Schulungsübersicht
Bereich 1-Informationssicherheit Governance (24%)
Aufbau und Pflege eines Informationssicherheits-Governance-Rahmens und unterstützender Prozesse, um sicherzustellen, dass die Informationssicherheitsstrategie mit den Unternehmenszielen übereinstimmt, das Informationsrisiko angemessen verwaltet wird und die Programmressourcen verantwortungsvoll verwaltet werden.
- 1.1 Erstellung und Pflege einer Informationssicherheitsstrategie, die mit den Zielen der Organisation übereinstimmt, um die Einrichtung und laufende Verwaltung des Informationssicherheitsprogramms zu steuern.
- 1.2 Einrichtung und Pflege eines Informationssicherheits-Governance-Rahmens zur Steuerung von Aktivitäten, die die Informationssicherheitsstrategie unterstützen.
- 1.3 Integration der Informationssicherheits-Governance in die Unternehmensführung, um sicherzustellen, dass die Unternehmensziele durch das Informationssicherheitsprogramm unterstützt werden.
- 1.4 Erstellung und Pflege von Informationssicherheitsrichtlinien, um die Richtlinien des Managements zu vermitteln und die Entwicklung von Standards, Verfahren und Richtlinien zu leiten.
- 1.5 Entwicklung von Business Cases zur Unterstützung von Investitionen in die Informationssicherheit.
- 1.6 Identifizierung interner und externer Einflüsse auf die Organisation (z.B. Technologie, Geschäftsumfeld, Risikotoleranz, geographische Lage, rechtliche und behördliche Anforderungen), um sicherzustellen, dass diese Faktoren in der Informationssicherheitsstrategie berücksichtigt werden.
- 1.7 Einholen des Engagements der Geschäftsleitung und der Unterstützung durch andere Beteiligte, um die Wahrscheinlichkeit einer erfolgreichen Umsetzung der Informationssicherheitsstrategie zu maximieren.
- 1.8 Definition und Kommunikation der Rollen und Verantwortlichkeiten für die Informationssicherheit im gesamten Unternehmen, um klare Verantwortlichkeiten und Zuständigkeiten festzulegen.
- 1.9 Festlegung, Überwachung, Bewertung und Berichterstattung von Messgrößen (z.B. wichtige Zielindikatoren [KGI], wichtige Leistungsindikatoren [KPIs], wichtige Risikoindikatoren [KRIs]), um der Geschäftsleitung genaue Informationen über die Wirksamkeit der Informationssicherheitsstrategie zu liefern.
Bereich 2 - Informationsrisiko Management und Einhaltung der Vorschriften (33 %)
Management des Informationsrisikos auf einem akzeptablen Niveau, um die Geschäfts- und Compliance-Anforderungen der Organisation zu erfüllen.
- 2.1 Einführung und Aufrechterhaltung eines Verfahrens zur Identifizierung und Klassifizierung von Informationswerten, um sicherzustellen, dass die zum Schutz der Werte ergriffenen Maßnahmen in einem angemessenen Verhältnis zu ihrem Geschäftswert stehen.
- 2.2 Identifizierung rechtlicher, behördlicher, organisatorischer und anderer anwendbarer Anforderungen, um das Risiko der Nichteinhaltung auf ein akzeptables Niveau zu bringen.
- 2.3 Sicherstellen, dass Risikobewertungen, Schwachstellenanalysen und Bedrohungsanalysen regelmäßig und konsequent durchgeführt werden, um Risiken für die Informationen der Organisation zu ermitteln.
- 2.4 Bestimmung und Umsetzung geeigneter Optionen zur Risikobehandlung, um das Risiko auf ein akzeptables Niveau zu bringen.
- 2.5 Bewertung der Informationssicherheitskontrollen, um festzustellen, ob sie angemessen sind und das Risiko wirksam auf ein akzeptables Niveau reduzieren.
