Course Outline

Domain 1—Information Security Governance (24%)

Καθιερώστε και διατηρήστε ένα πλαίσιο διακυβέρνησης ασφάλειας πληροφοριών και υποστηρικτικές διαδικασίες για να διασφαλίσετε ότι η στρατηγική ασφάλειας πληροφοριών ευθυγραμμίζεται με τους οργανωτικούς στόχους και στόχους, η διαχείριση του κινδύνου πληροφοριών γίνεται κατάλληλα και η διαχείριση των πόρων του προγράμματος γίνεται με υπευθυνότητα.

    1.1 Καθιερώστε και διατηρήστε μια στρατηγική ασφάλειας πληροφοριών σε ευθυγράμμιση με τους οργανωτικούς στόχους και στόχους που θα καθοδηγούν τη δημιουργία και τη συνεχή διαχείριση του προγράμματος ασφάλειας πληροφοριών. 1.2 Δημιουργία και διατήρηση ενός πλαισίου διακυβέρνησης για την ασφάλεια των πληροφοριών για την καθοδήγηση δραστηριοτήτων που υποστηρίζουν τη στρατηγική ασφάλειας πληροφοριών. 1.3 Ενσωμάτωση της διακυβέρνησης ασφάλειας πληροφοριών στην εταιρική διακυβέρνηση για να διασφαλιστεί ότι οι οργανωτικοί στόχοι και στόχοι υποστηρίζονται από το πρόγραμμα ασφάλειας πληροφοριών. 1.4 Καθιέρωση και διατήρηση πολιτικών ασφάλειας πληροφοριών για την κοινοποίηση των οδηγιών της διοίκησης και την καθοδήγηση της ανάπτυξης προτύπων, διαδικασιών και κατευθυντήριων γραμμών. 1.5 Ανάπτυξη επιχειρηματικών υποθέσεων για την υποστήριξη επενδύσεων στην ασφάλεια πληροφοριών. 1.6 Προσδιορίστε εσωτερικές και εξωτερικές επιρροές στον οργανισμό (για παράδειγμα, τεχνολογία, επιχειρηματικό περιβάλλον, ανοχή κινδύνου, γεωγραφική θέση, νομικές και κανονιστικές απαιτήσεις) για να διασφαλίσετε ότι αυτοί οι παράγοντες αντιμετωπίζονται από τη στρατηγική ασφάλειας πληροφοριών. 1.7 Λάβετε δέσμευση από την ανώτερη διοίκηση και υποστήριξη από άλλα ενδιαφερόμενα μέρη για να μεγιστοποιήσετε την πιθανότητα επιτυχούς εφαρμογής της στρατηγικής ασφάλειας πληροφοριών. 1.8 Καθορίστε και κοινοποιήστε τους ρόλους και τις ευθύνες της ασφάλειας των πληροφοριών σε ολόκληρο τον οργανισμό για να καθορίσετε σαφείς ευθύνες και γραμμές εξουσίας. 1.9 Καθιερώστε, παρακολουθήστε, αξιολογήστε και αναφέρετε μετρήσεις (για παράδειγμα, βασικοί δείκτες στόχων [KGI], βασικοί δείκτες απόδοσης [KPIs], βασικοί δείκτες κινδύνου [KRIs]) για να παρέχετε στη διοίκηση ακριβείς πληροφορίες σχετικά με την αποτελεσματικότητα της στρατηγικής ασφάλειας πληροφοριών.

Τομέας 2 — Πληροφορίες Risk Management και Συμμόρφωση (33%)

Διαχειριστείτε τον κίνδυνο πληροφοριών σε αποδεκτό επίπεδο για να καλύψετε τις επιχειρηματικές απαιτήσεις και τις απαιτήσεις συμμόρφωσης του οργανισμού.

