3968ebook download CISM Certified Information Security Manager All-in-One Exam Guide, 2nd Edition Peter H. Gregory - eBook PDF all chapter

CISM Certified Information Security
Manager All-in-One Exam Guide, 2nd

Edition Peter H. Gregory - eBook PDF
Go to download the full and correct content document:
https://ebooksecure.com/download/cism-certified-information-security-manager-all-in-
one-exam-guide-2nd-edition-ebook-pdf/
More products digital (pdf, epub, mobi) instant
download maybe you interests ...
CISM Certified Information Security Manager All-in-One

Exam Guide 1st Edition - eBook PDF
https://ebooksecure.com/download/cism-all-in-one-ebook-pdf/
Ccsp Certified Cloud Security Professional All-In-One

Exam Guide - eBook PDF
https://ebooksecure.com/download/ccsp-certified-cloud-security-
professional-all-in-one-exam-guide-ebook-pdf-2/
CCSP Certified Cloud Security Professional All-in-One

Exam Guide 3rd Edition Daniel Carter - eBook PDF
https://ebooksecure.com/download/ccsp-certified-cloud-security-
professional-all-in-one-exam-guide-ebook-pdf/
CC Certified in Cybersecurity All-in-One Exam Guide 1st

Edition - eBook PDF
https://ebooksecure.com/download/cc-certified-in-cybersecurity-
all-in-one-exam-guide-ebook-pdf/
CEH Certified Ethical Hacker All-in-One Exam Guide 4th
Edition (eBook PDF)
http://ebooksecure.com/product/ceh-certified-ethical-hacker-all-
in-one-exam-guide-4th-edition-ebook-pdf/
Google Cloud Certified Associate Cloud Engineer All-in-

One Exam Guide 1st edition - eBook PDF
https://ebooksecure.com/download/google-cloud-certified-
associate-cloud-engineer-all-in-one-exam-guide-ebook-pdf/
CDPSE Certified Data Privacy Solutions Engineer All-in-

One Exam Guide 1st Edition - eBook PDF
https://ebooksecure.com/download/cdpse-certified-data-privacy-
solutions-engineer-all-in-one-exam-guide-ebook-pdf/
CompTIA Security+ All-in-One Exam Guide (Exam SY0-501)

5th Edition Wm. Arthur Conklin - eBook PDF
https://ebooksecure.com/download/comptia-security-all-in-one-
exam-guide-exam-sy0-501-ebook-pdf/
GPEN GIAC Certified Penetration Tester All-in-One Exam

Guide 1st Edition Raymond Nutting - eBook PDF
https://ebooksecure.com/download/gpen-giac-certified-penetration-
tester-all-in-one-exam-guide-ebook-pdf/
ALL IN ONE
CISM
®
Certified Information
Security Manager
EXAM GUIDE
Second Edition
This page intentionally left blank
ALL IN ONE
CISM
®
Certified Information
Security Manager
EXAM GUIDE
Second Edition
Peter H. Gregory
New York Chicago San Francisco

Athens London Madrid Mexico City
Milan New Delhi Singapore Sydney Toronto
McGraw Hill is an independent entity rom ISACA® and is not afliated with ISACA in any manner. Tis study/training guide and/or material
is not sponsored by, endorsed by, or afliated with ISACA in any manner. Tis publication and accompanying media may be used in assisting
students to prepare or Te CISM exam. Neither ISACA nor McGraw Hill warrants that use o this publication and accompanying media will
ensure passing any exam.
Copyright © 2023 by McGraw Hill. All rights reserved. Except as permitted under the United States Copyright Act of 1976, no
part of this publication may be reproduced or distributed in any form or by any means, or stored in a database or retrieval system,
without the prior written permission of the publisher, with the exception that the program listings may be entered, stored, and
executed in a computer system, but they may not be reproduced for publication.
ISBN: 978-1-26-426832-0
MHID: 1-26-426832-7
The material in this eBook also appears in the print version of this title: ISBN: 978-1-26-426831-3,
MHID: 1-26-426831-9.
eBook conversion by codeMantra

Version 1.0
All trademarks are trademarks of their respective owners. Rather than put a trademark symbol after every occurrence of a trade-
marked name, we use names in an editorial fashion only, and to the benet of the trademark owner, with no intention of infringe-
ment of the trademark. Where such designations appear in this book, they have been printed with initial caps.
McGraw Hill eBooks are available at special quantity discounts to use as premiums and sales promotions or for use in corporate
training programs. To contact a representative, please visit the Contact Us page at www.mhprofessional.com.
Information has been obtained by McGraw Hill from sources believed to be reliable. However, because of the possibility of hu-
man or mechanical error by our sources, McGraw Hill, or others, McGraw Hill does not guarantee the accuracy, adequacy, or
completeness of any information and is not responsible for any errors or omissions or the results obtained from the use of such
information.
TERMS OF USE
This is a copyrighted work and McGraw-Hill Education and its licensors reserve all rights in and to the work. Use of this work
is subject to these terms. Except as permitted under the Copyright Act of 1976 and the right to store and retrieve one copy of the
work, you may not decompile, disassemble, reverse engineer, reproduce, modify, create derivative works based upon, transmit,
distribute, disseminate, sell, publish or sublicense the work or any part of it without McGraw-Hill Education’s prior consent. You
may use the work for your own noncommercial and personal use; any other use of the work is strictly prohibited. Your right to
use the work may be terminated if you fail to comply with these terms.
THE WORK IS PROVIDED “AS IS.” McGRAW-HILL EDUCATION AND ITS LICENSORS MAKE NO GUARANTEES
OR WARRANTIES AS TO THE ACCURACY, ADEQUACY OR COMPLETENESS OF OR RESULTS TO BE OBTAINED
FROM USING THE WORK, INCLUDING ANY INFORMATION THAT CAN BE ACCESSED THROUGH THE WORK
VIA HYPERLINK OR OTHERWISE, AND EXPRESSLY DISCLAIM ANY WARRANTY, EXPRESS OR IMPLIED, IN-
CLUDING BUT NOT LIMITED TO IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICU-
LAR PURPOSE. McGraw-Hill Education and its licensors do not warrant or guarantee that the functions contained in the work
will meet your requirements or that its operation will be uninterrupted or error free. Neither McGraw-Hill Education nor its
licensors shall be liable to you or anyone else for any inaccuracy, error or omission, regardless of cause, in the work or for any
damages resulting therefrom. McGraw-Hill Education has no responsibility for the content of any information accessed through
the work. Under no circumstances shall McGraw-Hill Education and/or its licensors be liable for any indirect, incidental, special,
punitive, consequential or similar damages that result from the use of or inability to use the work, even if any of them has been
advised of the possibility of such damages. This limitation of liability shall apply to any claim or cause whatsoever whether such
claim or cause arises in contract, tort or otherwise.
o Rebekah, the love o my lie.
ABOUT THE AUTHOR
Peter H. Gregory, CISM, CISA, CRISC, CDPSE, CISSP, CIPM, DRCE, CCSK,
is a 30-year career technologist and a security leader in a regional telecommunications
company. He has been developing and managing inormation security management
programs since 2002 and has been leading the development and testing o secure I
environments since 1990. Peter has also spent many years as a sotware engineer and
architect, systems engineer, network engineer, and security engineer.
Peter is the author o more than 50 books about inormation security and technology,
including Solaris Security, CIPM Certified Information Privacy Manager All-in-One Exam
Guide, and CISA Certified Information Systems Auditor All-in-One Exam Guide. He has
spoken at numerous industry conerences, including RSA, Interop, (ISC)² Security
Congress, ISACA CACS, SecureWorld Expo, West Coast Security Forum, IP3, Source
Conerence, Society or Inormation Management, the Washington echnology Industry
Association, and InraGard. Interviews o Peter appear in SC Magazine, U.S. News &
World Report, CNET News, SearchSecurity, Information Security Magazine, CIO, The
Seattle Times, and Forbes.
Peter serves on advisory boards or cybersecurity education programs at the University
o Washington and the University o South Florida. He was the lead instructor or nine
years in the University o Washington certiicate program in applied cybersecurity, a
ormer board member o the Washington State chapter o InraGard, and a ounding
member o the Paciic CISO Forum. He is a 2008 graduate o the FBI Citizens’ Academy
and a member o the FBI Citizens’ Academy Alumni Association. Peter is an executive
member o the CyberEdBoard and the Forbes echnology Council.
Peter resides with his amily in Washington state and can be ound online at
www.peterhgregory.com.
About the Technical Editor

Jay Burke, CISSP, CISM, RBLP-, is a highly accomplished inormation security
proessional with more than 20 years o operational and executive experience across a
variety o industries.
Jay has worked with customers o dierent sizes and types to build, enhance, and
manage best-in-class cybersecurity programs. As an executive-level security proessional, he
has led detailed maturity assessments and acilitated executive workshops to assist CISOs
in maturing their cybersecurity programs. His practical experience includes engagements
addressing strategic consulting, project management, regulatory compliance (Sarbanes–
Oxley, PCI, NERC CIP, HIPAA, SOC 1 and SOC 2), and cybersecurity program devel-
opment leveraging ISO 27001/2, NIS 800-53, Cloud Security Alliance CCM, Shared
Assessments SIG, and Uniied Compliance Framework.
Jay currently serves as the strategic service manager or enable, helping customers
gain visibility o cyber risk by leveraging the enable Cyber Exposure platorm while also
providing the executive suite and board o directors with insight to ocus on the issues
that matter most and make better strategic decisions. Additionally, Jay is a partner at Sage
Advisory, LLC, which helps young proessionals ind their voice in the workplace and
supports the SMB market in the cybersecurity space.
Disclaimer
None o the inormation in this book relects the security posture or practices o any
current or ormer employer or client.
CONTENTS AT A GLANCE
Part I Inormation Security Governance

Chapter 1 Enterprise Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Chapter 2 Inormation Security Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Part II Inormation Security Risk Management

Chapter 3 Inormation Security Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Chapter 4 Inormation Security Risk Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Part III Inormation Security Risk Management

Chapter 5 Inormation Security Program Development . . . . . . . . . . . . . . . . . . . . . . 191
Chapter 6 Inormation Security Program Management . . . . . . . . . . . . . . . . . . . . . . 241
Part IV Incident Management

Chapter 7 Incident Management Readiness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Chapter 8 Incident Management Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Part V Appendix and Glossary

Appendix About the Online Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Glossary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
ix
CONTENTS
Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxi
Part I Inormation Security Governance

Chapter 1 Enterprise Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Introduction to Inormation Security Governance . . . . . . . . . . . . . 4
Reason or Security Governance . . . . . . . . . . . . . . . . . . . . . . 6
Security Governance Activities and Results . . . . . . . . . . . . . . 7
Business Alignment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Organizational Culture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Acceptable Use Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Legal, Regulatory, and Contractual Requirements . . . . . . . . . . . . . . 11
Organizational Structure, Roles, and Responsibilities . . . . . . . . . . . 12
Organizational Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Board o Directors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Executive Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Security Steering Committee . . . . . . . . . . . . . . . . . . . . . . . . . 19
Business Process and Business Asset Owners . . . . . . . . . . . . . 20
Custodial Responsibilities . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Chie Inormation Security Oicer . . . . . . . . . . . . . . . . . . . . 21
Chie Privacy Oicer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Chie Compliance Oicer . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Sotware Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Data Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Network Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Systems Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
I Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Governance, Risk, and Compliance . . . . . . . . . . . . . . . . . . . . 26
Business Resilience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Security Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Security Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Service Desk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Quality Assurance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Other Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
General Sta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Monitoring Responsibilities . . . . . . . . . . . . . . . . . . . . . . . . . . 29
xi
CISM Certified Information Security Manager All-in-One Exam Guide
xii
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Chapter 2 Inormation Security Strategy ................................ 37
Inormation Security Strategy Development . . . . . . . . . . . . . . . . . . 38
Strategy Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Strategy Participants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Strategy Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Strategy Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Strategy Constraints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Inormation Governance Frameworks and Standards . . . . . . . . . . . 72
Business Model or Inormation Security ............... 73
he Zachman Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
he Open Group Architecture Framework . . . . . . . . . . . . . . 83
ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
NIS Cybersecurity Framework . . . . . . . . . . . . . . . . . . . . . . 85
NIS Risk Management Framework . . . . . . . . . . . . . . . . . . . 87
Strategic Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Roadmap Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Developing a Business Case . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Part II Inormation Security Risk Management