- 2.6 Integration des Informationsrisikomanagements in Geschäfts- und IT-Prozesse (z.B. Entwicklung, Beschaffung, Projektmanagement, Fusionen und Akquisitionen) zur Förderung eines konsistenten und umfassenden Informationsrisikomanagementprozesses in der gesamten Organisation.
- 2.7 Überwachung bestehender Risiken, um sicherzustellen, dass Änderungen erkannt und angemessen gehandhabt werden.
- 2.8 Meldung von Verstößen und anderen Änderungen des Informationsrisikos an das zuständige Management zur Unterstützung des Entscheidungsprozesses im Risikomanagement.
Bereich 3 - Entwicklung von Informationssicherheitsprogrammen und Management (25%)
Erstellung und Verwaltung des Informationssicherheitsprogramms in Übereinstimmung mit der Informationssicherheitsstrategie.
- 3.1 Aufbau und Pflege des Informationssicherheitsprogramms in Abstimmung mit der Informationssicherheitsstrategie.
- 3.2 Sicherstellung der Abstimmung zwischen dem Informationssicherheitsprogramm und anderen Geschäftsfunktionen (z.B. Personalwesen [HR], Buchhaltung, Beschaffung und IT) zur Unterstützung der Integration in die Geschäftsprozesse.
- 3.3 Identifizierung, Beschaffung, Verwaltung und Definition der Anforderungen an interne und externe Ressourcen zur Durchführung des Informationssicherheitsprogramms.
- 3.4 Aufbau und Pflege von Informationssicherheitsarchitekturen (Menschen, Prozesse, Technologie) zur Durchführung des Informationssicherheitsprogramms.
- 3.5 Erstellung, Kommunikation und Pflege von organisatorischen Informationssicherheitsstandards, -verfahren, -richtlinien und anderen Unterlagen zur Unterstützung und Anleitung der Einhaltung von Informationssicherheitsrichtlinien.
- 3.6 Einrichtung und Pflege eines Programms zur Sensibilisierung für die Informationssicherheit und zur Schulung, um eine sichere Umgebung und eine effektive Sicherheitskultur zu fördern.
- 3.7 Integration von Informationssicherheitsanforderungen in organisatorische Prozesse (z.B. Änderungskontrolle, Fusionen und Übernahmen, Entwicklung, Geschäftskontinuität, Notfallwiederherstellung) zur Aufrechterhaltung der Sicherheitsgrundlagen der Organisation.
- 3.8 Integration von Anforderungen an die Informationssicherheit in Verträge und Aktivitäten Dritter (z.B. Joint Ventures, ausgelagerte Anbieter, Geschäftspartner, Kunden), um die Sicherheitsgrundlagen der Organisation zu erhalten.
- 3.9 Festlegung, Überwachung und regelmäßige Berichterstattung von Programmmanagement- und Betriebskennzahlen zur Bewertung der Effektivität und Effizienz des Informationssicherheitsprogramms.
Bereich 4 - Informationssicherheitsvorfälle Management (18%)
Planen, Einrichten und Verwalten der Fähigkeit, Vorfälle im Bereich der Informationssicherheit zu erkennen, zu untersuchen, darauf zu reagieren und sich davon zu erholen, um die Auswirkungen auf das Geschäft zu minimieren.
- 4.1 Einführung und Pflege eines Klassifizierungs- und Kategorisierungsprozesses für Informationssicherheitsvorfälle, um eine genaue Identifizierung von und Reaktion auf Vorfälle zu ermöglichen.
- 4.2 Erstellung, Pflege und Abstimmung des Reaktionsplans auf Vorfälle mit dem Geschäftskontinuitätsplan und dem Notfallwiederherstellungsplan, um eine effektive und rechtzeitige Reaktion auf Vorfälle im Bereich der Informationssicherheit zu gewährleisten.
- 4.3 Entwicklung und Umsetzung von Prozessen, die eine rechtzeitige Identifizierung von Informationssicherheitsvorfällen gewährleisten.
