Kurzusleírás
1. tartomány – információbiztonság Governance (24%)
Létre kell hozni és fenntartani az információbiztonsági irányítási keretrendszert és a támogató folyamatokat annak érdekében, hogy az információbiztonsági stratégia összhangban legyen a szervezeti célokkal és célkitűzésekkel, az információs kockázatok megfelelő kezelése és a programerőforrások felelősségteljes kezelése.
- 1.1 A szervezeti célokhoz és célkitűzésekhez igazodó információbiztonsági stratégia kialakítása és fenntartása, amely az információbiztonsági program létrehozását és folyamatos irányítását irányítja.
- 1.2 Az információbiztonsági stratégiát támogató tevékenységek irányítására információbiztonsági irányítási keretrendszer létrehozása és fenntartása.
- 1.3 Az információbiztonsági irányítás integrálása a vállalatirányításba annak biztosítása érdekében, hogy a szervezeti célokat és célkitűzéseket az információbiztonsági program támogassa.
- 1.4 Információbiztonsági politikák létrehozása és fenntartása a menedzsment utasításainak kommunikálására, valamint a szabványok, eljárások és irányelvek kidolgozásának irányítására.
- 1.5 Üzleti esetek kidolgozása az információbiztonságba történő beruházások támogatására.
- 1.6 Azonosítsa a szervezetet érő belső és külső hatásokat (például technológia, üzleti környezet, kockázattűrés, földrajzi elhelyezkedés, jogi és szabályozási követelmények), hogy az információbiztonsági stratégia ezeket a tényezőket kezelje.
- 1.7 Szerezzen elkötelezettséget a felső vezetéstől és támogatást más érdekelt felektől, hogy maximalizálja az információbiztonsági stratégia sikeres megvalósításának valószínűségét.
- 1.8 Határozza meg és kommunikálja az információbiztonság szerepeit és felelősségeit az egész szervezeten belül, hogy egyértelmű felelősségi köröket és hatásköröket hozzon létre.
- 1.9 Hozzon létre, figyeljen, értékeljen és jelentsen jelentést (például kulcsfontosságú célmutatók [KGI-k], kulcsfontosságú teljesítménymutatók [KPI-k], kulcsfontosságú kockázati mutatók [KRI-k]), hogy a vezetés pontos információkat kapjon az információbiztonsági stratégia hatékonyságáról.
2. tartomány – Információs kockázat Management és megfelelőség (33%)
Kezelje az információs kockázatot elfogadható szintre, hogy megfeleljen a szervezet üzleti és megfelelőségi követelményeinek.
- 2.1 Létre kell hozni és fenntartani az információs vagyon azonosítására és besorolására vonatkozó folyamatot annak biztosítása érdekében, hogy az eszközök védelmére hozott intézkedések arányosak legyenek azok üzleti értékével.
- 2.2 Határozza meg a jogi, szabályozási, szervezeti és egyéb alkalmazandó követelményeket a meg nem felelés kockázatának elfogadható szintre történő kezelésére.
- 2.3 Biztosítani kell, hogy a kockázatértékeléseket, a sebezhetőség-értékeléseket és a fenyegetéselemzéseket rendszeresen és következetesen elvégezzék a szervezet információit érintő kockázatok azonosítása érdekében.
- 2.4 Megfelelő kockázatkezelési lehetőségek meghatározása és végrehajtása a kockázat elfogadható szintre történő kezelésére.
- 2.5 Értékelje az információbiztonsági ellenőrzéseket annak megállapítására, hogy megfelelőek-e, és hatékonyan csökkentik-e a kockázatot elfogadható szintre.
- 2.6 Integrálja az információs kockázatkezelést az üzleti és informatikai folyamatokba (például fejlesztés, beszerzés, projektmenedzsment, egyesülések és felvásárlások), hogy elősegítse a következetes és átfogó információs kockázatkezelési folyamatot a szervezetben.
- 2.7 Kövesse nyomon a meglévő kockázatokat, hogy biztosítsa a változások azonosítását és megfelelő kezelését.
- 2.8 Jelentse a megfelelő menedzsmentnek a nem megfelelőséget és az információs kockázat egyéb változásait, hogy segítse a kockázatkezelési döntéshozatali folyamatot.
3. tartomány – információbiztonsági programfejlesztés és Management (25%)
Létrehozza és kezelje az információbiztonsági programot az információbiztonsági stratégiával összhangban.
- 3.1 Az információbiztonsági stratégiához igazodó információbiztonsági program létrehozása és fenntartása.
- 3.2 Az információbiztonsági program és más üzleti funkciók (például humánerőforrás [HR], számvitel, beszerzés és IT) összehangolásának biztosítása az üzleti folyamatokkal való integráció támogatása érdekében.
- 3.3 Az információbiztonsági program végrehajtásához szükséges belső és külső erőforrások azonosítása, beszerzése, kezelése és követelmények meghatározása.
- 3.4 Az információbiztonsági program végrehajtásához információbiztonsági architektúrákat (emberek, folyamatok, technológia) hozzon létre és tartson fenn.
- 3.5 Szervezeti információbiztonsági szabványok, eljárások, iránymutatások és egyéb dokumentáció létrehozása, kommunikálása és karbantartása az információbiztonsági irányelveknek való megfelelés támogatására és irányítására.