Chapter 3 Inormation Security Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . 101
Emerging Risk and hreat Landscape . . . . . . . . . . . . . . . . . . . . . . . 102
he Importance o Risk Management . . . . . . . . . . . . . . . . . . 102
Outcomes o Risk Management . . . . . . . . . . . . . . . . . . . . . . 103
Risk Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Risk Management echnologies . . . . . . . . . . . . . . . . . . . . . . . 104
Implementing a Risk Management Program . . . . . . . . . . . . . 105
he Risk Management Lie Cycle . . . . . . . . . . . . . . . . . . . . . 115
Vulnerability and Control Deiciency Analysis . . . . . . . . . . . . . . . . 127
Risk Assessment and Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
hreat Identiication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Risk Identiication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Risk Likelihood and Impact . . . . . . . . . . . . . . . . . . . . . . . . . 137
Risk Analysis echniques and Considerations . . . . . . . . . . . . 139
Risk Management and Business Continuity Planning . . . . . . 145
he Risk Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Integration o Risk Management into Other Processes . . . . . . 150
Contents
xiii
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Chapter 4 Inormation Security Risk Response .......................... 165
Risk reatment / Risk Response Options . . . . . . . . . . . . . . . . . . . . . 166
Risk Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Risk ranser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Risk Avoidance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Risk Acceptance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Evaluating Risk Response Options . . . . . . . . . . . . . . . . . . . . 171
Costs and Beneits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Residual Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Iterative Risk reatment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Risk Appetite, Capacity, and olerance . . . . . . . . . . . . . . . . . 174
Legal and Regulatory Considerations . . . . . . . . . . . . . . . . . . . 175
he Risk Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Risk and Control Ownership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Risk Ownership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Control Ownership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Risk Monitoring and Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Key Risk Indicators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
raining and Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Risk Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Part III Inormation Security Risk Management

Chapter 5 Inormation Security Program Development . . . . . . . . . . . . . . . . . . 191
Inormation Security Program Resources . . . . . . . . . . . . . . . . . . . . . 192
rends . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Outcomes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Charter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Inormation Security Processes . . . . . . . . . . . . . . . . . . . . . . . 195
Inormation Security echnologies . . . . . . . . . . . . . . . . . . . . 196
Inormation Asset Identiication and Classiication . . . . . . . . . . . . . 199
Asset Identiication and Valuation . . . . . . . . . . . . . . . . . . . . . 199
Asset Classiication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Asset Valuation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
xiv
Industry Standards and Frameworks or Inormation Security . . . . . 210
Control Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Inormation Security Management Frameworks . . . . . . . . . . 218
Inormation Security Architecture . . . . . . . . . . . . . . . . . . . . . 218
Inormation Security Policies, Procedures, and Guidelines . . . . . . . 220
Policy Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Processes and Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Inormation Security Program Metrics . . . . . . . . . . . . . . . . . . . . . . 225
ypes o Metrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Audiences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
he Security Balanced Scorecard . . . . . . . . . . . . . . . . . . . . . . 232
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Chapter 6 Inormation Security Program Management . . . . . . . . . . . . . . . . . . 241
Inormation Security Control Design and Selection . . . . . . . . . . . . 242
Control Classiication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Control Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
General Computing Controls . . . . . . . . . . . . . . . . . . . . . . . . 246
Controls: Build Versus Buy . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Control Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Inormation Security Control Implementation and Integrations . . . 272
Controls Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Control Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Security and Control Operations . . . . . . . . . . . . . . . . . . . . . . 275
Inormation Security Control esting and Evaluation . . . . . . . . . . . 321
Control Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Control Reviews and Audits . . . . . . . . . . . . . . . . . . . . . . . . . 322
Inormation Security Awareness and raining . . . . . . . . . . . . . . . . . 339
Security Awareness raining Objectives . . . . . . . . . . . . . . . . . 339
Creating or Selecting Content
or Security Awareness raining . . . . . . . . . . . . . . . . . . . . 340
Security Awareness raining Audiences . . . . . . . . . . . . . . . . . 340
Awareness raining Communications . . . . . . . . . . . . . . . . . . 343
Management o External Services . . . . . . . . . . . . . . . . . . . . . . . . . . 344
Beneits o Outsourcing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Risks o Outsourcing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Identiying hird Parties . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Cloud Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
PRM Lie Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Contents
xv
Risk iering and Vendor Classiication . . . . . . . . . . . . . . . . . 354
Assessing hird Parties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Proactive Issue Remediation . . . . . . . . . . . . . . . . . . . . . . . . . 360
Responsive Issue Remediation . . . . . . . . . . . . . . . . . . . . . . . . 362
Security Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Inormation Security Program Communications and Reporting . . . 363
Security Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Internal Partnerships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
External Partnerships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Compliance Management . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Security Awareness raining . . . . . . . . . . . . . . . . . . . . . . . . . . 375
echnical Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Personnel Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Project and Program Management . . . . . . . . . . . . . . . . . . . . . 382
Budget . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
I Service Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Service Desk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Incident Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Problem Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Change Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Coniguration Management . . . . . . . . . . . . . . . . . . . . . . . . . 388
Release Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Service-Level Management . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Financial Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Capacity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Service Continuity Management . . . . . . . . . . . . . . . . . . . . . . 393
Availability Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Asset Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Continuous Improvement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
Part IV Incident Management

Chapter 7 Incident Management Readiness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Incident Response Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Security Incident Response Overview . . . . . . . . . . . . . . . . . . 408
Incident Response Plan Development . . . . . . . . . . . . . . . . . . 411
Business Impact Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Inventory o Key Processes and Systems . . . . . . . . . . . . . . . . . 417
Statements o Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
Criticality Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Determine Maximum olerable Downtime . . . . . . . . . . . . . . 422
xvi
Determine Maximum olerable Outage . . . . . . . . . . . . . . . . 422
Establish Key Recovery argets . . . . . . . . . . . . . . . . . . . . . . . 423
Business Continuity Plan (BCP) . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Business Continuity Planning . . . . . . . . . . . . . . . . . . . . . . . . 427
Disaster Recovery Plan (DRP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
Disaster Response eams’ Roles and Responsibilities . . . . . . . 456
Recovery Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Incident Classiication/Categorization . . . . . . . . . . . . . . . . . . . . . . . 473
Incident Management raining, esting, and Evaluation . . . . . . . . . 475
Security Incident Response raining . . . . . . . . . . . . . . . . . . . 475
Business Continuity and Disaster Response raining . . . . . . . 476
esting Security Incident Response Plans . . . . . . . . . . . . . . . . 477
esting Business Continuity and Disaster Recovery Plans . . . 478
Evaluating Business Continuity Planning . . . . . . . . . . . . . . . 484
Evaluating Disaster Recovery Planning . . . . . . . . . . . . . . . . . 488
Evaluating Security Incident Response . . . . . . . . . . . . . . . . . . 492
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Chapter 8 Incident Management Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Incident Management ools and echniques . . . . . . . . . . . . . . . . . . 502
Incident Response Roles and Responsibilities . . . . . . . . . . . . 502
Incident Response ools and echniques . . . . . . . . . . . . . . . . 503
Incident Investigation and Evaluation . . . . . . . . . . . . . . . . . . . . . . . 507
Incident Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Incident Initiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Incident Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Incident Containment Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
Incident Response Communications . . . . . . . . . . . . . . . . . . . . . . . . 515
Crisis Management and Communications . . . . . . . . . . . . . . . 515
Communications in the Incident Response Plan . . . . . . . . . . 516
Incident Response Metrics and Reporting . . . . . . . . . . . . . . . 517
Incident Eradication, and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . 519
Incident Eradication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
Incident Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
Incident Remediation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Post-incident Review Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Closure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Post-incident Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
Chapter Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Contents
xvii
Part V Appendix and Glossary
Appendix About the Online Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
System Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Your otal Seminars raining Hub Account . . . . . . . . . . . . . . . . . . 531
Privacy Notice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Single User License erms and Conditions . . . . . . . . . . . . . . . . . . . 531
otalester Online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
echnical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Glossary ..................................................... 535
Index ........................................................ 577
Figure Credits
Figure 2-1 Courtesy Xhienne: SWO pt.svg, CC BY-SA 2.5, https://
commons.wikimedia.org/w/index.php?curid=2838770.
Figure 2-2 Adapted rom the Business Model or Inormation Security,
ISACA.
Figure 2-3 Adapted rom the University o Southern Caliornia Marshall
School o Business Institute or Critical Inormation Inrastructure
Protection, USA.
Figure 2-5 Courtesy he Open Group.
Figure 2-7 Courtesy High Tech Security Solutions magazine.
Figure 3-1 Source: National Institute or Standards and echnology.
Figure 6-8 Courtesy Blueoxicy at en.wikipedia.org.
Figure 7-4 Source: NASA.
Figure 7-6 Courtesy Gustavo Basso.
Figure 7-7 Courtesy John Crowley at en.wikipedia.org.
ACKNOWLEDGMENTS
I am immensely grateul to Wendy Rinaldi or airming the need to have this book
published on a tighter than usual timeline. My readers, including current and uture
inormation security managers, deserve nothing less.
Heartelt thanks to Wendy Rinaldi and Caitlin Cromley-Linn or proiciently manag-
ing and coordinating this project, acilitating rapid turnaround, and equipping us with
the inormation and guidance we needed to produce the manuscript.
Many thanks to Patty Mon, Nitesh Sharma, and homas Somers or managing the
editorial and production ends o the project, and to Lisa heobald or copy editing the
book and urther improving readability. I appreciate KnowledgeWorks Global Ltd. or
expertly laying out the inal manuscript pages. Also, thanks to Rick Camp and Lisa
McCoy or expert prooreading and ed Laux or indexing. Like stage perormers, they
make hard work look easy, and I appreciate their skills.
I would like to thank my ormer consulting colleague, Jay Burke, who took on the
task o tech reviewing the entire manuscript. Jay careully and thoughtully scrutinized
the entire drat manuscript and made scores o valuable suggestions that have improved
the book’s quality and value or readers. hanks also to two BCDR colleagues: Charlein
Barni, or reviewing Chapter 7, and Michael Kenney, who conirmed some concepts.
Finally, thanks to Ben Everett, a reader who inormed me o a couple o typos or ambi-
guities in the irst edition.
Many thanks to my literary agent, Carole Jelen, or her diligent assistance during this
and other projects. Sincere thanks to Rebecca Steele, my business manager and publicist,
or her long-term vision and keeping me on track.
his is the 52nd book manuscript I have written since I started writing in 1998. I’m
grateul or those who initially brought me into the publishing business, particularly Liz
Suto (author o Informix Online Performance Tuning, and my irst oicial gig as a tech
editor) and Greg Doench (executive editor at Prentice-Hall Publishers), and so many
more along the way, including Melody Layne, Mark aub, Rev Mengle, Sebastian Nokes,
Greg Croy, Katie Feltman, Katie Mohr, Lindsey Leevere, Josh Freel, Amy Fandrei, Amy
Gray, im Green, Steve Helba, and many others. hank you, all o you, or the splendid
opportunity that has enabled me to help so many readers.
I have diiculty putting into words my gratitude or my wie and love o my lie,
Rebekah, or tolerating my requent absences (in the home oice) while I developed the
manuscript. his project could not have been completed without her loyal and unailing
support and encouragement.
xix
INTRODUCTION
he dizzying pace o inormation systems innovation has made vast expanses o inorma-
tion available to organizations and the public. Design laws and technical vulnerabilities
oten bring unintended consequences, usually in the orm o inormation thet and disclo-
sure. Attacks rom nation-states and cybercriminal organizations are increasing dramati-
cally. he result is a patchwork o laws, regulations, and standards such as Sarbanes–Oxley,
GDPR, CCPA, Gramm–Leach-Bliley, HIPAA, PCI DSS, PIPEDA, NERC CIP, CMMC,
and scores o U.S. state laws requiring public disclosure o security breaches involving
private inormation. he relatively new Cybersecurity & Inrastructure Security Agency
(CISA) has become a prominent voice in the United States, and executive orders require
organizations to improve deenses and disclose breaches. As a result o these laws and
regulatory agencies, organizations are required or incentivized to build or improve their
inormation security programs to avoid security breaches, penalties, sanctions, lawsuits, and
embarrassing news headlines.
hese developments continue to drive demand or inormation security proessionals
and inormation security leaders. hese highly sought-ater proessionals play a crucial
role in developing better inormation security programs that reduce risk and improve
conidence in eective systems and data protection.
he Certiied Inormation Security Manager (CISM) certiication, established in
2002, has become the leading certiication or inormation security management.
Demand or the CISM certiication has grown so much that the once-per-year certi-
ication exam was changed to twice per year in 2005 and is now oered continually.
In 2005, the CISM certiication was accredited by the American National Standards
Institute (ANSI) under the international standard ISO/IEC 17024:2012 and is also
one o the ew certiications ormally approved by the U.S. Department o Deense in
its Inormation Assurance echnical category (DoD 8570.01-M). In 2018 and again in
2020, CISM was awarded the Best Proessional Certiication by SC Media. here are
now more than 50,000 proessionals with the certiication, and the worldwide average
salary or CISM holders is more than US$149,000.
Founded in 1969 as the Electronic Data Processing Auditors Association (EDPAA),
ISACA is a solid and lasting proessional organization. Its irst certiication, Certiied
Inormation Systems Auditor (CISA), was established in 1978.
Purpose of This Book