    2.1 Καθιερώστε και διατηρήστε μια διαδικασία αναγνώρισης και ταξινόμησης περιουσιακών στοιχείων για να διασφαλίσετε ότι τα μέτρα που λαμβάνονται για την προστασία των περιουσιακών στοιχείων είναι ανάλογα με την επιχειρηματική τους αξία. 2.2 Προσδιορίστε νομικές, ρυθμιστικές, οργανωτικές και άλλες ισχύουσες απαιτήσεις για τη διαχείριση του κινδύνου μη συμμόρφωσης σε αποδεκτά επίπεδα. 2.3 Βεβαιωθείτε ότι οι αξιολογήσεις κινδύνου, οι αξιολογήσεις τρωτότητας και οι αναλύσεις απειλών διεξάγονται περιοδικά και με συνέπεια για τον εντοπισμό του κινδύνου για τις πληροφορίες του οργανισμού. 2.4 Καθορισμός και εφαρμογή κατάλληλων επιλογών θεραπείας κινδύνου για τη διαχείριση του κινδύνου σε αποδεκτά επίπεδα. 2.5 Αξιολογήστε τους ελέγχους ασφάλειας πληροφοριών για να προσδιορίσετε εάν είναι κατάλληλοι και μετριάζουν αποτελεσματικά τον κίνδυνο σε αποδεκτό επίπεδο. 2.6 Ενσωμάτωση της διαχείρισης κινδύνων πληροφοριών σε επιχειρηματικές διαδικασίες και διαδικασίες πληροφορικής (για παράδειγμα, ανάπτυξη, προμήθεια, διαχείριση έργων, συγχωνεύσεις και εξαγορές) για την προώθηση μιας συνεπούς και ολοκληρωμένης διαδικασίας διαχείρισης κινδύνων πληροφοριών σε ολόκληρο τον οργανισμό. 2.7 Παρακολουθήστε τον υπάρχοντα κίνδυνο για να διασφαλίσετε ότι οι αλλαγές εντοπίζονται και διαχειρίζονται κατάλληλα. 2.8 Αναφέρετε τη μη συμμόρφωση και άλλες αλλαγές στον κίνδυνο πληροφοριών στην κατάλληλη διοίκηση για να βοηθήσετε στη διαδικασία λήψης αποφάσεων διαχείρισης κινδύνου.

Τομέας 3 — Ανάπτυξη Προγράμματος Ασφάλειας Πληροφοριών και Management (25%)

Καθιερώστε και διαχειριστείτε το πρόγραμμα ασφάλειας πληροφοριών σε ευθυγράμμιση με τη στρατηγική ασφάλειας πληροφοριών.

    3.1 Καθιέρωση και διατήρηση του προγράμματος ασφάλειας πληροφοριών σε ευθυγράμμιση με τη στρατηγική ασφάλειας πληροφοριών. 3.2 Διασφαλίστε την ευθυγράμμιση μεταξύ του προγράμματος ασφάλειας πληροφοριών και άλλων επιχειρηματικών λειτουργιών (για παράδειγμα, ανθρώπινοι πόροι [HR], λογιστική, προμήθειες και πληροφορική) για την υποστήριξη της ενοποίησης με τις επιχειρηματικές διαδικασίες. 3.3 Προσδιορισμός, απόκτηση, διαχείριση και καθορισμός απαιτήσεων για εσωτερικούς και εξωτερικούς πόρους για την εκτέλεση του προγράμματος ασφάλειας πληροφοριών. 3.4 Καθιέρωση και διατήρηση αρχιτεκτονικών ασφάλειας πληροφοριών (άνθρωποι, διεργασίες, τεχνολογία) για την εκτέλεση του προγράμματος ασφάλειας πληροφοριών. 3.5 Καθιερώστε, επικοινωνήστε και διατηρήστε πρότυπα, διαδικασίες, κατευθυντήριες γραμμές και άλλη τεκμηρίωση για την ασφάλεια πληροφοριών του οργανισμού για την υποστήριξη και καθοδήγηση της συμμόρφωσης με τις πολιτικές ασφάλειας πληροφοριών. 3.6 Καθιερώστε και διατηρήστε ένα πρόγραμμα ευαισθητοποίησης και εκπαίδευσης για την ασφάλεια των πληροφοριών για την προώθηση ενός ασφαλούς περιβάλλοντος και μιας αποτελεσματικής κουλτούρας ασφάλειας. 3.7 Ενσωμάτωση απαιτήσεων ασφάλειας πληροφοριών σε οργανωτικές διαδικασίες (για παράδειγμα, έλεγχος αλλαγών, συγχωνεύσεις και εξαγορές, ανάπτυξη, επιχειρηματική συνέχεια, ανάκτηση καταστροφών) για τη διατήρηση της βασικής γραμμής ασφάλειας του οργανισμού. 3.8 Ενσωμάτωση απαιτήσεων ασφάλειας πληροφοριών σε συμβάσεις και δραστηριότητες τρίτων (για παράδειγμα, κοινοπραξίες, παρόχους εξωτερικού συνεργάτη, επιχειρηματικούς εταίρους, πελάτες) για τη διατήρηση της βασικής γραμμής ασφάλειας του οργανισμού. 3.9 Καθιερώστε, παρακολουθήστε και αναφέρετε περιοδικά μετρήσεις διαχείρισης και λειτουργίας προγράμματος για την αξιολόγηση της αποτελεσματικότητας και της αποδοτικότητας του προγράμματος ασφάλειας πληροφοριών.

