Plan Szkolenia

Domena 1 — bezpieczeństwo informacji Goweryfikacja (24%)

Ustanów i utrzymuj ramy zarządzania bezpieczeństwem informacji i procesy wspierające, aby zapewnić, że strategia bezpieczeństwa informacji jest zgodna z celami i zadaniami organizacji, ryzyko informacyjne jest odpowiednio zarządzane, a zasoby programu są zarządzane w sposób odpowiedzialny.

  • 1.1 Ustanowienie i utrzymywanie strategii bezpieczeństwa informacji zgodnej z celami organizacyjnymi i zadaniami, które będą wytyczne dla ustanowienia i bieżącego zarządzania programem bezpieczeństwa informacji.
  • 1.2 Ustanowić i utrzymywać ramy zarządzania bezpieczeństwem informacji, które będą wyznaczać kierunki działań wspierających strategię bezpieczeństwa informacji.
  • 1.3 Zintegrować zarządzanie bezpieczeństwem informacji z ładem korporacyjnym, aby zapewnić, że cele i zadania organizacyjne są wspierane przez program bezpieczeństwa informacji.
  • 1.4 Ustanawianie i utrzymywanie polityk bezpieczeństwa informacji w celu przekazywania dyrektyw kierownictwa i wyznaczania kierunków rozwoju standardów, procedur i wytycznych.
  • 1.5 Opracuj uzasadnienia biznesowe w celu wsparcia inwestycji w bezpieczeństwo informacji.
  • 1.6 Zidentyfikuj wewnętrzne i zewnętrzne wpływy na organizację (na przykład technologia, środowisko biznesowe, tolerancja ryzyka, lokalizacja geograficzna, wymagania prawne i regulacyjne), aby upewnić się, że czynniki te zostały uwzględnione w strategii bezpieczeństwa informacji.
  • 1.7 Uzyskaj zaangażowanie ze strony kierownictwa wyższego szczebla i wsparcie od innych interesariuszy, aby zmaksymalizować prawdopodobieństwo pomyślnego wdrożenia strategii bezpieczeństwa informacji.
  • 1.8 Zdefiniuj i zakomunikuj role i obowiązki związane z bezpieczeństwem informacji w całej organizacji, aby ustalić jasny zakres odpowiedzialności i zakres uprawnień.
  • 1.9 Ustanawiaj, monitoruj, oceniaj i raportuj wskaźniki (na przykład kluczowe wskaźniki celu [KGI], kluczowe wskaźniki wydajności [KPI], kluczowe wskaźniki ryzyka [KRI]), aby zapewnić kierownictwu dokładne informacje dotyczące skuteczności strategii bezpieczeństwa informacji.

Domena 2 — ryzyko informacyjne Management i zgodność (33%)

Zarządzaj ryzykiem informacyjnym do akceptowalnego poziomu, aby spełnić wymagania biznesowe i zgodności organizacji.

  • 2.1 Ustanów i utrzymuj proces identyfikacji i klasyfikacji aktywów informacyjnych, aby zapewnić, że środki podjęte w celu ochrony aktywów są proporcjonalne do ich wartości biznesowej.
  • 2.2 Identyfikacja wymagań prawnych, regulacyjnych, organizacyjnych i innych mających zastosowanie w celu zarządzania ryzykiem niezgodności do akceptowalnego poziomu.
  • 2.3 Zapewnij, że oceny ryzyka, oceny podatności i analizy zagrożeń są przeprowadzane okresowo i konsekwentnie w celu zidentyfikowania ryzyka dla informacji organizacji.
  • 2.4 Określ i wdroż odpowiednie opcje postępowania z ryzykiem, aby zarządzać ryzykiem do akceptowalnego poziomu.
  • 2.5 Ocenić środki kontroli bezpieczeństwa informacji, aby określić, czy są odpowiednie i skutecznie ograniczają ryzyko do akceptowalnego poziomu.
  • 2.6 Zintegruj zarządzanie ryzykiem informacyjnym z procesami biznesowymi i informatycznymi (na przykład rozwojem, zaopatrzeniem, zarządzaniem projektami, fuzjami i przejęciami), aby promować spójny i kompleksowy proces zarządzania ryzykiem informacyjnym w całej organizacji.
  • 2.7 Monitoruj istniejące ryzyko, aby zapewnić identyfikację zmian i odpowiednie zarządzanie nimi.
  • 2.8 Zgłaszaj niezgodność i inne zmiany w ryzyku informacyjnym odpowiedniemu kierownictwu, aby pomóc w procesie decyzyjnym dotyczącym zarządzania ryzykiem.

Dziedzina 3 — Opracowanie programu bezpieczeństwa informacji i Management (25%)

Ustanów program bezpieczeństwa informacji i zarządzaj nim zgodnie ze strategią bezpieczeństwa informacji.