Let’s get the obvious out o the way: his is a comprehensive study guide or the security
management proessional who needs a serious reerence or individual or group-led study
or the Certiied Inormation Security Manager (CISM) certiication. he content in
this book contains the technical inormation that CISM candidates are required to know.
xxi
xxii
his book is one source o inormation to help you prepare or the CISM exam, but it
should not be thought o as the ultimate collection o all the knowledge and experience
that ISACA expects qualiied CISM candidates to possess. No single publication covers
all o this inormation.
his book is also a reerence or aspiring and practicing I security managers, security
leaders, and CISOs. he content required to pass the CISM exam is the same content
that practicing security managers must be amiliar with in their day-to-day work. his
book is a deinitive CISM exam study guide as well as a desk reerence or those who have
already earned their CISM certiication.
his book is also invaluable or inormation security proessionals who are not in
leadership positions today. You will gain considerable insight into today’s inormation
security management challenges. his book is also helpul or I and business manage-
ment proessionals working with inormation security leaders who need to understand
what they are doing and why.
his is an excellent guide or anyone exploring a security management career. he
study chapters explain the relevant technologies, techniques, and processes used to man-
age a modern inormation security program. his is useul i you are wondering what the
security management proession is all about.
How to Use This Book

his book covers everything you’ll need to know or ISACA’s CISM certiication exami-
nation. Each chapter covers speciic objectives and details or the exam, as ISACA deines
in its job practice areas. he chapters and their sections correspond precisely to the CISM
job practice that ISACA updates rom time to time, most recently in mid-2022.
Each chapter has several components designed to eectively communicate the
inormation you’ll need or the exam.
• he topics covered in each chapter are listed in the irst section to help map out
your study.
• Tips in each chapter oer great inormation about how the concepts you’re
reading about apply in a place I like to call “the real world.” Oten, they may
give you more inormation on a topic covered in the text.
• Exam Tips are included to highlight areas you need to ocus on or the exam.
hey won’t give you any exam answers, but they help you know about important
topics you may see on the test.
• Notes may be included in a chapter as well. hese bits o inormation are relevant
to the discussion and point out extra inormation.
• Fiteen practice questions at the end o each chapter are designed to enable you
to attempt some exam questions on the topics covered in the domain.
• Access to an online question bank is available rom otalester Online,
customizable practice exam sotware with 300 practice exam questions.
• A glossary contains about 650 terms used in the inormation security management
proession.
Introduction
xxiii
About This Second Edition
ISACA has historically recalibrated the contents o its certiications every ive years.
I learned that ISACA would update the CISM job practice (the basis or the exam and
the requirements to earn the certiication) in early 2022, eective in mid-2022. o ensure
that this inormation is up to date, Wendy Rinaldi and I developed a plan or the second
edition as quickly as possible; this book is the result o that eort.
he new CISM job practice inormation was made available in March 2022.
We began work at that time to update the second edition manuscript. his has been
updated to relect all o the changes in the CISM job practice and changes in inorma-
tion security and inormation technology since the irst edition was published.
Information Security vs. Cybersecurity

In our proession, the term “inormation security” is giving way to “cybersecurity.”
Both terms are used in this book, and generally they can be considered equal in
meaning. he act that the certiication, Certiied Information Security Manager,
contains those core words means that the phrase “inormation security” isn’t quite
gone yet. Indeed, ISACA will eventually have to grapple with the brand recognition
o CISM and deal with the possibility that this moniker may be seen as antiquated
because o those two words. Will CISM someday be known as CCM?
Changes to the CISM Job Practice

For the 2022 CISM job practice, ISACA reormatted how the practice areas are described.
Previously, each job practice had a set o Knowledge Statements and ask Statements.
In the 2022 model, each job practice consists o two major categories with three to six
subtopic areas each. his is ollowed by 37 Supporting asks or CISM that are not spe-
ciically associated with the our domains. able 1 illustrates each previous and current
CISM job practice and its corresponding chapters in this book, along with the structure
o the new job practice and coverage in this book.
As is typical or each new job practice and revision o this CISM Certified Information
Security Manager All-in-One Exam Guide, I perormed a gap analysis to understand what
subject matter was added to the new job practice and what was eliminated. My conclu-
sion: ISACA made no signiicant additions or changes to the CISM 2022 job practice
besides numerous structural changes and changes in the weighting between domains.
Several topics are new or expanded rom the irst edition, including the ollowing:
• he distinction between control rameworks, program management rameworks,
risk management rameworks, and architecture rameworks (with examples o each)
• Mention and discussion o a published inormation security ramework that is
older than most living people in the world
• New challenges in obtaining cyber-insurance policies
• Bow-tie risk analysis
xxiv
All-in-One
2016 CISM Job Practice 2022 CISM Job Practice Coverage
1. Inormation Security 24% 1. Inormation Security 17%
Governance Governance
A. Enterprise Chapter 1
Governance
B. Inormation Chapter 2
Security Strategy
2. Inormation 30% 2. Inormation Security 20%
Risk Management Risk Management
A. Inormation Security Chapter 3
Risk Assessment
B. Inormation Security Chapter 4
Risk Response
3. Inormation Security 27% 3. Inormation 33%
Program Development Security Program
and Management
A. Inormation Chapter 5
Security Program
Development
B. Inormation Chapter 6
Security Program
Management
4. Inormation Security 19% 4. Incident Management 30%
Incident Management
A. Incident Chapter 7
Management
Readiness
B. Incident Chapter 8
Management
Operations
Table 1 Previous and Current CISM Job Practices and Corresponding Chapters
• Control architecture, implementation, and operation

• Controlled unclassiied inormation (CUI)
• Crisis communications and crisis management
• Crosswalks
• Cybersecurity maturity model certiication (CMMC)
• Data debt
• Data governance
• Distributed workorce
• Endpoint detection and response (EDR)
• European ESI standards
Introduction
xxv
• Extended detection and response (XDR)
• Foreign Corrupt Practices Act (FCPA)
• Groupthink
• Inormation governance
• Integrated risk management (IRM)
• MIRE A&CK ramework
• Network traic analysis (NA)
• NIS SP 800-171 and SP 800-172
• Passwordless authentication
• Personnel classiication
• Reerence architectures
• Functional and nonunctional requirements
• Risk and control ownership
• Security orchestration, automation, and response (SOAR)
• Sotware as a service (SaaS) disaster recovery
• SaaS security incident response
• echnical debt
• hreat intelligence platorm (IP)
• hree lines o deense
• Workorce transormation, remote work, and hybrid work models
• Zero-trust network architecture
• Addition o about 70 new entries and several cross-reerences to the glossary
(and a ew deprecated entries such as SAS-70, SE, and S-HP removed)
By the time we completed this book, even more new developments, technologies, tech-
niques, and breaches provided additional insight and the promise o still more changes.
Like the surace o Saturn’s moon, Io, our proession is ever-changing. he technology
boneyard is illed with vendors, products, protocols, techniques, and methodologies that
once held great promise, later replaced with better things. his underscores the need or
security leaders (and I, audit, and risk proessionals) to stay current by reading up on
current events, new technologies, and techniques. Some last-minute changes that may
not be ully relected in the manuscript include the ollowing:
• ISO/IEC 27001:2013 was replaced by ISO/IEC 27001:2022 in early 2022.
• ISO/IEC 27002:2013 is scheduled to be replaced by ISO/IEC 27002:2022 in
late 2022.
• A new U.S. national law on privacy may have been enacted.
• Additional U.S. presidential Executive Orders on the topic o cybersecurity may
have been issued.
xxvi
Becoming a CISM Professional
o become a CISM proessional, you must pay the exam ee, pass the exam, prove that
you have the necessary education and experience, and agree to uphold ethics and stan-
dards. o keep your CISM certiication, you must take at least 20 continuing education
hours each year (120 hours in three years) and pay annual maintenance ees. his lie
cycle is depicted in Figure 1.
he ollowing list outlines the primary requirements or becoming certiied:
• Experience A CISM candidate must submit veriiable evidence o at least
ive years o proessional work experience in inormation security management.
Experience must be veriied and gained within the ten years preceding the
application date or certiication or within ive years rom passing the exam.
Experience waivers are available or as many as two years.
• Ethics Candidates must commit to adhering to ISACA’s Code o Proessional
Ethics, which guides the personal and proessional conduct o those certiied.
• Exam Candidates must receive a passing score on the CISM exam. A passing
score is valid or up to ive years, ater which the passing score is void. A CISM
candidate who passes the exam has a maximum o ive years to apply or CISM
certiication; candidates who pass the exam but ail to act ater ive years must
retake the exam i they want to become CISM certiied.
• Education hose who are certiied must adhere to the CISM Continuing
Proessional Education Policy, which requires a minimum o 20 continuing
proessional education (CPE) hours each year, with a total requirement o
120 CPEs over each three-year certiication period.
• Application Ater successully passing the exam, meeting the experience
requirements, and reading through the Code o Proessional Ethics and Standards,
a candidate is ready to apply or certiication. An application must be received
within ive years o passing the exam.
Register Pay Exam Pass

for Exam Fee Exam
Certified
Failure Failure to Pay
CISM Ethics
to Earn Maintenance
Document Work Violation
CPEs Fees
Experience
Pay Earn
Maintenance CPEs Lose CISM
Fee Certification
Figure 1 The CISM certiication lie cycle (Source: Peter Gregory)

