课程大纲

领域 1 - 信息安全 Governance (24%)

建立和维护信息安全治理框架和支持流程,以确保信息安全战略与组织目标保持一致,适当管理信息风险,负责任地管理计划资源。

  • 1.1 建立和维护符合组织目标的信息安全战略,以指导信息安全计划的建立和持续管理。
  • 1.2 建立和维护信息安全治理框架,以指导支持信息安全战略的活动。
  • 1.3 将信息安全治理纳入公司治理,以确保信息安全计划支持组织目标和目标。
  • 1.4 建立和维护信息安全政策,以传达管理层的指令并指导标准、程序和指南的制定。
  • 1.5 开发业务案例以支持对信息安全的投资。
  • 1.6 确定对组织的内部和外部影响(例如,技术、业务环境、风险承受能力、地理位置、法律和监管要求),以确保信息安全策略解决这些因素。
  • 1.7 获得高级管理层的承诺和其他利益相关者的支持,以最大限度地提高成功实施信息安全战略的可能性。
  • 1.8 定义并传达整个组织信息安全的角色和职责,以建立明确的问责制和权力范围。
  • 1.9 建立、监控、评估和报告指标(例如,关键目标指标 [KGI]、关键绩效指标 [KPI]、关键风险指标 [KRI]),为管理层提供有关信息安全策略有效性的准确信息。

领域 2 — 信息 Risk Management 和法规遵从性 (33%)

将信息风险管理到可接受的级别,以满足组织的业务和法规遵从性要求。

  • 2.1 建立并维护信息资产识别和分类流程,以确保为保护资产而采取的措施与其业务价值成正比。
  • 2.2 确定法律、法规、组织和其他适用要求,以将不合规风险管理在可接受的水平。
  • 2.3 确保定期和一致地进行风险评估、脆弱性评估和威胁分析,以识别组织信息的风险。
  • 2.4 确定并实施适当的风险处理方案,将风险控制在可接受的水平。
  • 2.5 评估信息安全控制措施,以确定它们是否适当,并有效地将风险降低到可接受的水平。
  • 2.6 将信息风险管理纳入业务和信息技术流程(例如,开发、采购、项目管理、兼并和收购),以促进整个组织一致和全面的信息风险管理流程。
  • 2.7 监控现有风险,以确保正确识别和管理变更。
  • 2.8 向适当的管理层报告信息风险的不合规和其他变化,以协助风险管理决策过程。

领域 3 - 信息安全计划开发和 Management (25%)

根据信息安全策略建立和管理信息安全计划。

  • 3.1 建立和维护与信息安全战略相一致的信息安全计划。
  • 3.2 确保信息安全计划与其他业务职能(例如,人力资源 [HR]、会计、采购和 IT)保持一致,以支持与业务流程的集成。
  • 3.3 识别、获取、管理和定义执行信息安全计划的内部和外部资源的要求。
  • 3.4 建立和维护信息安全架构(人员、流程、技术)以执行信息安全计划。
  • 3.5 建立、沟通和维护组织信息安全标准、程序、指南和其他文件,以支持和指导对信息安全政策的遵守。
  • 3.6 建立和维护信息安全意识和培训计划,以促进安全的环境和有效的安全文化。
  • 3.7 将信息安全要求整合到组织流程中(例如,变更控制、并购、开发、业务连续性、灾难恢复),以维护组织的安全基线。
  • 3.8 将信息安全要求整合到第三方(例如,合资企业、外包提供商、业务合作伙伴、客户)的合同和活动中,以维护组织的安全基线。
  • 3.9 建立、监控和定期报告计划管理和运营指标,以评估信息安全计划的有效性和效率。

领域 4 - 信息安全事件 Management (18%)

规划、建立和管理检测、调查、响应信息安全事件并从中恢复的能力,以最大程度地减少业务影响。

  • 4.1 建立并维护信息安全事件分类和分类流程,以便准确识别和响应事件。
  • 4.2 建立、维护事件响应计划,并使之与业务连续性计划和灾难恢复计划保持一致,以确保有效、及时地响应信息安全事件。
  • 4.3 制定和实施流程,确保及时识别信息安全事件。
  • 4.4 建立和维护调查和记录信息安全事件的流程,以便能够在遵守法律、法规和组织要求的同时做出适当的响应并确定其原因。
  • 4.5 建立和维护事件处理流程,以确保适当的利益相关者参与事件响应管理。
  • 4.6 组织、培训、装备团队,及时有效应对信息安全事件。
  • 4.7 定期测试和审查事件管理计划,以确保对信息安全事件的有效响应,并提高响应能力。
  • 4.8 建立和维护沟通计划和流程,以管理与内部和外部实体的沟通。
  • 4.9 进行事后审查,以确定信息安全事件的根本原因,制定纠正措施,重新评估风险,评估响应效果并采取适当的补救措施。
  • 4.10 建立并维护事件响应计划、灾难恢复计划和业务连续性计划之间的集成。

要求

本课程没有固定的先决条件。ISACA 确实需要至少五年的专业信息安全工作经验才有资格获得全面认证。您可以在满足 ISACA 的经验要求之前参加 CISM 考试,但在满足经验要求后授予 CISM 资格。但是,在职业生涯的早期阶段获得认证并开始实践全球公认的信息安全管理实践是没有限制的。

 28 小时

人数


每位参与者的报价

客户评论 (7)