CISM - Certified Information Security Manager

Nie ma ustalonych wymagań wstępnych dla tego kursu. ISACA wymaga co najmniej pięcioletniego doświadczenia zawodowego w zakresie bezpieczeństwa informacji, aby zakwalifikować się do pełnej certyfikacji. Do egzaminu CISM można przystąpić przed spełnieniem wymagań ISACA dotyczących doświadczenia, ale kwalifikacja CISM jest przyznawana po spełnieniu wymagań dotyczących doświadczenia. Nie ma jednak żadnych ograniczeń w uzyskaniu certyfikatu na wczesnych etapach kariery i rozpoczęciu stosowania globalnie akceptowanych praktyk zarządzania bezpieczeństwem informacji.

Nasi instruktorzy zachęcają wszystkich uczestników do zapoznania się z wydanym przez ISACA CISM QA&E (Pytania, Odpowiedzi i Wyjaśnienia) jako przygotowanie do egzaminu. QA&E wyjątkowo pomaga uczestnikom zrozumieć styl pytań ISACA, podejście do rozwiązywania tych pytań i pomaga w szybkim przyswajaniu pojęć CISM podczas sesji w klasie na żywo.
Wszyscy nasi trenerzy mają bogate doświadczenie w prowadzeniu szkoleń CISM. Dokładnie przygotujemy Cię do egzaminu CISM.

Domena 1 - Bezpieczeństwo informacji Go - Zarządzanie (24%)

Ustanowienie i utrzymywanie ram zarządzania bezpieczeństwem informacji oraz procesów wspierających w celu zapewnienia, że strategia bezpieczeństwa informacji jest zgodna z celami i zadaniami organizacyjnymi, ryzyko związane z informacjami jest odpowiednio zarządzane, a zasoby programu są zarządzane w sposób odpowiedzialny.

• 1.1 Ustanowienie i utrzymywanie strategii bezpieczeństwa informacji zgodnej z celami i zadaniami organizacyjnymi w celu kierowania ustanowieniem i bieżącym zarządzaniem programem bezpieczeństwa informacji.
• 1.2 Ustanowienie i utrzymywanie ram zarządzania bezpieczeństwem informacji w celu kierowania działaniami wspierającymi strategię bezpieczeństwa informacji.
• 1.3 Zintegrowanie ładu bezpieczeństwa informacji z ładem korporacyjnym w celu zapewnienia, że cele i zadania organizacyjne są wspierane przez program bezpieczeństwa informacji.
• 1.4 Ustanowienie i utrzymywanie polityk bezpieczeństwa informacji w celu komunikowania wytycznych kierownictwa i kierowania rozwojem standardów, procedur i wytycznych.
• 1.5 Opracowywanie uzasadnień biznesowych wspierających inwestycje w bezpieczeństwo informacji.
• 1.6 Identyfikowanie wewnętrznych i zewnętrznych wpływów na organizację (na przykład technologii, środowiska biznesowego, tolerancji ryzyka, położenia geograficznego, wymogów prawnych i regulacyjnych) w celu zapewnienia, że czynniki te są uwzględnione w strategii bezpieczeństwa informacji.
• 1.7 Uzyskanie zaangażowania ze strony kierownictwa wyższego szczebla i wsparcia ze strony innych interesariuszy w celu zmaksymalizowania prawdopodobieństwa pomyślnego wdrożenia strategii bezpieczeństwa informacji.
• 1.8 Zdefiniowanie i zakomunikowanie ról i obowiązków związanych z bezpieczeństwem informacji w całej organizacji w celu ustalenia jasnego zakresu odpowiedzialności i uprawnień.
• 1.9 Ustanowienie, monitorowanie, ocena i raportowanie wskaźników (na przykład kluczowych wskaźników celów [KGI], kluczowych wskaźników wydajności [KPI], kluczowych wskaźników ryzyka [KRI]) w celu zapewnienia kierownictwu dokładnych informacji dotyczących skuteczności strategii bezpieczeństwa informacji.

Domena 2 - Informacje Risk Management i zgodność (33%)

Zarządzanie ryzykiem informacyjnym do akceptowalnego poziomu w celu spełnienia wymagań biznesowych i zgodności organizacji.

• 2.1 Ustanowienie i utrzymywanie procesu identyfikacji i klasyfikacji zasobów informacyjnych w celu zapewnienia, że środki podjęte w celu ochrony zasobów są proporcjonalne do ich wartości biznesowej.
• 2.2 Identyfikacja wymogów prawnych, regulacyjnych, organizacyjnych i innych mających zastosowanie w celu zarządzania ryzykiem braku zgodności do akceptowalnych poziomów.
• 2.3 Zapewnienie, że oceny ryzyka, oceny podatności i analizy zagrożeń są przeprowadzane okresowo i konsekwentnie w celu identyfikacji ryzyka dla informacji organizacji.
• 2.4 Określanie i wdrażanie odpowiednich opcji postępowania z ryzykiem w celu zarządzania ryzykiem do akceptowalnych poziomów.
• 2.5 Ocena mechanizmów kontroli bezpieczeństwa informacji w celu ustalenia, czy są one odpowiednie i skutecznie ograniczają ryzyko do akceptowalnego poziomu.
• 2.6 Integracja zarządzania ryzykiem informacyjnym z procesami biznesowymi i informatycznymi (np. rozwój, zaopatrzenie, zarządzanie projektami, fuzje i przejęcia) w celu promowania spójnego i kompleksowego procesu zarządzania ryzykiem informacyjnym w całej organizacji.
• 2.7 Monitorowanie istniejącego ryzyka w celu zapewnienia, że zmiany są identyfikowane i odpowiednio zarządzane.
• 2.8 Zgłaszanie niezgodności i innych zmian w ryzyku informacyjnym odpowiedniemu kierownictwu w celu wsparcia procesu decyzyjnego w zakresie zarządzania ryzykiem.