Introduction
xxvii
Experience Requirements
o qualiy or CISM certiication, you must have completed the equivalent o ive years
o total work experience in inormation security management. Additional details on the
minimum certiication requirements, substitution options, and various examples are
discussed next.
NOTE Although it is not recommended, a CISM candidate can take the

exam beore completing any work experience directly related to inormation
security management. As long as the candidate passes the exam and the
work experience requirements are illed within ive years o the exam date
and ten years rom the application or certiication, the candidate is eligible
or certiication.
Direct Work Experience

You must have a minimum o ive years o work experience in the ield o inormation
security management. his is equivalent to roughly 10,000 actual work hours, which
must be related to three or more o the CISM job practice areas, as ollows:
• Information security governance Establish and/or maintain an inormation
security governance ramework and supporting processes to ensure that the
inormation security strategy is aligned with organizational goals and objectives.
• Information security risk management Manage inormation risk to an
acceptable level based on risk appetite to meet organizational goals and objectives.
• Information security program Develop and maintain an inormation security
program that identiies, manages, and protects the organization’s assets while
aligning to inormation security strategy and business goals, thereby supporting
an eective security posture.
• Incident management Plan, establish, and manage the capability to detect,
investigate, respond to, and recover rom inormation security and disaster
incidents to minimize business impact.
All work experience must be completed within the ten-year period beore complet-
ing the certiication application or within ive years rom the date o initially passing the
CISM exam. You will need to complete a separate Veriication o Work Experience orm
or each segment o experience.
Substitution of Experience
Up to two years o direct work experience can be substituted with the ollowing to meet
the ive-year experience requirement. Only one waiver is permitted.
Two Years
• Certiied Inormation Systems Auditor (CISA) in good standing
• Certiied Inormation Systems Security Proessional (CISSP) in good standing
xxviii
• MBA or master’s degree in inormation security or a related ield; transcripts or
a letter conirming degree status must be sent rom the university attended to
obtain the experience waiver
One Year
• Bachelor’s degree in inormation security or a related ield
• Skill-based or general security certiication
• One ull year o inormation systems management experience
Here is an example o a CISM candidate whose experience and education are consid-
ered or CISM certiication: A candidate graduated in 2002 with a bachelor’s degree in
computer science. hey spent ive years working or a sotware company managing I,
and in January 2015, they began managing inormation security. In January 2017, they
took some time o work or personal reasons. In 2019, they earned their Security+ cer-
tiication and rejoined the workorce in December 2019, working as a risk manager or
a public company in its enterprise risk management department. he candidate passed
the CISM exam in June 2022 and applied or CISM certiication in September 2022.
Do they have all o the experience required? What evidence will they need to submit?
• Skills-based certification he candidate obtained their Security+ certiication,
which equates to a one-year experience substitution.
• Two years of direct experience hey can count their two ull years o inormation
security management experience in 2015 and 2016.
• One-year substitution hey cannot take into account one year o I management
experience completed between January 2002 to January 2007, because it was not
completed within ten years o their application.
• One-year direct experience he candidate would want to utilize their new risk
manager experience or work experience.
he candidate would need to send the ollowing with their application to prove the
experience requirements are met:
• Veriication o Work Experience orms illed out and signed by their supervisors
(or any superior) at the sotware company and the public company, veriying
both the security management and non–security management work conducted
• ranscripts or letters conirming degree status sent rom the university
TIP Read the CISM certiication qualiications on the ISACA web site. ISACA
changes the qualiication rules rom time to time, and I want you to have the
most up-to-date inormation available.
Another random document with
no related content on Scribd:
minne tahansa. Koillisesta wain näkyy korkean salmensolan kautta
wähä wäljempää, nimittäin wuonon selkää. Päästessämme perille oli
kello jo 6 aamulla ja siinä luulossa, että nyt kaikki maamatkat oliwat
lopussa ja me niinkuin entisetkin murmannilaiselle rannikolle
matkustawaiset pääsimme meritse eteenpäin kulkemaan,
rupesimme mielihywällä lewolle kestikiewarin jotenkin siistissä
huoneessa. Lie unet maistuneet lappalaiselle kantomiehellemmekin,
sillä oman sanansa mukaan ei hän ollut nukkunut sitte sunnuntai-
aamun ja nyt oli jo keskiwiikko-aamu.
Heti puolisten jälkeen kokoontuimat seudun suomalaiset

huoneesemme, jossa pidettiin tawalliset papilliset toimitukset; niistä
ynnä jokaisen paikan wäkiluwusta antawat loppuun liitetyt luettelot
tarkemman selwän. Suomalaiset oliwat haudanneet kuolleensa
wanhan kirkon saarelle, jonne piti hieruan (laskuweden) aikana
kahlata wirran poikki. Hautoja lukiessa ja ihmisjoukon seistessä
karttui sinne niin suuri sääskien paljous, että se oli tosi-waiwaksi
paikalla asujillekin, mitä sitte tottumattomalle wasta tulleelle. Mutta
niin hupainen kuin tämä päiwä oli, kun sain ruweta wartonaiseen
toimeeni, jota warten olen tullut näille pohjan perille, niin ikäwä oli
seuraawa päiwä, sillä wenäläinen kyyditsijä Kuolassa, ruunun
palkkaama, kieltäytyi antamasta wenekyytiä. Tästä kuletaan nimittäin
suurilla weneillä 8 peninkulmaa meritse Jeretiikaan, joka on kauppa-
paikka saarella Uuramuonon suussa, ja siitä 2 peninkulmaa Uuran
kylään. Pitkällisten keskusteluin perästä suostui wiimein wenäläinen
antamaan meille oppaan maitse; ja meidän piti antautua tuolle
tiettömälle kolkolle 6 peninkulman taipaleelle jalkaisin waeltamaan.
Iloisia muistia mulla siis ei ole Kuolasta. Kestikiewarissakaan ei
saanut mitään ruokaa. Ensin täytyi kupetsasta käydä aineet
ostamassa ja sitte rupesi emäntä toki keittämään; ja niin saatiin
kuitenkin kunnon ryynipuuro. Maitoa saa Kuolassa myös. Lehmiä on
noin 30—40, ja niin suuria ja pitkäkoipisia lehmiä en ole koskaan
nähnyt. Kentällä ja kosken partailla näkyi olewan kyllä ruohoa, 1
hewonen kuului kaupungissa myös olewan. Katsellessamme karjaa
rannalla huomasimme siellä pikku mökkiä eli niinkuin ensin luulimme
huwihuoneita, mutta kun kurkistimme akkunasta sisään näimme
niiden olewan kappelia, joissa oli jumalankuwia nurkissa.
Semmoisiksi huoneiksi oliwat ne meistä kowin kehnoja; mutta
maassa maan tawalla.
2 suomalaista lähti meille kantomiehilsi Uuraan. Alkutaimal

kulettiin pienellä meneellä. Joku peninkulma kaupungista supistuu
wuono salmeksi, jonka länsipuoli on korkea kallioseinä. Sen ra'oissa
ja ulkonewilla pankoilla pesii ja asuu suuret joukot kaikenlaisia
wesilintuja, kalalokkia, tiiroja y.m., joista erittäinkin ensinmainitut
owat toisenlaisia kuin sisämaissa. Myötäänsä kantoiwat emät
pitkissä jonoissa kaloja korkeihin pesiinsä, ja pojat rääkyiwät, niin
että kalliot soiwat. Mutta tiirat oliwat oppineet kummallisiksi loisiksi;
tähystiwät milloin wesilintu toi kalaa pesäänsä, ja heti kuin emä oli
lähtenyt toista hakemaan, lensiwät he lähelle poikain päälle rääkyen,
ja kun nämä ojensiwat kaulansa ja suu auki nostiwat päänsä pystyyn
luullen emän tulewan, tekiwät nuo ilkiwaltaiset tiirat mestarillisen
pyöräyksen alaspäin, sieppasiwat kalan poikain edestä suuhunsa ja
puikahtiwat waiti pois. Linnuilla on meressä ruokaa ja asunto
rauhallinen näissä ihmisistä köyhissä maissa; sentähden ne
wiljehtiwät niin hywästi ja enenewät mahdottoman suuriin määriin.
Kuuluwat Kuolalaiset joskus koetelleen päästä lintujen pesille. Eras
wenäläinen nuorukainen oli wuoren päältä laskeunut nuoraa myöten
kallioseinän siwulle munia kootakseen pesistä, waan nuora oli kallion
teräwiä särmiä wastaan hankautunut niin etta oli katkennut, poika
parka pudonnut alas kuolijaaksi. Sitten ei sanota koetellun enää
häiritä lintukarjoja tällä paikalla. Mutta waikka kyllä on paljo lintuja
tassa, niin että se kyllä kummaksi käy sille, joka on nähnyt
ainoastaan Suomen lintuparwet, ei se kumminkaan ollut
sinnepäinkään, mitä nähtiin aawan meren rannalla.
Kuolan wuonon kummallakin rannalla oli lapinkotia, 2 länsi- ja 1

