Schița de curs

Domeniul 1—Securitatea informațiilor Governanță (24%)

Stabiliți și mențineți un cadru de guvernanță a securității informațiilor și procese de sprijin pentru a vă asigura că strategia de securitate a informațiilor este aliniată cu scopurile și obiectivele organizaționale, riscul informațional este gestionat în mod corespunzător și resursele programului sunt gestionate în mod responsabil.

  • 1.1 Stabilirea și menținerea unei strategii de securitate a informațiilor în conformitate cu scopurile și obiectivele organizaționale pentru a ghida stabilirea și gestionarea continuă a programului de securitate a informațiilor.
  • 1.2 Stabilirea și menținerea unui cadru de guvernanță a securității informațiilor pentru a ghida activitățile care sprijină strategia de securitate a informațiilor.
  • 1.3 Integrarea guvernanței securității informațiilor în guvernanța corporativă pentru a se asigura că scopurile și obiectivele organizaționale sunt susținute de programul de securitate a informațiilor.
  • 1.4 Stabilirea și menținerea politicilor de securitate a informațiilor pentru a comunica directivele managementului și pentru a ghida dezvoltarea standardelor, procedurilor și liniilor directoare.
  • 1.5 Dezvoltarea cazurilor de afaceri pentru a sprijini investițiile în securitatea informațiilor.
  • 1.6 Identificați influențele interne și externe ale organizației (de exemplu, tehnologie, mediul de afaceri, toleranța la risc, locația geografică, cerințele legale și de reglementare) pentru a vă asigura că acești factori sunt abordați de strategia de securitate a informațiilor.
  • 1.7 Obțineți angajament din partea conducerii superioare și sprijin din partea altor părți interesate pentru a maximiza probabilitatea implementării cu succes a strategiei de securitate a informațiilor.
  • 1.8 Definiți și comunicați rolurile și responsabilitățile securității informațiilor în întreaga organizație pentru a stabili responsabilități și linii de autoritate clare.
  • 1.9 Stabiliți, monitorizați, evaluați și raportați indicatori (de exemplu, indicatori cheie de obiectiv [KGI], indicatori cheie de performanță [KPI], indicatori cheie de risc [KRI]) pentru a furniza managementului informații exacte cu privire la eficacitatea strategiei de securitate a informațiilor.

Domeniul 2 — Riscul informațional Management și conformitatea (33%)

Gestionați riscul informațional la un nivel acceptabil pentru a îndeplini cerințele de afaceri și de conformitate ale organizației.

  • 2.1 Stabilirea și menținerea unui proces de identificare și clasificare a activelor de informații pentru a se asigura că măsurile luate pentru protejarea activelor sunt proporționale cu valoarea lor de afaceri.
  • 2.2 Identificați cerințele legale, de reglementare, organizaționale și alte cerințe aplicabile pentru a gestiona riscul de neconformitate la niveluri acceptabile.
  • 2.3 Asigurați-vă că evaluările riscurilor, evaluările vulnerabilității și analizele amenințărilor sunt efectuate periodic și în mod consecvent pentru a identifica riscul pentru informațiile organizației.
  • 2.4 Determinarea și implementarea opțiunilor adecvate de tratare a riscurilor pentru a gestiona riscul la niveluri acceptabile.
  • 2.5 Evaluați controalele de securitate a informațiilor pentru a determina dacă acestea sunt adecvate și pentru a reduce în mod eficient riscul la un nivel acceptabil.
  • 2.6 Integrarea managementului riscului informațional în procesele de afaceri și IT (de exemplu, dezvoltare, achiziții, management de proiect, fuziuni și achiziții) pentru a promova un proces consecvent și cuprinzător de gestionare a riscului informațional în întreaga organizație.
  • 2.7 Monitorizați riscul existent pentru a vă asigura că schimbările sunt identificate și gestionate corespunzător.
  • 2.8 Raportați neconformitatea și alte modificări ale riscului informațional către conducerea adecvată pentru a ajuta procesul de luare a deciziilor privind managementul riscului.

Domeniul 3 — Dezvoltarea programului de securitate a informațiilor și Management (25%)

Stabiliți și gestionați programul de securitate a informațiilor în conformitate cu strategia de securitate a informațiilor.

