Plan Szkolenia
Domena 1 — Zarządzanie bezpieczeństwem informacji (24%)
Ustanów i utrzymuj ramy zarządzania bezpieczeństwem informacji i procesy wspierające, aby zapewnić, że strategia bezpieczeństwa informacji jest zgodna z celami i zadaniami organizacji, ryzyko informacyjne jest odpowiednio zarządzane, a zasoby programu są zarządzane w sposób odpowiedzialny.
- 1.1 Ustanowienie i utrzymywanie strategii bezpieczeństwa informacji zgodnej z celami organizacyjnymi i zadaniami, które będą wytyczne dla ustanowienia i bieżącego zarządzania programem bezpieczeństwa informacji.
- 1.2 Ustanowić i utrzymywać ramy zarządzania bezpieczeństwem informacji, które będą wyznaczać kierunki działań wspierających strategię bezpieczeństwa informacji.
- 1.3 Zintegrować zarządzanie bezpieczeństwem informacji z ładem korporacyjnym, aby zapewnić, że cele i zadania organizacyjne są wspierane przez program bezpieczeństwa informacji.
- 1.4 Ustanawianie i utrzymywanie zasad bezpieczeństwa informacji w celu przekazywania dyrektyw kierownictwa oraz kierowania opracowywaniem standardów, procedur i wytycznych.
- 1.5 Opracuj uzasadnienia biznesowe w celu wsparcia inwestycji w bezpieczeństwo informacji.
- 1.6 Zidentyfikuj wewnętrzne i zewnętrzne wpływy na organizację (na przykład technologia, środowisko biznesowe, tolerancja ryzyka, lokalizacja geograficzna, wymagania prawne i regulacyjne), aby upewnić się, że czynniki te zostały uwzględnione w strategii bezpieczeństwa informacji.
- 1.7 Uzyskaj zaangażowanie ze strony kierownictwa wyższego szczebla i wsparcie od innych interesariuszy, aby zmaksymalizować prawdopodobieństwo pomyślnego wdrożenia strategii bezpieczeństwa informacji.
- 1.8 Zdefiniuj i zakomunikuj role i obowiązki związane z bezpieczeństwem informacji w całej organizacji, aby ustalić jasny zakres odpowiedzialności i zakres uprawnień.
- 1.9 Ustanawiaj, monitoruj, oceniaj i raportuj wskaźniki (na przykład kluczowe wskaźniki celu [KGI], kluczowe wskaźniki wydajności [KPI], kluczowe wskaźniki ryzyka [KRI]), aby zapewnić kierownictwu dokładne informacje dotyczące skuteczności strategii bezpieczeństwa informacji.
Domena 2 — Zarządzanie ryzykiem informacyjnym i zgodność (33%)
Zarządzaj ryzykiem informacyjnym do akceptowalnego poziomu, aby spełnić wymagania biznesowe i zgodności organizacji.
- 2.1 Ustanów i utrzymuj proces identyfikacji i klasyfikacji aktywów informacyjnych, aby zapewnić, że środki podjęte w celu ochrony aktywów są proporcjonalne do ich wartości biznesowej.
- 2.2 Identyfikacja wymagań prawnych, regulacyjnych, organizacyjnych i innych mających zastosowanie w celu zarządzania ryzykiem niezgodności do akceptowalnego poziomu.
- 2.3 Zapewnić regularne i spójne przeprowadzanie oceny ryzyka, analizy podatności i analizy zagrożeń w celu identyfikacji ryzyka dla informacji organizacji.
- 2.4 Określ i wdroż odpowiednie opcje postępowania z ryzykiem, aby zarządzać ryzykiem do akceptowalnego poziomu.
- 2.5 Ocenić środki kontroli bezpieczeństwa informacji, aby określić, czy są odpowiednie i skutecznie ograniczają ryzyko do akceptowalnego poziomu.