itärannalla meidän näkemiämme; ne oliwat suuren turpeen kaltaisia,
ja kyyristyen täytyy niihin sisään mennä. Purjehdittuamme lähes pari
peninkulmaa pantiin maalle erään nykyisin aution, pienen, hirsistä
tehdyn mökin luona, ja siitä oli alettawa tuo wähintäänkin 4
peninkulmaa pitkä maataiwal. Mökin luona laittauttiin reilaan. Se oli
merkillisellä paikalla, sillä ympärillä oli puita. Lahdelman pohjoisranta
oli korkea ja siten suojeltu pohjatuulilta; lisäksi oli se multamaata ja
sillä kaswoi tawallisen pitkiä koiwuja, jotka oliwat kewät-
wihannossaan; jopa pistihen koiwikosta ujosti esiin tuomikin; se oli
wasta puhkaissut kukkansa auki ja lewitti suloista tuoksuansa pitkin
tyyniperää rantaa. Sisempänä lahdenperässä oli toisiakin ja tekiwät
samaa wirkaa. Nähtiinpä pihlajiakin; ne oliwat nupussa ja odottiwat
lämpimän lisää. Tuota katsellessaan luuli olewansa kewään alussa;
ja pohjoislapin kewät olikin nyt kohta paraillaan; mutta meille se oli jo
kolmas: ensimäinen Kuopiossa, toinen Kuusamossa, kolmas
Kuolassa; kotoa lähtiessämme oli kewät jo ohitse, ja tuomen ja
pihlajan kukinta loppunut; mutta aiwan alku-tuoreudessaan kohtasi
meitä kewät taas Kuusamon wuoriseuduilla, ja ihmeeksemme
saimme ihailla wielä kerran kewäimen suloutta täällä kylmyyden
kotipaikoilla. Mutta tähän täytyikin meidän jättää kewäimen yksin
suloinensa iloa pitämään; tästä ylöspäin, siellä on maita, jossa ei
kewään, ei kesän kauneutta näy. Jyrkän rannan-törmän päältä alkaa
2 tahi 3 wirstan wastamaa wetistä rämettä, jossa siellä, täällä puroja
myöten wesi laskee wuorilta mereen, mutta enimmittäin waluu se
sammalikon läpi joka paikasta, ja ainoastaan näkywien kallion
kylkien kohdalla se juoksee pikku koskina. Tämmöistä maata
noustessaan wuorille tietää olewansa työssä; waiwannäköä ei
Lapissa wältä kukaan; pitää kaiken woimansa perästä polkaista
rahkasammaleesen kuoppa siksi kuin kowa wastaa kantapäätä; siitä
tun wetää jalkansa ylös, on selwittelemistä, ettei takerru
waiwaiskoiwu-warpuihin, jotka owat tiheät kuin pajupehkot puroin
warsilla; ja taas, kun on pujotellut saappaansa läpi warwikon, pitää
työntää jalkansa lähes polwiin asti sammaleesen, ennenkuin
kykenee toista nostamaan. Wähän wäliä istuu mielellään mättäälle
lewähtämän, ja ikäwällä katsoo wuoren kukkulalle, jossa on kowempi
maa astua; ainoastaan lyhyttä peuran jäkälää on someroisen maan-
kamaran päällä; sanotaan »mäen welkansa maksawan;» luulossa
että saa ruweta myötämäkiä laskemaan, astutaan mäen päälle;
mutta se toiwo peräti petti; heti takana ensimäisen on toinen kahta
korkeampi wuori, jolle taas kiipeämään. Ne notkelmat, jotta wuoren
korkeilta syrjiltä juoksewat alas sywiin laaksoihin, oliwat lunta täynnä;
ja kun saapas liukahteli luisulla hangella, hirwitti katsoa alas, sillä
sywyyden hämärään pohjaan olisi ollut kamala wauhti laskea mäkeä.
Lumijuowain wälillä on sulaa kalliota ja karkeata someromaata
wuorotellen; sitä on hywä astua, kun saa pikkuisen matkan päässä
lewähtää. Mereen päin wiettäwällä puolella ei olekaan niin paljo
sääskiä, kuin sisämaassa, jonkatähden saa rauhassa lewähtää, ja
se ei ole wähä etu. Päästiin wuorelle. Sen kukkulalla käwi
läpitunkewa wiima jäämereltä, joka liiaksikin ankarasti kuiwasi hien
ruumiilta. Mutta helposti lensiwät tuuliaispäät tunturien päällitse;
raittiit ne oliwat, ja helppo oli hengittää. Wälistä puski tuuli niin että
piti ottaa lakkinsa käteen, sillä waikea olisi käydä noutamassa, jos
wihuri keweän kesälakin siirtäisi toiselle tunturille. Waikka täältä
kylmyydestä pois päästäkseen mielellään kiirehtii eteenpäin, pitää
kumminkin siksi kestää seistä, että saa katsotuksi tämän kolkon
ilman alan autiot seudut. Niinkauas kuin silmä kantaa, on mäkiä
mäkien wieressä tällä tunturi-ylängöllä, kaikki kaljuja, ei puuta, ei
pensasta, ei edes pieniä kaswin warsiakaan ole; niin puhtaaksi on
pohjostuuli porottanut nämä maat. Kaikille ilman suunnille on
pelkkää autioutta, ääretöntä paljasta ja karkeata wuoristoa, jossa ei
elämän merkkiä näy. Tämän ympäristön keskellä ymmärtää, kuinka
totta sanoo, kun Kalewala puhuu »Lapin raukoista rajoista.» Kuolan
wuono oli jo jäänyt niin kallioiden lomaan, ettei sitä näkynyt, mutta
sisäjärwiä näkyi useita, suuriakin ja saarisia, mutta lintua ei nähty
koko matkalla yht'ainoata, ei wesilintua eikä kalalokkia; josta woi
arwata, etta järwet owat jolo kalattomia taikka luultawammasti hywin
wähä-kalaisia. Ennenkuin tästä lähdetään tunturia alas laskeumaan,
kysytään oppaalta: »minnepäin ruwetaan nyt painamaan.» Hän
tirkistelee kipeillä silmillään ja osoittaa erästä kaukana siintäwää
wuoren yppylää: »tuolla on puoliwäli.» »Puoliwälikö!» urahtaa yksi ja
toinen meistä yksiwakaisella äänellä; mutta wenäläinen nyökyttää
päätään ja sanoo: da, da. Me silloin huomasimme ettemme olleet
wäärin ymmärtäneet; ja meidän täytyi antaa puoliwälin olla niin
kaukana, kun sitä ei woitu siirtää lähemmäksi. Alaspäin oli huokea
astua, siksi kun tultiin taas rämeille; niillä kaswoi pikku mäntyjäkin
eteläpuolella mäkien rinteitä; mutta kitulijaita ja surkeita ne oliwat.
Rämeiden poikki päästyään, saa taas waaroja nousta ja waaroja
laskea. Somimmat paikat oliwat pienet mäkiharjanteet järwien
wälillä. Eräässä kohden oli wasemmalla puolen olewan järwen pinta
melkeen harjun tasalla, mutta oikeanpuolimainen järwi oli sywän ja
jyrkän mäen alla laakson pohjassa wuorien wälissä, eikä
minkäänlaista yhteyttä ollut näiden järwien wälillä, waikka harja oli
jotenkin kaitanen. Toisien järrwien siwu kun mentiin, täytyi kiweltä
kiwelle hyppimällä kulkea yli kuohuwien koskien, mutta ne eiwät
muodostaneet mitään jokia, maan ryntäsiwät järwestä järween mistä
kallion kolosta milloinkin, niinkuin täydestä maljasta wesi läikähtää yli
laidan mistä kohti sattuu. Ajattelin, ettei suinkaan sinä ilmoisna ikänä
ihmisjalka ole näitä maita kahlannut; ja niinpä taisi ollakin, sillä
oppaamme rupesi meitä kierrättelemään niin kummallisia teitä järwiä
pitkin ja soita poikki aina wain sinne, missä korkeinta mäen kukkulaa
oli. Minä jo luulin että hän tekee meille harmia siitä kun minä suota
rämpiessäni heitin takkini hänen taakkansa päälle, josta hän tuntui
kowasti suuttuwan ja äisteli mulle jotakin, jota en ymmärtänyt. Minä
kun en muuta osannut, sanoin: harasho, ja heittäysin pitkälleni
lewähtämään; mutta siitäkös tulistui wenäjän mies, tuppasi takkini
takkansa koloihin ja sytöi sillä wauhdilla, että olisin tawallisissa
oloissa surkutellut takki-riepuani, mutta nyt mielelläni siitä erosin, tuli
mihin tuli; se olikin painanut kauan hartioitani kuin raskaskin kuorma;
siihen äreään puheesen, jota mies takkaansa laitellessaan piti, en
walitettawasti saattanut mitään lauhduketta antaa; ja kun en muuta
osannut, sanoin mättäältä jolla selälläni makasin: harasho; silloin ei
takka paljo painanut, kun mies wiskasi sen selkäänsä ja pahaa
porinata pitäen lähti astua wiuhkaisemaan, että »töppöset löyhki»,
niinkuin sanotaan; kantajammekin nostiwat päätään: »joko se lähti».
Ei muu auttanut, kuin kesken lewähdyksen ylös ja polkea perästä.
Miehet selittiwät että wenäjän mies sitä nurkui, että hänelle pannaan
kantamista, waikk'ei hän muuta kuin opastamista warten ollut
isäntänsä käskystä tänne lähtenyt. Me käskimme miesten tulkita,
että hän saa kantamisestaan meiltä maksun, ja rauha oli jälleen
rakennettu. Kumminkin näytti hänen käytöksensä perästäpäin
oudolta; ja meillä käwi jo salaisesti ne ajatukset, että oppaamme
kenties karkaa kotiinsa tältä waiwaloiselta taipaleelta. Kantajamme
pitiwät toisia epäluuloja oppaastamme, ja kun hän yhdellä mäellä
kysyi: »näkeekö kukaan täällä jossakin pienempää kiweä
suuremman päälle nostettuna», niin wirkkoiwat hekin, että he jo
ammoisen aikaa owat katsastaneet, että taitaa opas joutaa pois
wiralta. Erottiin jokainen eri suunnille etsimään kiweä kiwen päältä.
Jonkun ajan perästä löytyikin semmoinen tien mutta, ja nyt opaskin
sanoi tuntewansa seudun, ja korjasi äsköisen osoituksensa
puoliwälin tunturista; oikea tunturi, meidän kulettawa, olikin
wasemmalle kädelle siitä, mikä ensin oikeaksi luultiin; mutta yhtä
kaukana se oli sekin. »Onko tuo nyt oikea tunturi», »da, da» wastaa
wenäläinen; »sitte kaikki pahat tuulet pois, ja marssitaan eteenpäin».
Oppaan silmät wettä keitti, kun tähysteli noita kiwiä kiwien päältä;
mutta katosi meiltäkin kaikki pahat epäluulot, niin uuras tien urkkija
oli hän. Ja kun näimme ne kengän hieromat, mitkä oliwat
jaloissansa, ja ne waate-repaleet, joilla koki kipeitään peitellä, niin
käwi mies-parka meille sääliksi.
Kuta etemmäksi päästiin, sitä hitaammaksi käwi matkanteko;

