. Slagen alleen is echter niet voldoende voor de titel: om je daadwerkelijk te mogen certificeren, geldt een ervaringseis.
- Werkervaring: minimaal vijf jaar werkervaring in informatiebeveiligingsmanagement, waarvan een deel binnen ten minste drie van de vier domeinen.
- Vrijstellingen: met een relevante certificering (zoals CISA of CISSP) of een relevante hbo- of universitaire opleiding kun je een vrijstelling van maximaal twee jaar krijgen, waardoor drie jaar volstaat.
- Volgorde: je mag het examen al afleggen voordat je aan de volledige ervaringseis voldoet. De ervaring moet binnen tien jaar vóór of vijf jaar ná het examen zijn opgedaan.
- Onderhoud: de certificering houd je geldig via doorlopende permanente educatie (CPE-punten) en een jaarlijkse bijdrage.
Wat kost de CISM-certificering?
De kosten bestaan uit het examengeld, een eenmalige aanmeldfee en optioneel een training. Onderstaande bedragen zijn indicatief voor 2026.
| Onderdeel | Indicatieve kosten |
|---|---|
| Examen (ISACA-lid) | $ 575 |
| Examen (niet-lid) | $ 760 |
| Aanmeldkosten certificering | $ 50 (eenmalig) |
| ISACA-lidmaatschap | ± $ 145 per jaar (excl. chapter) |
| Meerdaagse training (NL) | € 3.000 - € 3.500 (excl. btw) |
Een ISACA-lidmaatschap verdient zichzelf vaak terug: leden betalen minder examengeld en krijgen korting op studiemateriaal en trainingen. Een klassikale of online voorbereidingscursus is niet verplicht, maar veel kandidaten kiezen er wel voor vanwege het examenniveau. Werkgevers vergoeden de opleiding bovendien regelmatig als onderdeel van een ontwikkeltraject.
CISM, ISO 27001 en compliance
CISM-kennis sluit naadloos aan op de eisen van moderne wet- en regelgeving en beveiligingsnormen. De governance- en risicodomeinen lopen sterk parallel met de denkwijze achter ISO 27001 en het opzetten van een ISMS. Voor organisaties die moeten voldoen aan kaders als NIS2 of DORA is een securitymanager met CISM een waardevolle aanwinst, omdat de certificering precies de stuurprocessen behandelt die deze regelgeving vereist. Professionals die governance, risk en compliance willen combineren, oriënteren zich vaak ook op de rol van GRC Manager.
Salaris en carrièreperspectief
CISM behoort wereldwijd tot de best betaalde IT-certificeringen, en ook op de Nederlandse arbeidsmarkt wordt de kwalificatie goed beloond. De certificering wordt vaak expliciet gevraagd in vacatures voor management- en leidinggevende securityrollen. De onderstaande bedragen geven een realistisch beeld van het bruto jaarsalaris in 2026; de exacte beloning hangt af van ervaring, sector en regio.
| Rol | Indicatief bruto jaarsalaris |
|---|---|
| Information Security Officer | € 60.000 - € 85.000 |
| IT Risk Manager | € 70.000 - € 100.000 |
| Information Security Manager | € 80.000 - € 115.000 |
| CISO | € 110.000 - € 160.000+ |
Sectoren als finance, energie en overheid betalen gemiddeld beter vanwege strengere compliance-eisen en hogere risico's. Een logisch carrièrepad loopt van Security Officer, via Information Security Manager, naar een CISO-functie, waar CISM vrijwel altijd als pré of eis geldt. Wie zich breder op security leadership wil oriënteren, vindt in onze gids over CISO-certificering een overzicht van aanvullende kwalificaties.
Is CISM iets voor jou?
CISM is bij uitstek geschikt voor professionals die de overstap maken (of willen maken) van een technische of operationele securityrol naar een functie waarin sturing, strategie en risicobeheersing centraal staan. Heb je al enkele jaren ervaring met informatiebeveiliging en wil je je positioneren als IT Security Officer of manager? Dan is CISM een logische en waardevolle volgende stap.
Een veelgemaakte fout is het halen van een certificering zonder voldoende praktijkervaring. CISM is juist ontworpen voor ervaren professionals: de grootste waarde ontstaat wanneer je het examenmateriaal kunt koppelen aan situaties die je zelf hebt meegemaakt. Combineer je voorbereiding daarom met betrokkenheid bij beleid, risicoanalyses en incidentafhandeling binnen je eigen organisatie. Zo verandert de certificering van een papieren bewijs in een echte versterking van je profiel op de arbeidsmarkt.
Op zoek naar een baan in IT Compliance?
Bekijk onze vacatures en vind de perfecte match voor jouw carrière.
Bekijk vacaturesKlaar voor een securitymanagementrol?
Professionals met een CISM-certificering zijn zeer gevraagd bij organisaties die hun informatiebeveiliging professioneel willen aansturen. Bekijk actuele vacatures voor Security Managers en Information Security Officers in Nederland.
Bekijk Security Manager vacatures