- 2.6 Zintegruj zarządzanie ryzykiem informacyjnym z procesami biznesowymi i informatycznymi (na przykład rozwojem, zaopatrzeniem, zarządzaniem projektami, fuzjami i przejęciami), aby promować spójny i kompleksowy proces zarządzania ryzykiem informacyjnym w całej organizacji.
- 2.7 Monitoruj istniejące ryzyko, aby zapewnić identyfikację zmian i odpowiednie zarządzanie nimi.
- 2.8 Zgłaszaj niezgodność i inne zmiany w ryzyku informacyjnym odpowiedniemu kierownictwu, aby pomóc w procesie decyzyjnym dotyczącym zarządzania ryzykiem.
Domena 3 — Rozwój i zarządzanie programem bezpieczeństwa informacji (25%)
Ustanów program bezpieczeństwa informacji i zarządzaj nim zgodnie ze strategią bezpieczeństwa informacji.
- 3.1 Ustanowienie i utrzymywanie programu bezpieczeństwa informacji zgodnie ze strategią bezpieczeństwa informacji.
- 3.2 Zapewnij zgodność programu bezpieczeństwa informacji z innymi funkcjami biznesowymi (na przykład zasobami ludzkimi [HR], księgowością, zaopatrzeniem i IT), aby wspierać integrację z procesami biznesowymi.
- 3.3 Identyfikować, pozyskiwać, zarządzać i definiować wymagania dotyczące zasobów wewnętrznych i zewnętrznych w celu realizacji programu bezpieczeństwa informacji.
- 3.4 Ustanawianie i utrzymywanie architektur bezpieczeństwa informacji (ludzi, procesów, technologii) w celu realizacji programu bezpieczeństwa informacji.
- 3.5 Ustanawiaj, komunikuj i utrzymuj standardy, procedury, wytyczne i inną dokumentację w zakresie bezpieczeństwa informacji organizacji, aby wspierać i kierować zgodnością z politykami bezpieczeństwa informacji.
- 3.6 Ustanowić i utrzymywać program podnoszenia świadomości i szkoleń w zakresie bezpieczeństwa informacji w celu promowania bezpiecznego środowiska i skutecznej kultury bezpieczeństwa.
- 3.7 Zintegruj wymagania dotyczące bezpieczeństwa informacji z procesami organizacyjnymi (na przykład kontrolą zmian, fuzjami i przejęciami, rozwojem, ciągłością działania, odzyskiwaniem po awarii), aby utrzymać podstawowy poziom bezpieczeństwa organizacji.
- 3.8 Zintegruj wymagania dotyczące bezpieczeństwa informacji z umowami i działaniami podmiotów trzecich (na przykład spółek joint venture, dostawców zewnętrznych, partnerów biznesowych, klientów), aby utrzymać podstawowy poziom bezpieczeństwa organizacji.
- 3.9 Ustanawiaj, monitoruj i okresowo raportuj wskaźniki zarządzania programem i wskaźniki operacyjne w celu oceny skuteczności i wydajności programu bezpieczeństwa informacji.
Domena 4 — Zarządzanie incydentami bezpieczeństwa informacji (18%)
Planuj, ustanawiaj i zarządzaj możliwością wykrywania, badania, reagowania i odzyskiwania danych po incydentach związanych z bezpieczeństwem informacji, aby zminimalizować wpływ na działalność biznesową.
- 4.1 Ustanowić i utrzymywać proces klasyfikacji i kategoryzacji incydentów związanych z bezpieczeństwem informacji, aby umożliwić dokładną identyfikację incydentów i reagowanie na nie.
- 4.2 Ustanawia, utrzymuje i dostosowuje plan reagowania na incydenty do planu ciągłości działania i planu odzyskiwania po awarii, aby zapewnić skuteczną i terminową reakcję na incydenty związane z bezpieczeństwem informacji.
- 4.3 Opracować i wdrożyć procesy zapewniające terminową identyfikację incydentów związanych z bezpieczeństwem informacji.