noustessamme puoliwälitunturin päälle, ei tahtonut wasen jalka
jaksaa oikean rinnalle, eikä oikea edelle wasemmasta. Tunturin
päällä suuren kiwen takana otettiin pitkä lepo; se olikin
tositarpeesen. Näköala tällekin tunturille on kolkkoa; laaksoin
pohjissa olewia puita ei näy. Göthe, Saksan runoilija, kuuluu
sanoneen Neapelin näköalasta: »joka on nähnyt Neapelin, ei woi
tulla onnettomaksi». Yhtä hywästi saattaisi sanoa: »joka on nähnyt
Lapin raukkoja rajoja, ei woi tulla onnelliseksi;» niin kolkon ja kylmän
kuwan ne jättäwät katsojan mieleen. Mutta kun me ajattelemme
seudun kolkkoutta, näkyy ihmispäitä wilkkuwan wieressä olewan
tunturin harjun takaa; ne hääliwät edes ta'as; pilkistäwät kiwen takaa
ja katoawat. Me jo rupesimme lukemaan, kuiuka monta meitä on; »6
miestä!» ei Lapissa sen suurempaa sotajoukkoa tarwitse — ja me
makaisimme tyynesti. Ei kaukaakaan, kun jo wetäypi 3
kolttalappalaista meidän tunturillemme, awopäin ja säikähtyneenä.
He oliwat lähisen tunturin huipulta katsoneet kauan, mitä liikettä se
oli, kun me kiwen takana makailimme ja kääntelimme ruumistamme,
ja tulleet siihen päätökseen että me olimme karhuja. Laukkunsa,
lakkinsa ja muut kapineensa heittiwät tunturille ja tuliwat nyt
tarkemmin asiaa tutkimaan meidän luoksemme. Huomattuansa
meidät matkamiehiksi tuliwat tietä kysymään. Kolttalaiset eiwät
nimittäin olleet ennen käyneet tätä tietä, tiesiwät wain missäpäin
Kuola on, ja oliwat lähteneet sitä suuntaa tunturien yli waeltamaan;
oikeassa oliwatkin, mutta siinä erehtyiwät, kun luuliwat Kuolan
olewan sen tunturin alla, jolla me lewähdimme, ja kun me ilmoitimme
heille, että he owat wasta puoliwälissä Kuolan wuonon lahteen, josta
wielä saawat kierrellä wuonon rantoja pari peninkulmaa, ennenkuin
saapuwat kaupunkiin, niin suurilla silmillä katsoiwat pitkään toinen
toiseensa; lähtiwät sitte noutamaan rippujaan ja pitkittiwät
matkaansa. Sanoiwatko nuo totta, wai oliwat roswoamis-matkoilla,
niinkuin yleisesti kolttalaisilla tapana on, sitä emme tienneet, mutta
meidän kantomiehemme wakuuttiwat, että semmoinen kolttalainen
on; kunhan saa wähänkään suunnan tietää jonnekin, niin kyllä hän
osaa sinne, tunturit owat hälle tuttuja, ei hän niille eksy.
Kolttalappalaiset, eräs lappalaissuku, jotka owat kaikki
wenäläiskreikkalaista uskoa ja suurempikaswuisia, kuin tawalliset
lappalaiset, owat ylönkatsotut joka paikassa; luulenma juuri
epärehellisyytensä wuoksi. Meidän lewähdyspaikastamme
lounaasen päin joku matka on tawallinen koiwumetsä, jossa on
peuransyöttöpaikka talwella; se on ainoa metsikkö tällä tunturi
taipaleella (lukuunottamatta Uuran wuonon koiwikkoa) ja on
puoliwälissä, kun suoraa tietä talwella ajetaan Uurasta Kuolaan, 6
peninkulmaa. Wirkistyneinä lähdettiin eteenpäin. Matka oli
samanlaista alinomaista nousemista ja laskeumista. Sen uuden
löydön teimme kuitenkin, että waaroilla kaswoi pieni kukka; nimeä en
tiedä; se wiwahti paljo neilika-lajiin. Nähtiin tunturi-metsäkanojakin,
jotka juosten, lentäen pyöriwät edessämme ja surkealla äänellään
walittiwat olemistaan, mutta laaksoihin eiwät lähteneet, palasiwat
korkeille tuntureilleen; siellä oli heillä kumminkin hywä olla.
Wastahakoisesti ja pelkotunteilla mekin tällä matkan loppupuoliskolla
lähestyimme laaksoin pohjia; kyllä meillä jo oli ollut tekemistä noiden
pohjoisimpain maitten kiusantekijöiden kanssa, mutta nyt wasta
meille pula tuli. Sitä sääskien paljoutta, mitä oli tyynissä laaksoissa,
on mahdoton toiselle selittää tahi uskottawaksi saattaa. Meillä oli
niistä tosi waiwa. Ilma oli niin kuuma, ettei käwellessään jaksanut
minkäänlaista liina-bashlik'ia taikka harsowaatetta pitää kaswoillaan,
ja tunkeutuiwat ne niidenkin läpi jos jostakin reiästä. Kun sääskiä on
niin paljo ja syötäwiä ihmisiä niin erittäin wähä, niin ehdättäwät
edelliset toinen toisensa kilwan ihmisraukkain niskaan, eiwätkä huoli
huiskuttamisesta ja pieksämisestä mitään, waan töytääwät suoraan
ihoon ja pistäwät samassa nahan läpi. Näin parhaaksi koetella
suojella ainoastaan kaswojani ja heittää niska ja kädet aiwan alttiiksi.
Tuskalla saattoi pelastaa silmänsä, sieramensa ja korwansa tukkoon
joutumasta; myötäänsä piti pyhkiå nenäliinalla sitä syöpäläisten
siiwoa silmiltään pois; kuolleita oli kuin tahasta ja yhä utakammasti
toista tuli; missä wain wähänkään lehtimetsää ja lätäkköpaikkaa oli,
sieltä niitä sawupilwinä pemahti wastaan. Pysäyspaikoissa sai
parhaiten rauhassa olla, jos päälllyspaidan eli liinapaidan weti
korwiensa yli ja rupesi pitkälleen kaswot mätästä wasten. Muuten on
näissä taisteluissa syöpäläisiä wastaan paras neuwo ajatella: wähät
muusta, kunhan hengissä pysyy. Sittekuin oli kylään tultu, sanoiwat
Uuralaiset, ettei tänä kesänä paljo sääskiä ollut, waan kun on ollut
pitkälliset tyyneet, silloin niitä paljo on; notkopaikoissa ei silloin saata
kukaan olla. Siihen me emme osanneet mitään wirkkaa.
Keskiyön aikoihin noustiin wuoriseudun wiimeiselle korkealle

tunturille, jolle näkyy aawa meri niemineen, saarineen. Oli kuinka
myrskyinen ja julma tahansa, etäälle se wain näyttää tyyneltä ja
miellyttäwältä, kun päiwä takaa paistaa. Sentähden oli meistäkin,
niinkuin jo olisi oltu muun maailman yhteydessä erillään erämaan
kolkkoudesta, kun meri nähtiin. Kuta lähemmä matkan päätä
päästiin, sitä enemmin oli lehtipuuta ja joitakuita wirstoja wuonon
perästä on tawallista pientä koiwikkoa, josta jo alkoi polku wetää
taloihin. Keweniwät jalat, kun pääsiwät polun päälle, eikä kenenkään
mieli tehnyt lewähtämään; uteliaalla toimeliaisuudella hiipi toinen
toisestaan siwu, ja rantamäen koiwikosta astuttiin ulos; silloin
näkiwät silmämme ensi kerran suomalaisen uutisasutuksen
jäämeren rannalla. Montakertaa olin kotonani ajatellut,
minkähänlaiset kansalaistemme asumasiat mahtanewat olla noilla
kaukaisilla perukoilla; waeltaissamme kauwan wallan wieraista
omista olipa jo muistissamme melkeen solahtanut tuonnemmaksi,
minkälainen suomalaisen talo onkaan; ja ainakin arwellen
suomalaisten ihan eri lailla asuwan täällä korkeassa pohjaisessa
kuin kotonaan, kiinnitin silmäni heidän taloihinsa, jotka waloisan
aamuyön tyyneydessä pitiwät hiljaista yölepoansa meidän
edessämme; mikä sywästi ilahuttawa näky oli toki tuo, kun
huomasimme talossa 2 pientä tupaa wastakkaa ja wälillä porstuan,
johon on kartanolta owi portaineen, kartanon toisella puolella pienen
nawetan ja kodan, huomasimme huoneiden ympärillä semmoisen
siisteyden ja puhtauden, joka meidän matkamme warrella oli jäänyt
Suomeen, näimme pystöaidan, joku ympäröi pihan ja pienen
nurminiityn; kun wielä tiesimme nyt astuwamme kansalaistemme
katon alle, jossa tarjotaan kättä, puhetta ja ruokaa semmoista kuin
syntymämaalla, niin woi jokainen arwata miten lämpimillä tunteilla
me nousimme
Saaniwuonon
Juhana Petter Lyhytniemen owea kolkuttamaan. Wanhat owat
aina warullaan; heti heräsikin isännän äiti ja tuli kysymään tulijoista;
mutta kun kuuli, kuinka kaukaa tällä kerralla oliwat wieraat, meni hän
emäntätä herättämään; ja yhtäkkiä olikin tupa järjestyksessä; ja me
heti sisään, kun lukko aukeni. Isännät owat kaikki tähän aikaan
kesässä kalassa. Me tiesimme, että tässä talossa ei tarwitse itse
tehdä wuodettaan, niinkuin matkalla tähän asti, ja sanoimme: »älkää
nyt, emäntä, ruwetko muuhun puuhaan, waan laittakaa meille
wuode, että pääsemme lewolle». »Kahwi on heti walmista», arweli
emäntä ja kiirehti toiseen tupaan, mutta meistä ei kukaan
yrittänytkään emäntää kieltämään, sitä juomaa ei oltu nähtykään
sittekuin Kuusamossa, ja jos yksi ja toinenkin, niin taisi joku
maisterimies meistä olla erittäinkin kahwin rakastajia miehiä. Hywällä
mielellähän me joimme kahwit. Sitte kerrottiin emännälle äsköinen
kehoitus, wäsymys oli näet käskijä; »tee-wesi on heti walmista;»
silloin ei katsottukaan toisiimme niin hymysuin, kuin äsken; mutta
emännän hywä tahto loisti hänen silmistänsä, ja mielelläänhän tekee
toiselle mieliksi, kun niin wähällä woipi. Tuskin oli teet saatu loppuun,
kun emäntä kantaa pöytään tuoreita loistawia wiilipyttyjä ja kowaa
keltaista woita, walmistaa ruokapöydän, niin kunnollisen, ettei
semmoista oltu nähty sittekuin Kuusamossa; eikä yksikään meistä
yrittänytkään kieltämään; käski nälkä pöytään, waikka wäsymys
wuoteesen; mutta tuon ruuan ääressä olikin ruokahalu semmoinen,
ettei mokomaa — sittekuin Kuusamossa. Ja kun emäntäkin wähä
asettui liehumasti, että saatiin ruweta haastelemaan, kuultiin että
hänkin oli Kuusamosta, ja hänen miehensä ja anoppinsa ja
lapsensa, kaikki, kaikki oliwat Kuusamosta, ja kuinka tänne oliwat
Kuusamosta tulleet, siitä olisimme tarkastikin saaneet kuulla, jos
olisimme jaksaneet, mutta kun emme jaksaneet, täytyi se jäädä
wastaiseksi; mutta heti kun se oli lykätty wastaiseksi, ummistui
meidän silmämme ja ainoastaan muutamia silmänräpäyksiä liikkui
wielä lämpimät kiitollisuuden tunteet Kuusamolaisten
ystäwällisyydestä wäsyneessä mielessämme, ja sitte waiwuimme
semmoiseen makiaan uneen, ettei mokomaa — — sittekuin
Kuusamossa.
Jo edeltä puolenpäiwää kello 10 aikana herätettiin meidät sillä

ilmiannolla, että jos mieli tänä pänä Uuraan, niin oli nyt hieruan
aikana mentäwä, ennenkuin ulli-wesi (nousuwesi) peittää wuonon
perän leweät lietteet. Meren rannalla woi näit jo ennakolta tietää,
milloin wesi on wähimmillään. Se nousee 6 1/2 tuntia ja laskee 6 1/2
tuntia; jos hieruan aika tänään on 9 aikana e.p.p., niin se on
huomenna kl. 10 ja ylihuomenna kl. 11, j.n.e. aina 1 tuntia
myöhemmin. Sentähden piti meidän tuo pikku 3 wirstaa matka tehdä
ennen puoltapäiwää, ellemme tahtoneet ruweta kiertämään
poluttomia rantatörmiä. Ja pitkiin käwelemisiin ei tehnyt mieli,
sittekuin olimme kulkeneet tuon waikean wiime taipaleen; noin 12
aikana olimme edellisenä päiwänä lähteneet Kuolasta ja kl. 3
aamulla tultiin Saaniwuonoon. Oli merkillistä että tämä 14 päiwä
Heinäkuuta oli juuri se päiwä, jonka seuduissa olin jo kotoa
kirjoittanut tulewani Uuraan, jos terwennä pysyisin. Saaniwuonon
länsirannalla ja joen wasemmalla puolen on Lyhytniemen talo; ne
muut 3 suomalaista ja 1 karjalainen owat wuonon itärannalla. Joki
laskee wuonoon Saanijärwestä, johon pienempi Lastajärwi etelästä
laskee. Uuran wuono on paljoa suurempi kuin Saaniwuono, ja
kummallista on kuinka pian sen hiekkalietteet kuiwawat heti weden
laskun perästä, niin että niitä saattaa kuiwin jaloin käwellä; tuskin
jalkopohjakaan kastuu. Kuiwanakin ollessa asuu hiekkapohjassa
eräs pikku, wikkelä kala, Pisanki, teräwä kuin äimä; ja aiwan kuin
mato kaiwaa se tien itselleen mullassa. Lietteet kuwastawat
walkeammilta luin owatkaan noita tummia ja korkeita kallioseiniä
wastaan, jotka owat wuonon ympärillä.
Uuran
kylästä oli samaten kaikki mieswäki kalassa, mutta heti tultuamme