- 4.4 Einrichtung und Aufrechterhaltung von Prozessen zur Untersuchung und Dokumentation von Vorfällen im Bereich der Informationssicherheit, um angemessen reagieren und die Ursachen ermitteln zu können, wobei die rechtlichen, regulatorischen und organisatorischen Anforderungen einzuhalten sind.
- 4.5 Einrichtung und Aufrechterhaltung von Prozessen zur Behandlung von Vorfällen, um sicherzustellen, dass die entsprechenden Interessengruppen in das Management der Reaktion auf Vorfälle einbezogen werden.
- 4.6 Sie organisieren, schulen und rüsten Teams aus, um effektiv und zeitnah auf Informationssicherheitsvorfälle reagieren zu können.
- 4.7 Die Pläne für das Management von Zwischenfällen sind regelmäßig zu testen und zu überprüfen, um eine wirksame Reaktion auf Informationssicherheitsvorfälle zu gewährleisten und die Reaktionsmöglichkeiten zu verbessern.
- 4.8 Erstellung und Pflege von Kommunikationsplänen und -prozessen zur Verwaltung der Kommunikation mit internen und externen Stellen.
- 4.9 Durchführung von Überprüfungen nach Vorfällen, um die Ursache von Informationssicherheitsvorfällen zu ermitteln, Abhilfemaßnahmen zu entwickeln, das Risiko neu zu bewerten, die Wirksamkeit der Reaktion zu beurteilen und geeignete Abhilfemaßnahmen zu ergreifen.
- 4.10 Einrichtung und Aufrechterhaltung der Integration zwischen dem Plan zur Reaktion auf Vorfälle, dem Notfallwiederherstellungsplan und dem Plan zur Aufrechterhaltung des Geschäftsbetriebs.
Voraussetzungen
Es gibt keine festen Voraussetzungen für diesen Kurs. ISACA verlangt mindestens fünf Jahre Berufserfahrung im Bereich der Informationssicherheit, um sich für die Zertifizierung zu qualifizieren. Sie können die CISM-Prüfung ablegen, bevor Sie die ISACA-Anforderungen an die Berufserfahrung erfüllt haben, aber die CISM-Qualifikation wird Ihnen erst verliehen, wenn Sie die Anforderungen an die Berufserfahrung erfüllt haben. Es gibt jedoch keine Einschränkung, wenn Sie sich in den frühen Stadien Ihrer Karriere zertifizieren lassen und damit beginnen, weltweit akzeptierte Praktiken des Informationssicherheitsmanagements zu praktizieren.
Erfahrungsberichte (7)
Die Art und Weise, wie Sie die Informationen vom Trainer erhalten
Mohamed Romdhani - Shams Power
Kurs - CISM - Certified Information Security Manager
Maschinelle Übersetzung
Ich mochte das Tempo und die Art der Präsentation von Informationen. Auch die Struktur und die Pausen waren sehr klar. Für mich perfekt!
Martin - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurs - CISM - Certified Information Security Manager
Maschinelle Übersetzung
Wie er mit uns CISM-Schulungsteilnehmern umgegangen ist
Aleksandra - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurs - CISM - Certified Information Security Manager
Maschinelle Übersetzung
Beispiele aus dem wirklichen Leben und Videos zur Unterstützung der Ausbildung.
Lukasz Matusz - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurs - CISM - Certified Information Security Manager
Maschinelle Übersetzung
Durchgehen der Fragen und Erklärung der ISACA-Logik
Joanna - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurs - CISM - Certified Information Security Manager
Maschinelle Übersetzung
The trainer has a really good knowledge, clear English speech and explains everything in detail, draws schemes and provides documentation.
Rafal Kawalek - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurs - CISM - Certified Information Security Manager
Knowledge of the trainer and the way he have delivered it. He was very interactive and kept the audience engaged.