- 4.4 Ustanowić i utrzymywać procesy badania i dokumentowania incydentów związanych z bezpieczeństwem informacji, aby móc odpowiednio reagować i ustalać ich przyczyny, przestrzegając wymogów prawnych, regulacyjnych i organizacyjnych.
- 4.5 Ustanów i utrzymuj procesy obsługi incydentów, aby zapewnić zaangażowanie odpowiednich interesariuszy w zarządzanie reagowaniem na incydenty.
- 4.6 Organizuj, szkol i wyposażaj zespoły, aby skutecznie i terminowo reagowały na incydenty związane z bezpieczeństwem informacji.
- 4.7 Okresowo testuj i przeglądaj plany zarządzania incydentami, aby zapewnić skuteczną reakcję na incydenty związane z bezpieczeństwem informacji i poprawić możliwości reagowania.
- 4.8 Ustanawianie i utrzymywanie planów i procesów komunikacyjnych w celu zarządzania komunikacją z podmiotami wewnętrznymi i zewnętrznymi.
- 4.9 Przeprowadzaj przeglądy po incydencie, aby określić pierwotną przyczynę incydentów związanych z bezpieczeństwem informacji, opracować działania naprawcze, ponownie ocenić ryzyko, ocenić skuteczność reakcji i podjąć odpowiednie działania zaradcze.
- 4.10 Ustanowienie i utrzymanie integracji planu reagowania na incydenty, planu odzyskiwania po awarii i planu ciągłości działania.
Wymagania
Nie ma ustalonych wymagań wstępnych dla tego kursu. ISACA wymaga co najmniej pięciu lat doświadczenia zawodowego w zakresie bezpieczeństwa informacji, aby zakwalifikować się do pełnej certyfikacji. Możesz przystąpić do egzaminu CISM przed spełnieniem wymagań ISACA dotyczących doświadczenia, ale kwalifikacja CISM jest przyznawana po spełnieniu wymagań dotyczących doświadczenia. Nie ma jednak żadnych ograniczeń w uzyskaniu certyfikatu na wczesnych etapach kariery i rozpoczęciu praktykowania globalnie akceptowanych praktyk zarządzania bezpieczeństwem informacji.
Opinie uczestników (7)
Sposób otrzymywania informacji od trenera
Mohamed Romdhani - Shams Power
Szkolenie - CISM - Certified Information Security Manager
Przetłumaczone przez sztuczną inteligencję
Podobało mi się tempo i sposób przedstawiania informacji. Również struktura i przerwy były bardzo jasne. Dla mnie idealnie!
Martin - EY GLOBAL SERVICES (POLAND) SP Z O O
Szkolenie - CISM - Certified Information Security Manager
Przetłumaczone przez sztuczną inteligencję
W jaki sposób wchodził w interakcje z nami, uczestnikami szkolenia CISM?
Aleksandra - EY GLOBAL SERVICES (POLAND) SP Z O O
Szkolenie - CISM - Certified Information Security Manager
Przetłumaczone przez sztuczną inteligencję
Przykłady z życia wzięte i filmy wspierające szkolenie.
Lukasz Matusz - EY GLOBAL SERVICES (POLAND) SP Z O O
Szkolenie - CISM - Certified Information Security Manager
Przetłumaczone przez sztuczną inteligencję
Przejrzenie pytań i wyjaśnień dotyczących logiki ISACA
Joanna - EY GLOBAL SERVICES (POLAND) SP Z O O
Szkolenie - CISM - Certified Information Security Manager
Przetłumaczone przez sztuczną inteligencję
The trainer has a really good knowledge, clear English speech and explains everything in detail, draws schemes and provides documentation.
Rafal Kawalek - EY GLOBAL SERVICES (POLAND) SP Z O O
Szkolenie - CISM - Certified Information Security Manager
Knowledge of the trainer and the way he have delivered it. He was very interactive and kept the audience engaged.