lähti pari henkeä pienellä weneellä wiemään merelle sanaa
tulostamme. Minulle oli jo tilattu walmiiksi kortteeri eräässä talossa
Uura-joen suussa. Kaikki kylän talot, joista suurin osa on hirsistä
rakennettu, ainoastaan muutamat turpeista, owat asetetut joen
wasemmalle puolen pitkin rantaa, kenties 3 wirstan matkalle joen
suusta ylöspäin; yksi lappalainen talo, Wilkis-oiwi, on oikealla puolen
jokea joensuussa ja toinen suomalainen talo, joka on ylinnä joen
warrella, on samaten oikealla rannalla. Joessa on koskia ja siitä
saadaan muutamia lohi-lajia; tawataanpa wälistä made ja haukikin
joen suussa; muuten on niissä järwissä, joista Uurajoki laskee,
niinkuin muissakin pohjoislapin järwissä ahwen, hauki ja muutamia
lohikaloja. Uurajärwessä ei kuulu tawatun särkeä, eikä siikaa; waikka
ne löytywät Tuuloman järwissä. Löytyy rääpyskin Imanterossa ja sen
pohjoispuolella olewissa järwissä. Näistä maajärwien kaloista eiwät
suomalaiset, niinkuin muutkin rannan asukkaat, paljo hyödy.
Pyytäwät joskus loma-aikana, kun merikalastus joudattaa, ja
laittawat lapsensa ja waimonpuolensa pyytämään, että saisiwat
wälistä maistaa sitä kalaa johon owat Suomessa tottuneet, sillä
kaikella merenkalalla on omituinen ihwinen maku, joka warsinkin
wastatulleen suuhun maistuu hywin oudolta. Merikalastusta warten
oiwat Suomalaiset tänne tulleet ja siitä he eläwät. Sitä ruwetaan
Maarian päiwältä kewäällä ja pitkitetään Juhannukseen, jolloin
tullaan kotiin joksikuksi wiikoksi tahi pariksi; sitte taas mennään
merelle ja wiiwytään Elokuun alkupuolelle ja keskipaikoille, jolloin woi
kalastuksen pitää jo loppuneena, waikka yksi ja toinen pitkittää yhä
edelleen, sillä merestä saattaa kalastaa milloin tahansa, kunhan ei
erinomaista saalista aina halua. Kala, joka on kaikkein paras
pyydettewä, on turska, jonka pyytäjät jo merellä heti saannin perästä
myöwät wenäläisille kauppijoille, tahi wiewät norjalaisille
maakauppijaille tällä murmannilaisella rannikolla tahi sitte wiewät
suoraan Wuoreijaan (Wardö'hön,) tahikka Wesisaareen (Wadsö'hön)
kaupan. Turska kuiwataan pitkissä jälleissä eli toisin sanoen orsilla
paljaan taiwaan alla. Turskan hinta on kolmekertaa suurempi kuin
muiden kalain, waikka itse kala tuorenna ei ole niinkään makea kuin
muut kalat. Kun on oikein hywä turskan saanti, niin on tapahtuuut,
etta mies päiwässä ansaitsee 160 kruunua. Mutta toisinaan taas
saawat kalastajat tehdä turhaa työtä päiwittäin, wiikottain. Turska syö
nimittäin pientä lota-kalaa, ja jos lota-parwit eiwät jostakin syystä
ajau rantaan päin, niin turskakin asuu yksi siellä, toinen täällä.
Helposti kalastaja huomaa, milloin lota-parwi lähestyy, sillä sitä
seuraa toisetkin wiholliset kwin turskat, jotka eiwät kalastajan
silmään pistä, nimittäin kajawat, pitäen sitä suurempaa ääntä, kuta
suurempi on heidän ruoka-alansa. Minnepäin kajawat wetäywät,
sinne rientää kalastajakin weneineen. Kalastajain pitää aina olla
wartiolla, wuorotellen toinen toisensa perästä, merkitä lintuin lento-
suuntia, koetella ongellaan eli koukullaan, oli sää mikä tahansa, tahi
aika mikä tahansa. Jos kaloja ei kuulu missään, makaawat muut
kajuutassa, yksi on main kokeilla. Ohilullewiltakin kysytään
missäpäin kaloja olisi nähty enemmältä; ja sitä myöten mennään
wälistä Ruijan rannalle, toisen kerran Kalasaarennon (niinkuin
kartoilla on kirjoitettu) rannikolle, jopa Kiltinäänkin asti Kuolawuonon
itäpuolella. Paitsi tätä alinomaista huolta on kalastajalla
jokapäiwäinen pelko äkkimyrskyn nousemisesta. Liikuttaissansa
koukkuaan weneen laidalla pälyy hän joka suunnalle pitkin meren
pintaa, missä sattuisi hawaitsemaan mustan wäreen käywän
wenettä kohti; silloin kysytään näppäryyttä panna purjeet kokoon,
ankkurit järjestykseen ja peränpitimet reilaan, sillä tuuliaispää ei
odota kauan, kun kerran tulossa on, ennenkuin jo tupruaa weneen
ympärillä ja raiwoon nostaa weden ja ilman; joka wene silloin ei ole
walmis tuulta wastustumaan, se pyörähtää kumoon auttamattomasti.
Tämä ainainen huoli ja epäwakaisuus kaiken puolesta tekee
tunnokkaamman miehen koko elämän sangen lewottomaksi, ja
hänen päänsä harmaaksi ennen aikaa. Muuten on kyllä löyhä työ
miehillä, ja moni arwelikin, selittäessään meille olojaan meren
rannalla: »mitenhän käwisikään, jos pitäisi ruweta maatyötä
tekemään!» Toiselta puolen walittiwat epäterweelliseksi ja ruumista
jähmeyttäwäksi tuota elantojärjestystä, kesällä walwoa päiwät
päästään ja yöt lisäksi, ja talwella maata päiwät päästään ja yöt
lisäksi. Jos pimeän aikana juuri käwisikin laatuun toimittaa jotain
käsityötä, niin eiwät he sitä rupea tekewään; wähä korjailewat
weneitään; ne tahtowat he hywät ja hywät ne näkyiwät melkeen
wähillä poikkeuksilla olewankin; sillä lähteä huonolla weneellä
aawalle merelle, jossa äkkipikaa usein tyynestäkin wihurit nostawat
myrskyn, on sama kuin mennä tapposen tahallaan surman suuhun.
Wahinko wain että useammat suomalaiset sinne lähteneistä owat
warattomia, etteiwät jaksa hankkia itselleen omaa wenettä, mutta jos
werrataan nykyaikaa jo kuluneihin, esim. muuankaan tahi pari
kymmenkunta wuotta taa'päin, niin huomataan suuri edistys.
Muutamilla warakkailla on 2 jopa 3:kin wenettä, ja wähempikin
warainen, joka on jaksanut talon hommata itselleen, pyrkii
pyrkimälläkin hankkimaan lisäksi wenettä, joskohta ei kokonaista
jaksi, niin kumminkin puolet weneestä, ja toinen pienen talon mies
ottaa toiset puolet tehdäkseen. Nämä weneet eiwät näet olekaan sitä
kokoa kuin sisäjärwien soutuweneet, waan suuria, tawallisen lankku-
lotjan kokoisia, joita woisi kutsua jollakin laiwanimityksellä.
Suurimmat weneistä owat kaksimastoisia ja niitä kutsutaan Ruijan
kielellä »lysterbåtiksi»; niitä on harwalla suomalaisella. Useimmalla
on wähä pienempää kokoa wene, joka on yksimastoinen, ja
kutsutaan »fembörding» josta meikäläiset owat ottaneet niitä
kutsuakseen »wämpööriiksi»; se on sopiwin kala-wene merellä.
Wielä on myös monella »otrinki,» joka on pienin merellä kulkewista
weneistä; se on muuten rakennukselleen wämpöörin kaltainen.
Kaikissa näissä on perässä kajuuta, jossa on rautauuni, 2,3
reikäinen, pannuineen, patoineen, ja penkit owat naulatut seiniin
ympäriinsä. Koko talous on matkassa. Weneessä on tawallisesti. 4
miestä, joista yksi on weneen omistaja, kapteeni, ja toiset 3
osamiehiä saaliisen. Kalat jaetaan sopimuksen mukaan, kenties
enimmästi niin että wene saa puolet ja toinen puoli jaetaan tasan 4
miehelle. Jako tietysti on toisellainen, jos jollakin on osa weneessä,
tahi jos joku on toisen työssä, tahi pidetään huonompana
työmiehenä. Kowin huonoja työmiehiä sinne ei toki tulekaan, sillä se
on kaikille tietty asia, että joka näillä mailla ei itse elätä henkeään,
kuolkoon; ei auta täällä asetusten nojalla ruweta suurella suulla
waatiwaan itselleen laillista waiwais-eläkettä; ja jos joku tapaturman
kautta työhön kykenemättömäksi tullut sai hywiltä ihmisiltä köyhän
apua, kyllä se tiesi toisten armosta eläwänsä.
Toinen kala, jota suomalaiset myös pyytäwät, waikka

wähemmässä määrässä kuin turskaa, on saita. Se kala liikkuu
weden pinnalla, kun on pyydettäwissä, ja ui suurissa parwissa. Se
syö nimittäin pientä ewällistä eläwätä, jota kutsuiwat kalaksi,
waikt'eiwitt tienneet nimeä; se pieni eläwä on eräs molluski-laji, joka
nousee weden pinnalle wälistä. Saita-nuotta on nelis-nurkkuinen,
kuin huiwi, noin 15—22 syltä kanttiinsa, joka nurkkaan sidotaan
köysi 40—50 syltä pitkä. Kun huomataan saidan olewan liikkeellä,
wiedään tämä nuotta eteen, lasketaan weden pinnan alle ja
odotetaan siksikuin saitaparwi on uinut päälle, silloin wiskataan kiwiä
parwen keskelle, ja saita on sentapainen etta wähästäkin
melskeestä säikähdyttyänsä, menee pohjaan suoraan kwin kiwi.
Kuin kala weden pinnalta on painunut nuotan päälle, soudetaan
weneet yhteen ja nuotasta tehdään pussi, jonka pohjassa saitaparwi
kiehuu. Muita kaloja ei näin tukussa saada, eikä saata pyytääkään.
Jos Jäämeren kummallisia kaloja tahtoisin mainita, niin ottaisin
esimerkiksi Kunttipillarin (pikku horkkelin), jolla on monisarwinen pää
ja rintaewät leweät kuin siiwet; se on lentokalan näköön; eräs toinen
on tuo ilettäwän ruma Ronkeksi (wilukala), joka on limainen ja
täynnä kuhmuja, niinkuin olisi isossa rokossa.
Pian leweni sana tulostani merellä, ja miehet alkoiwat kokoontua