- 3.6 A biztonságos környezet és a hatékony biztonsági kultúra előmozdítása érdekében információbiztonsági tudatosságot és képzést célzó program létrehozása és fenntartása.
- 3.7 Integrálja az információbiztonsági követelményeket a szervezeti folyamatokba (például változásvezérlés, egyesülések és felvásárlások, fejlesztés, üzletmenet-folytonosság, katasztrófa utáni helyreállítás), hogy fenntartsa a szervezet biztonsági alaphelyzetét.
- 3.8 Az információbiztonsági követelmények beépítése harmadik felek (például vegyesvállalatok, kiszervezett szolgáltatók, üzleti partnerek, ügyfelek) szerződéseibe és tevékenységeibe a szervezet biztonsági alaphelyzetének fenntartása érdekében.
- 3.9 Az információbiztonsági program eredményességének és eredményességének értékelése érdekében programkezelési és működési mérőszámok létrehozása, monitorozása és időszakonkénti jelentése.
4. tartomány – információbiztonsági incidens Management (18%)
Tervezze meg, hozza létre és kezelje az információbiztonsági incidensek észlelésének, kivizsgálásának, reagálásának és helyreállításának képességét az üzleti hatások minimalizálása érdekében.
- 4.1 Létre kell hozni és fenntartani az információbiztonsági események besorolási és kategorizálási folyamatát, amely lehetővé teszi az incidensek pontos azonosítását és az azokra való reagálást.
- 4.2 Az információbiztonsági incidensekre adott hatékony és kellő időben történő reagálás biztosítása érdekében incidensreagálási tervet kell létrehozni, karbantartani és összehangolni az üzletmenet-folytonossági tervvel és a katasztrófa-helyreállítási tervvel.
- 4.3 Az információbiztonsági incidensek időben történő azonosítását biztosító folyamatok kidolgozása és végrehajtása.
- 4.4 Folyamatok létrehozása és fenntartása az információbiztonsági incidensek kivizsgálására és dokumentálására, hogy megfelelően reagálhassunk és meghatározzuk azok okait, miközben betartjuk a jogi, szabályozási és szervezeti követelményeket.
- 4.5 Az incidenskezelési folyamatok létrehozása és fenntartása annak biztosítása érdekében, hogy a megfelelő érdekelt felek részt vegyenek az incidensreagálás kezelésében.
- 4.6 Csapatok megszervezése, képzése és felszerelése, hogy hatékonyan és időben reagáljanak az információbiztonsági incidensekre.
- 4.7 Rendszeresen tesztelje és tekintse át az incidenskezelési terveket az információbiztonsági incidensekre adott hatékony válasz biztosítása és a reagálási képességek javítása érdekében.
- 4.8 Kommunikációs tervek és folyamatok létrehozása és fenntartása a belső és külső entitásokkal való kommunikáció kezelésére.
- 4.9 Az incidensek utáni felülvizsgálatok elvégzése az információbiztonsági incidensek kiváltó okának meghatározására, a korrekciós intézkedések kidolgozására, a kockázatok újraértékelésére, a válaszlépések hatékonyságának értékelésére és a megfelelő korrekciós intézkedések megtételére.
- 4.10 Az incidensreagálási terv, a katasztrófa-helyreállítási terv és az üzletmenet-folytonossági terv integrációjának létrehozása és fenntartása.
Követelmények
Ennek a kurzusnak nincs meghatározott előfeltétele. Az ISACA legalább ötéves szakmai információbiztonsági munkatapasztalatot igényel a teljes tanúsítvány megszerzéséhez. A CISM vizsgát az ISACA tapasztalati követelményeinek teljesítése előtt is leteheti, de a CISM minősítést a tapasztalati követelmények teljesítése után adják meg. Mindazonáltal nincs korlátozás abban, hogy karrierje korai szakaszában szerezzen tanúsítványt, és kezdje el a globálisan elfogadott információbiztonság-kezelési gyakorlatok gyakorlását.
Vélemények (7)
Az információ átvételének módja az oktatótól
Mohamed Romdhani - Shams Power
Kurzus - CISM - Certified Information Security Manager
Gépi fordítás
Tetszett az információszolgáltatás tempója és módja. A szerkezet és a szünetek is nagyon világosak voltak. Számomra tökéletes!
Martin - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurzus - CISM - Certified Information Security Manager
Gépi fordítás
Hogyan kommunikált velünk, a CISM tréning résztvevőivel
Aleksandra - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurzus - CISM - Certified Information Security Manager
Gépi fordítás
Életből vett példák és az edzést támogató videók.
Lukasz Matusz - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurzus - CISM - Certified Information Security Manager
Gépi fordítás
Az ISACA logika kérdéseinek és magyarázatának áttekintése
Joanna - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurzus - CISM - Certified Information Security Manager
Gépi fordítás
The trainer has a really good knowledge, clear English speech and explains everything in detail, draws schemes and provides documentation.
Rafal Kawalek - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurzus - CISM - Certified Information Security Manager
Knowledge of the trainer and the way he have delivered it. He was very interactive and kept the audience engaged.