  • 3.1 Ustanowienie i utrzymywanie programu bezpieczeństwa informacji zgodnie ze strategią bezpieczeństwa informacji.
  • 3.2 Zapewnij zgodność programu bezpieczeństwa informacji z innymi funkcjami biznesowymi (na przykład zasobami ludzkimi [HR], księgowością, zaopatrzeniem i IT), aby wspierać integrację z procesami biznesowymi.
  • 3.3 Identyfikować, pozyskiwać, zarządzać i definiować wymagania dotyczące zasobów wewnętrznych i zewnętrznych w celu realizacji programu bezpieczeństwa informacji.
  • 3.4 Ustanawianie i utrzymywanie architektur bezpieczeństwa informacji (ludzi, procesów, technologii) w celu realizacji programu bezpieczeństwa informacji.
  • 3.5 Ustanawiaj, komunikuj i utrzymuj standardy, procedury, wytyczne i inną dokumentację w zakresie bezpieczeństwa informacji organizacji, aby wspierać i kierować zgodnością z politykami bezpieczeństwa informacji.
  • 3.6 Ustanowić i utrzymywać program podnoszenia świadomości i szkoleń w zakresie bezpieczeństwa informacji w celu promowania bezpiecznego środowiska i skutecznej kultury bezpieczeństwa.
  • 3.7 Zintegruj wymagania dotyczące bezpieczeństwa informacji z procesami organizacyjnymi (na przykład kontrolą zmian, fuzjami i przejęciami, rozwojem, ciągłością działania, odzyskiwaniem po awarii), aby utrzymać podstawowy poziom bezpieczeństwa organizacji.
  • 3.8 Integruj wymogi bezpieczeństwa informacji z umowami i działaniami stron trzecich (na przykład wspólnych przedsięwzięć, zewnętrznych dostawców, partnerów biznesowych, klientów), aby utrzymać podstawowy poziom bezpieczeństwa organizacji.
  • 3.9 Ustanawiaj, monitoruj i okresowo raportuj wskaźniki zarządzania programem i wskaźniki operacyjne w celu oceny skuteczności i wydajności programu bezpieczeństwa informacji.

Domena 4 — incydent związany z bezpieczeństwem informacji Management (18%)

Planuj, ustanawiaj i zarządzaj możliwością wykrywania, badania, reagowania i odzyskiwania danych po incydentach związanych z bezpieczeństwem informacji, aby zminimalizować wpływ na działalność biznesową.

  • 4.1 Ustanowić i utrzymywać proces klasyfikacji i kategoryzacji incydentów związanych z bezpieczeństwem informacji, aby umożliwić dokładną identyfikację incydentów i reagowanie na nie.
  • 4.2 Ustanawia, utrzymuje i dostosowuje plan reagowania na incydenty do planu ciągłości działania i planu odzyskiwania po awarii, aby zapewnić skuteczną i terminową reakcję na incydenty związane z bezpieczeństwem informacji.
  • 4.3 Opracować i wdrożyć procesy zapewniające terminową identyfikację incydentów związanych z bezpieczeństwem informacji.
  • 4.4 Ustanowić i utrzymywać procesy badania i dokumentowania incydentów związanych z bezpieczeństwem informacji, aby móc odpowiednio reagować i ustalać ich przyczyny, przestrzegając wymogów prawnych, regulacyjnych i organizacyjnych.
  • 4.5 Ustanów i utrzymuj procesy obsługi incydentów, aby zapewnić zaangażowanie odpowiednich interesariuszy w zarządzanie reagowaniem na incydenty.
  • 4.6 Organizuj, szkol i wyposażaj zespoły, aby skutecznie i terminowo reagowały na incydenty związane z bezpieczeństwem informacji.
  • 4.7 Okresowo testuj i przeglądaj plany zarządzania incydentami, aby zapewnić skuteczną reakcję na incydenty związane z bezpieczeństwem informacji i poprawić możliwości reagowania.
  • 4.8 Ustanawianie i utrzymywanie planów i procesów komunikacyjnych w celu zarządzania komunikacją z podmiotami wewnętrznymi i zewnętrznymi.
  • 4.9 Przeprowadzaj przeglądy po incydencie, aby określić pierwotną przyczynę incydentów związanych z bezpieczeństwem informacji, opracować działania naprawcze, ponownie ocenić ryzyko, ocenić skuteczność reakcji i podjąć odpowiednie działania zaradcze.
  • 4.10 Ustanowienie i utrzymanie integracji planu reagowania na incydenty, planu odzyskiwania po awarii i planu ciągłości działania.

Wymagania

Nie ma ustalonych wymagań wstępnych dla tego kursu. ISACA wymaga co najmniej pięcioletniego doświadczenia zawodowego w zakresie bezpieczeństwa informacji, aby zakwalifikować się do pełnej certyfikacji. Do egzaminu CISM można przystąpić przed spełnieniem wymagań ISACA dotyczących doświadczenia, ale kwalifikacja CISM jest przyznawana po spełnieniu wymagań dotyczących doświadczenia. Nie ma jednak żadnych ograniczeń w uzyskaniu certyfikatu na wczesnych etapach kariery i rozpoczęciu stosowania globalnie akceptowanych praktyk zarządzania bezpieczeństwem informacji.

 28 godzin

Liczba uczestników



Cena za uczestnika

Opinie uczestników (4)

Powiązane Kategorie