Domena 3 - Rozwój programu bezpieczeństwa informacji i Management (25%)

Ustanowienie i zarządzanie programem bezpieczeństwa informacji zgodnie ze strategią bezpieczeństwa informacji.

• 3.1 Ustanowienie i utrzymanie programu bezpieczeństwa informacji zgodnie ze strategią bezpieczeństwa informacji.
• 3.2 Zapewnienie zgodności między programem bezpieczeństwa informacji a innymi funkcjami biznesowymi (na przykład zasobami ludzkimi [HR], księgowością, zaopatrzeniem i IT) w celu wsparcia integracji z procesami biznesowymi.
• 3.3 Identyfikowanie, pozyskiwanie, zarządzanie i definiowanie wymagań dotyczących zasobów wewnętrznych i zewnętrznych w celu realizacji programu bezpieczeństwa informacji.
• 3.4 Ustanowienie i utrzymanie architektury bezpieczeństwa informacji (ludzie, procesy, technologia) w celu realizacji programu bezpieczeństwa informacji.
• 3.5 Ustanowienie, komunikowanie i utrzymywanie organizacyjnych standardów bezpieczeństwa informacji, procedur, wytycznych i innej dokumentacji w celu wspierania i kierowania zgodnością z politykami bezpieczeństwa informacji.
• 3.6 Ustanowienie i utrzymywanie programu uświadamiania i szkolenia w zakresie bezpieczeństwa informacji w celu promowania bezpiecznego środowiska i skutecznej kultury bezpieczeństwa.
• 3.7 Włączenie wymogów bezpieczeństwa informacji do procesów organizacyjnych (na przykład kontroli zmian, fuzji i przejęć, rozwoju, ciągłości działania, odzyskiwania danych po awarii) w celu utrzymania podstawowego poziomu bezpieczeństwa organizacji.
• 3.8 Włączenie wymogów bezpieczeństwa informacji do umów i działań stron trzecich (na przykład joint venture, dostawców zewnętrznych, partnerów biznesowych, klientów) w celu utrzymania podstawowego poziomu bezpieczeństwa organizacji.
• 3.9 Ustanowienie, monitorowanie i okresowe raportowanie wskaźników zarządzania programem i wskaźników operacyjnych w celu oceny skuteczności i wydajności programu bezpieczeństwa informacji.

Domena 4 - Incydenty związane z bezpieczeństwem informacji Management (18%)

Planowanie, ustanawianie i zarządzanie zdolnością do wykrywania, badania, reagowania i odzyskiwania danych po incydentach związanych z bezpieczeństwem informacji w celu zminimalizowania wpływu na biznes.

• 4.1 Ustanowienie i utrzymywanie procesu klasyfikacji i kategoryzacji incydentów bezpieczeństwa informacji w celu umożliwienia dokładnej identyfikacji i reagowania na incydenty.
• 4.2 Ustanowienie, utrzymanie i dostosowanie planu reagowania na incydenty do planu ciągłości działania i planu odzyskiwania danych po awarii w celu zapewnienia skutecznej i terminowej reakcji na incydenty związane z bezpieczeństwem informacji.
• 4.3 Opracowanie i wdrożenie procesów zapewniających terminową identyfikację incydentów związanych z bezpieczeństwem informacji.
• 4.4 Ustanowienie i utrzymywanie procesów w celu badania i dokumentowania incydentów związanych z bezpieczeństwem informacji, aby móc odpowiednio reagować i określać ich przyczyny przy jednoczesnym przestrzeganiu wymogów prawnych, regulacyjnych i organizacyjnych.
• 4.5 Ustanowienie i utrzymywanie procesów obsługi incydentów w celu zapewnienia, że odpowiednie zainteresowane strony są zaangażowane w zarządzanie reagowaniem na incydenty.
• 4.6 Organizowanie, szkolenie i wyposażanie zespołów w celu skutecznego i terminowego reagowania na incydenty związane z bezpieczeństwem informacji.
• 4.7 Okresowe testowanie i przeglądanie planów zarządzania incydentami w celu zapewnienia skutecznej reakcji na incydenty związane z bezpieczeństwem informacji i poprawy zdolności reagowania.
• 4.8 Ustanowienie i utrzymywanie planów i procesów komunikacji w celu zarządzania komunikacją z podmiotami wewnętrznymi i zewnętrznymi.
• 4.9 Przeprowadzanie przeglądów po incydencie w celu określenia pierwotnej przyczyny incydentów związanych z bezpieczeństwem informacji, opracowania działań naprawczych, ponownej oceny ryzyka, oceny skuteczności reakcji i podjęcia odpowiednich działań naprawczych.
• 4.10 Ustanowienie i utrzymanie integracji między planem reagowania na incydenty, planem odzyskiwania danych po awarii i planem ciągłości działania.