  • 3.1 Stabilirea și menținerea programului de securitate a informațiilor în conformitate cu strategia de securitate a informațiilor.
  • 3.2 Asigurarea alinierii între programul de securitate a informațiilor și alte funcții de afaceri (de exemplu, resurse umane [HR], contabilitate, achiziții și IT) pentru a sprijini integrarea cu procesele de afaceri.
  • 3.3 Identificați, achiziționați, gestionați și definiți cerințele pentru resursele interne și externe pentru a executa programul de securitate a informațiilor.
  • 3.4 Stabilirea și menținerea arhitecturilor de securitate a informațiilor (oameni, procese, tehnologie) pentru a executa programul de securitate a informațiilor.
  • 3.5 Să stabilească, să comunice și să mențină standardele, procedurile, liniile directoare și alte documente de securitate organizaționale pentru a susține și ghida conformitatea cu politicile de securitate a informațiilor.
  • 3.6 Stabilirea și menținerea unui program de conștientizare și formare în domeniul securității informațiilor pentru a promova un mediu sigur și o cultură de securitate eficientă.
  • 3.7 Integrarea cerințelor de securitate a informațiilor în procesele organizaționale (de exemplu, controlul schimbărilor, fuziuni și achiziții, dezvoltare, continuitatea activității, recuperarea în caz de dezastru) pentru a menține linia de bază de securitate a organizației.
  • 3.8 Integrarea cerințelor de securitate a informațiilor în contractele și activitățile terților (de exemplu, asociații mixte, furnizori externalizați, parteneri de afaceri, clienți) pentru a menține nivelul de bază de securitate al organizației.
  • 3.9 Stabiliți, monitorizați și raportați periodic managementul programului și metricile operaționale pentru a evalua eficacitatea și eficiența programului de securitate a informațiilor.

Domeniul 4 — Incident de securitate a informațiilor Management (18%)

Planificați, stabiliți și gestionați capacitatea de a detecta, investiga, răspunde și recupera incidentele de securitate a informațiilor pentru a minimiza impactul asupra afacerii.

  • 4.1 Stabiliți și mențineți un proces de clasificare și clasificare a incidentelor de securitate a informațiilor pentru a permite identificarea precisă și răspunsul la incidente.
  • 4.2 Stabiliți, mențineți și aliniați planul de răspuns la incident cu planul de continuitate a activității și cu planul de recuperare în caz de dezastru pentru a asigura un răspuns eficient și în timp util la incidentele de securitate a informațiilor.
  • 4.3 Dezvoltarea și implementarea proceselor pentru a asigura identificarea în timp util a incidentelor de securitate a informațiilor.
  • 4.4 Stabilirea și menținerea proceselor de investigare și documentare a incidentelor de securitate a informațiilor pentru a putea răspunde în mod corespunzător și determina cauzele acestora, respectând în același timp cerințele legale, de reglementare și organizaționale.
  • 4.5 Stabilirea și menținerea proceselor de tratare a incidentelor pentru a se asigura că părțile interesate adecvate sunt implicate în gestionarea răspunsului la incident.
  • 4.6 Organizați, instruiți și echipați echipele pentru a răspunde eficient incidentelor de securitate a informațiilor în timp util.
  • 4.7 Testați și revizuiți periodic planurile de management al incidentelor pentru a asigura un răspuns eficient la incidentele de securitate a informațiilor și pentru a îmbunătăți capacitățile de răspuns.
  • 4.8 Stabilirea și menținerea planurilor și proceselor de comunicare pentru a gestiona comunicarea cu entitățile interne și externe.
  • 4.9 Efectuați evaluări post-incident pentru a determina cauza principală a incidentelor de securitate a informațiilor, a dezvolta acțiuni corective, a reevalua riscul, a evalua eficacitatea răspunsului și a lua măsuri de remediere adecvate.
  • 4.10 Stabilirea și menținerea integrării între planul de răspuns la incident, planul de recuperare în caz de dezastru și planul de continuitate a afacerii.

Cerințe

Nu există nicio cerință prealabilă stabilită pentru acest curs. ISACA necesită un minim de cinci ani' experiență profesională în domeniul securității informațiilor pentru a se califica pentru o certificare completă. Puteți susține examenul CISM înainte de a îndeplini cerințele de experiență ale ISACA, dar calificarea CISM este acordată după ce ați îndeplinit cerințele de experiență. Cu toate acestea, nu există nicio restricție în a vă certifica în primele etape ale carierei și a începe să practicați practicile de management al securității informațiilor acceptate la nivel global.

 28 ore

Mărturii (5)

Categorii înrudite