wähitellen kylään. Tosin en ketään ollut ennen nähnyt, mutta kyllä he
oliwat tutut, jopa toinen toistaan tutummat. Kuulumiset kysyttiin ja
selitettiin, kuuden wuoden kuulumiset. Kuka oli käskenyt sanoa
terweisiä Kuusamosta, kuka Pudasjärweltä, Oulusta, Näseestä; ne
tuliwat kaikki perille, ja kait oliwat yhtä lämpimiä, waikk'ei puoliakaan
nimenomaan muistettu. »Johan se kuuluu kuolleen, Snellmankin,
joka meitä täällä käwi opettamassa.» »Ei, sen nimellistä on monta
Suomessa, ja se Snellman, joka on kuollut, oli senaattori, ja suuri
Suomen kansallisuuden puollustaja, jonka tähden hänen
kuolemansa on kuulunut tänne asti.» »Wai wielä se Snellman elää
joka käwi täällä», wirkkoiwat emännät penkiltä, »entäs se kirktoherr
Thauwon». Oli heillä muistissa pappein wiime käynnit ja heidän
innokkaista kyselemisistänsä olisi outokin ymmärtänyt, että
Murmannin rannikon suomalaisille on se juhlia, kun Suomesta
lähetetään sinne pappi. Siellä on käynyt Iin nykyinen kirkkoherra
Johan Fredrik Thauwon Kuolajärweltä talwella 1870 ja Polangalta
kesillä 1871, 1872, 1873 ja 1874; ja myös Muhoksen nykyinen
kirkkoherra Gustaf Adolf Snellman Pudasjärweltä kesällä 1876,
jonka perästä ei pappia Suomesta ollut siellä käynyt.
Rippikoulussa oli 3 lapinlastakin; ryhdyin oppimaan tuota

lapsellista kieltä, mutta se ei ollutkaan niin helppoa kuin Norjan kieli
ruotsin taitawalle; wanha tulkki Abram Arpela oli kyllä apuna, mutta
ei hänkään osannut lausua noita waikeita kurkku-ääniä niinkuin
lapset; niiltä se sujui luontewusti. Hankaluutta lapinkielessä tekee se,
kun Norjalaiset owat kääntäneet ja painaneet heidän kirjansa, ja
kirjoittaneet kirjaimet oman kielensä mukaan. Jos suomalainen
oppinut olisi kirjoittanut heidän katkismuksensa, niin se olisi
lappalaisellekin helpompi oppia. Mutta jos oli haluakin saada wähä
oppia tätä kieltä esim. Luth. wäh. katkismuksen, niin ei ollut aikaa.
Aamusta iltaan oli asiamiehiä kylästä ja ympärillä olewista taloista ja
kodista. Uuran yöt oliwat sitte niin kauniit, että unonen wasta
myöhään, eli sanoakseni, warhain wasta aamulla tohti astua pikku
kamariimme, joka oli pohjoista kohden ja pikku akkunallaan tarkasti
kokoili yön auringon miedot säteet peräseinälle; ja ainoastaan sen
wähäisen hetken, kun aurinko siwuutti korkean wuoren kukkulan,
joka oli meistä pohjaan päin, oli tuo ystäwällinen päiwän paiste
matalalta peräseinältämme poissa, waan se saapui kohta jälleen ja
toi muassaan muistot kaukaa Sawon salmien rannoilta niistä
nukkujista, joiden lapsuuden wiattomuus lepää heidän kaswoillansa,
niinkuin puhdas, läpipuhdas päiwänpaiste.
Tawallisissa oloissa maataan pitkään aamusella. Jos 7 ja 8 wälillä

lähtee kylään käwelemään, niin ei näe ketään liikkeellä; kaikki on
yöunessaan; wasta 9 aikana ja wähää ennen alkaa wäki nousta.
Miehillä ei ole juuri mitään tekemistäkään kotona; »mutta mitäs
waimonpuolet tekewät kun olette itse kalassa», kysyin eräältä
isännältä; »juowat kahwia ja käywät kylässä», kuului lyhyt wastaus,
ja liki mailleenpa taisi sattuukin; olkoon kumminkin kaukana tässä
ruweta moittimis-lauseita heistä latelemaan; olot tekewät ihmisen
mukaiseksensa; mutta nyt kun suomalaiset owat hankkineet itselleen
lehmiä, lampaita, on emännillä niiden hoitamisessa ja ruuan
kokoamisessa koko työpaikka; joen warsilta kootaan heiniä, talon
ympärille lannoitetaan pikku niitty, jopa pikku pottumaakin, peuran
jäkäliä kankailta nyhdetään ja pannaan suuriin kokoihin, tuodaan
kotiinkin kesällä, turskan päitä kuiwataan, joita keitetään sitte
jäkälien kanssa hywiksi hauteiksi lehmille. Näissä töissä tietysti
miehet auttawat, kun owat kotona, ja erittäinkin syyspuoleen owat he
kyllä kotona. Willoista tehdään päällyswaatteita ja sukkia, muut pito-
waatteet ostetaan. On waimowäellä siis työtä, ja kun lukuun otetaan
se seikka wielä, että meren rannalle on waeltanut enempi
miehenpuolia kuin waimonpuolia, jonka wuoksi siellä on olemassa
puute waimonpuolisista ihmisistä ja moni mies, waikka todellakin
haluaisi ruweta perhe-elämään, näkee kumminkin täytywänsä olla
sitä wailla, ellei lähde Suomesta noutamaan waimoa itselleen, mikä
tietysti tulisi sangen kalliiksi — kun tämä waimowäen harwalukuisuus
tiedetään tosiasiaksi, niin arwaa myös, että heillä on sitä enemmän
työtä kyläpaikoissa, joissa monta tarwitsee heidän apuansa
leipomisessa, ruuan laittamisessa, waatteen korjaamisessa j.n.e.
Uuran ympärillä on petoeläimiäkin, karhuja ja susia. Uuran joen

suusta pari wenäjän wirstaa ylöspäin oli karhu wähää ennen meidän
tuloamme repinyt pahasti yhtä isäntää, joka oli witaksia mennyt
hakemaan. Yksi sormi oli kädessä aiwan poikki ja toisia oli
pureskeltu. Sudet tekewät lampaissa paljo häwiötä. Yhdestä talosta
oliwat niinikään wähää ennen tuloamme tappaneet 7 lammasta.
Ympäristöllä on jäniksiäkin, jotka syöwät heinäsuowat ja jäkäläko'ot
kylän reunalla. Lappalaiset pyytäwät kettuja, ampumalla ja muulla
pyyntikeinolla. Wahinkoa tekemät myös porot, kun laumoissa
laskeuwat sisätuntureilta meren rannalle. Yksin kartanon
ympärilläolewaa heinääkin ja muun kaswin warsia on waikea niiltä
warjella; niitetty heinä pannaan sentähden korkeille pylwäille
kuiwamaan ja säilymään poroilta. Pyydettäwää riistaa owat wielä
tawalliset ja tunturi-metsäkanat. Suomalainen ei aikaansa tuhraa
näiden metsästämiseen; rauhassa hältä sa lappalainen ja
kolttalainen wallita tunturien aawoja ylämaita, niinkuin he
wuosisatoja jo ennen owat tehneet. Kalastukseen on suomalainen
kyllä omiaan, ja kun hän rikkaan meren köyhälle rannalle saapuu,
katsoo hän ensi työkseen ympärilleen, missä wakaan jalansian
keksisi; hän rakentaa mökin itselleen, jos ei muusta, niin maan
turpeista; se on hänen kotinsa, johon hän meren epäwakaisilta
ilmoilta tulee lewon pitoon, niinkuin ennen kotimökkiinsä Suomen
salolla. Sitte on hänelle mieleen yhteis-elämä; yhden mökin wiereen
nousee toinen, ja kolmas; ja niin syntyy kylä. Mutta se on hänelle
wastenmielistä, kun ei ole yhteis-elämälle mitään lakia; kaswaneena
lakien suojelemassa yhteiskunnassa, kaipaa hän sywästi laillista
järjestystä ja sen walwojia; tässä on Murmannin rannikon
Suomalaisten kipein kohta. Sitä walittiwatkin jok'ainoassa kylässä.
Keskinäisille riidoille ei löydy mitään ratkaisijaa; mutta jos tämä puute
olisikin jotakuinkin kärsittäwissä, niin on suurin se, ettei löydy
tuomaria eri kansallisuuksien wälillä, erittäinkin wenäläisten ja
muiden. Wenäjän wirkamiehiä on tosin, mutta ne owat kaukana
Kuolassa, ja eiwät ymmärrä muuta kuin wenäjää. Näistäkin puhuttiin
samaa, mitä ylipäätään wirkamiehistä Wenäjällä, mutta sen puheen
perää en tietysti takaa. En ole mikään yleinen kanteen nostaja;
ainoastaan »relata resero» niinkuin wanhat Romalaiset sanoiwat,
s.o. kerron toisten kertomia.
Pohjois-wenäläiset owat wiime aikoina ruwenneet pitämään näitä

meren rannikoita yksinomaisena alusmaanaan; katsowat sentähden

3968ebook download CISM Certified Information Security Manager All-in-One Exam Guide, 2nd Edition Peter H. Gregory - eBook PDF all chapter

Uploaded by

Copyright:

Available Formats

You might also like

3968ebook download CISM Certified Information Security Manager All-in-One Exam Guide, 2nd Edition Peter H. Gregory - eBook PDF all chapter

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

3968ebook download CISM Certified Information Security Manager All-in-One Exam Guide, 2nd Edition Peter H. Gregory - eBook PDF all chapter

Uploaded by

Copyright:

Available Formats

CISM Certified Information Security

Manager All-in-One Exam Guide, 2nd

CISM Certified Information Security Manager All-in-One

Ccsp Certified Cloud Security Professional All-In-One

CCSP Certified Cloud Security Professional All-in-One

CC Certified in Cybersecurity All-in-One Exam Guide 1st

Google Cloud Certified Associate Cloud Engineer All-in-

CDPSE Certified Data Privacy Solutions Engineer All-in-

CompTIA Security+ All-in-One Exam Guide (Exam SY0-501)

GPEN GIAC Certified Penetration Tester All-in-One Exam

New York Chicago San Francisco

eBook conversion by codeMantra

About the Technical Editor

Part I Inormation Security Governance

Part II Inormation Security Risk Management

Part III Inormation Security Risk Management

Part IV Incident Management

Part V Appendix and Glossary

Part I Inormation Security Governance

Part II Inormation Security Risk Management

Part III Inormation Security Risk Management

Part IV Incident Management

Index ........................................................ 577

Purpose of This Book

How to Use This Book

Information Security vs. Cybersecurity

Changes to the CISM Job Practice

• Control architecture, implementation, and operation

Register Pay Exam Pass

Figure 1 The CISM certiication lie cycle (Source: Peter Gregory)

NOTE Although it is not recommended, a CISM candidate can take the

Direct Work Experience

Heti puolisten jälkeen kokoontuimat seudun suomalaiset

2 suomalaista lähti meille kantomiehilsi Uuraan. Alkutaimal

Kuolan wuonon kummallakin rannalla oli lapinkotia, 2 länsi- ja 1

Kuta etemmäksi päästiin, sitä hitaammaksi käwi matkanteko;

Keskiyön aikoihin noustiin wuoriseudun wiimeiselle korkealle

Jo edeltä puolenpäiwää kello 10 aikana herätettiin meidät sillä

kylästä oli samaten kaikki mieswäki kalassa, mutta heti tultuamme

Toinen kala, jota suomalaiset myös pyytäwät, waikka

Pian leweni sana tulostani merellä, ja miehet alkoiwat kokoontua

Rippikoulussa oli 3 lapinlastakin; ryhdyin oppimaan tuota

Tawallisissa oloissa maataan pitkään aamusella. Jos 7 ja 8 wälillä

Uuran ympärillä on petoeläimiäkin, karhuja ja susia. Uuran joen

Pohjois-wenäläiset owat wiime aikoina ruwenneet pitämään näitä

You might also like