Τομέας 4 — Συμβάν Ασφάλειας Πληροφοριών Management (18%)

Σχεδιάστε, δημιουργήστε και διαχειριστείτε την ικανότητα ανίχνευσης, διερεύνησης, απόκρισης και ανάκτησης από συμβάντα ασφάλειας πληροφοριών για να ελαχιστοποιήσετε τον αντίκτυπο των επιχειρήσεων.

    4.1 Καθιερώστε και διατηρήστε μια διαδικασία ταξινόμησης και κατηγοριοποίησης συμβάντων ασφάλειας πληροφοριών για να επιτρέψετε την ακριβή αναγνώριση και απόκριση σε περιστατικά. 4.2 Καθιερώστε, διατηρήστε και ευθυγραμμίστε το σχέδιο αντιμετώπισης συμβάντων με το σχέδιο επιχειρηματικής συνέχειας και το σχέδιο αποκατάστασης από καταστροφές για να διασφαλιστεί η αποτελεσματική και έγκαιρη απόκριση σε συμβάντα ασφάλειας πληροφοριών. 4.3 Ανάπτυξη και εφαρμογή διαδικασιών για τη διασφάλιση της έγκαιρης αναγνώρισης περιστατικών ασφάλειας πληροφοριών. 4.4 Καθιερώστε και διατηρήστε διαδικασίες για τη διερεύνηση και την τεκμηρίωση περιστατικών ασφάλειας πληροφοριών για να μπορέσετε να ανταποκριθείτε κατάλληλα και να προσδιορίσετε τα αίτια τους, τηρώντας παράλληλα νομικές, κανονιστικές και οργανωτικές απαιτήσεις. 4.5 Καθιερώστε και διατηρήστε διαδικασίες χειρισμού συμβάντων για να διασφαλίσετε ότι τα κατάλληλα ενδιαφερόμενα μέρη συμμετέχουν στη διαχείριση αντιμετώπισης περιστατικών. 4.6 Οργανώστε, εκπαιδεύστε και εξοπλίστε ομάδες ώστε να ανταποκρίνονται αποτελεσματικά σε συμβάντα ασφάλειας πληροφοριών έγκαιρα. 4.7 Δοκιμάζετε και επανεξετάζετε τα σχέδια διαχείρισης συμβάντων περιοδικά για να διασφαλίζετε την αποτελεσματική απόκριση σε συμβάντα ασφάλειας πληροφοριών και να βελτιώνετε τις δυνατότητες απόκρισης. 4.8 Καθιέρωση και διατήρηση σχεδίων και διαδικασιών επικοινωνίας για τη διαχείριση της επικοινωνίας με εσωτερικές και εξωτερικές οντότητες. 4.9 Διεξάγετε επισκοπήσεις μετά το περιστατικό για να προσδιορίσετε τη βασική αιτία των συμβάντων ασφάλειας πληροφοριών, να αναπτύξετε διορθωτικές ενέργειες, να αξιολογήσετε ξανά τον κίνδυνο, να αξιολογήσετε την αποτελεσματικότητα απόκρισης και να λάβετε τα κατάλληλα διορθωτικά μέτρα. 4.10 Καθιερώστε και διατηρήστε την ενοποίηση μεταξύ του σχεδίου αντιμετώπισης συμβάντων, του σχεδίου αποκατάστασης καταστροφών και του σχεδίου επιχειρηματικής συνέχειας.

Requirements

Δεν υπάρχει καθορισμένη προϋπόθεση για αυτό το μάθημα. Η ISACA απαιτεί τουλάχιστον πενταετή επαγγελματική εμπειρία σε θέματα ασφάλειας πληροφοριών για να πληροί τις προϋποθέσεις για πλήρη πιστοποίηση. Μπορείτε να συμμετάσχετε στην εξέταση CISM προτού ικανοποιήσετε τις απαιτήσεις εμπειρίας του ISACA, αλλά ο τίτλος CISM απονέμεται αφού πληροίτε τις απαιτήσεις εμπειρίας. Ωστόσο, δεν υπάρχει περιορισμός στο να αποκτήσετε πιστοποίηση στα πρώτα στάδια της καριέρας σας και να αρχίσετε να ασκείτε παγκοσμίως αποδεκτές πρακτικές διαχείρισης ασφάλειας πληροφοριών.

 28 Hours

Number of participants



Price per participant

Testimonials (5)

Related Categories