ISACA - CISM - Certified Information Security Manager Zertifizierung

Lehrplan

Firebrand bietet einen eingehenden, von einem Trainer geleiteten CISM Kurs, um sicherzustellen, dass Sie Grundlagenwissen erwerben, praktische Fertigkeiten erlernen und Ihre Zertifizierung erlangen. Sie werden gezielt darauf vorbereitet, Ihre neuen Kenntnisse sofort im Beruf einzusetzen.

Informationssicherheit-Governance

• Informationssicherheitskonzepte
• Die Beziehung zwischen Informationssicherheit und Geschäftsbetriebstechniken, die benutzt werden, um das Engagement der Geschäftsleitung und die Unterstützung des Informationssicherheitsmanagements zu gewährleisten
• Methoden zur Integration der Informationssicherheits-Governance in das Gesamtrahmenwerk der Unternehmens-Governance
• Praktiken in Verbindung mit einer Gesamtansatzdirektive, die auf die Geschäftsführung ausgerichtet ist
• Niveauausrichtung und Erwartung in Bezug auf Informationssicherheit durch Grundsteinlegung für das Informationssicherheitsmanagement innerhalb einer Organisation
• Eine Informationssicherheits-Lenkungsgruppenfunktion
• Aufgaben, Verantwortungen und Organisationsstruktur des Informationssicherheitsmanagements
• Governance-Bereiche (z. B. Risikomanagement, Datenklassifizierungsmanagement, Netzwerksicherheit, Systemzugriff)
• Zentralisierte und dezentralisierte Ansätze für die Koordination der Informationssicherheit
• Gesetzliche und behördliche Angelegenheiten in Verbindung mit Internetgeschäften, globalen Übertragungen und grenzüberschreitenden Datenströmen (z. B. Geheimhaltung, Steuerrecht und -tarife, Datenimport/-exportbeschränkungen, Verschlüsselungsbeschränkungen, Gewährleistungen, Patente, Urheberrechte, Berufsgeheimnisse, nationale Sicherheit)
• Gemeinsame Versicherungspolicen und auferlegte Bedingungen (z. B. Kriminalitäts- oder Veruntreuungsversicherung, Geschäftsunterbrechungen)
• Die Anforderungen für Inhalt und Retention von Geschäftsunterlagen und Compliance
• Der Prozess, Ansätze mit den Geschäftszielen des Unternehmens zu verbinden
• Funktion und Inhalt wesentlicher Elemente eines Informationssicherheitsprogramms (z. B. Ansatzdarlegungen, Verfahren und Richtlinien)
• Techniken zur Entwicklung eines Informationssicherheitsprozess-Verbesserungsmodells für nachhaltige und wiederholbare Informationssicherheitsansätze und -verfahren
• Verbesserung des Informationssicherheitsprozesses und seiner Beziehung zum traditionellen Prozessmanagement
• Verbesserung des Informationssicherheitsprozesses und seiner Beziehung zur Sicherheitsarchitekturentwicklung und -modellierung
• Verbesserung des Informationssicherheitsprozesses und seiner Beziehung zur Sicherheits-Infrastruktur
• Allgemein akzeptierte internationale Standards für das Informationssicherheitsmanagement und verwandte Prozessverbesserungsmodelle
• Die Schlüsselkomponenten von Kosten-Nutzen-Analyse und Unternehmenstransformations-/migrationsplänen (z. B. architektonische Ausrichtung, organisatorische Positionierung, Änderungsmanagement, Benchmarking, Markt-/Wettbewerbsanalyse)
• Methodologie für Geschäftsfallentwicklung und Berechnung des Unternehmenswertvorschlags

Risikomanagement

• Informationsressourcen, die zur Unterstützung der Geschäftsabläufe benutzt werden
• Bewertungsmethodologien für Informationsressourcen
• Informationsklassifizierung
• Prinzipien zur Entwicklung von Basislinien und ihre Beziehung zu risikobasierten Beurteilungen von Kontrollanforderungen
• Prinzipien und Praktiken des lebenszyklusbasierten Risikomanagements
• Gefahren, Schwachstellen und Risikoanfälligkeit in Verbindung mit Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen
• Quantitative und qualitative Methoden zur Bestimmung von Sensitivität und Wichtigkeit von Informationsressourcen und die Auswirkung ungünstiger Ereignisse
• Benutzung der Marktlückenanalyse zur Beurteilung allgemein akzeptierter Standards für Good Practice beim Informationssicherheitsmanagement im Vergleich zum gegenwärtigen Zustand
• Amortisationsdauerziele (RTO) für Informationsressourcen und die Bestimmung von RTO und in welchem Verhältnis diese zur betrieblichen Kontinuität und den Zielen und Prozessen der Notfallplanung stehen
• Risikomilderungsstrategien, die bei der Definierung der Sicherheitsanforderungen für Informationsressourcen zur Unterstützung von Unternehmensanwendungen benutzt werden
• Kosten-Nutzen-Analysetechniken zur Beurteilung von Optionen zur Abschwächung von Risiken, Bedrohungen und Risikoanfälligkeit auf ein annehmbares Niveau
• Management und Reporting des Status identifizierter Risiken

Informationssicherheitprogramm-Management

• Methoden zur Entwicklung eines Implementierungsplans, der den in der Risikoanalyse identifizierten Sicherheitsanforderungen entspricht
• Methoden und Techniken für das Projektmanagement
• Die Komponenten eines Informationssicherheits-Governance-Rahmenwerks zur Integration von Sicherheitsprinzipien, -praktiken, -management und -bewusstsein in alle Aspekte und Ebenen des Unternehmens
• Sicherheits-Basislinien und Konfigurationsmanagement bei Design und Management von Geschäftsanwendungen und der Infrastruktur
• Informationssicherheitsarchitekturen: (z.B. Einzelanmeldung, regelbasierte im Gegensatz zu listenbasierter Systemzugriffskontrolle für Systeme, beschränkte Systemverwaltungspunkte)
• Informationssicherheitstechnologien (z. B. Verschlüsselungstechniken und Digitalunterschriften, um der Geschäftsleitung die Wahl entsprechender Kontrollvorrichtungen zu ermöglichen)
• Sicherheitsverfahren und Richtlinien für Geschäftsabläufe und Infrastrukturaktivitäten Systementwicklungs-Lebenszyklusmethodologien (z. B. traditionelles SDLC, Prototypisierung)
• Planung, Durchführung, Reporting und Weiterverfolgung von Sicherheitstests
• Zertifizierung und Akkreditierung der Übereinstimmung der Geschäftsanwendungen und Infrastruktur mit dem Informationssicherheits-Governance-Rahmenwerk des Unternehmens
• Arten, Vorteile und Kosten physischer, verwaltungstechnischer und technischer Kontrollen
• Planung, Design, Entwicklung, Überprüfung und Implementierung der Informationssicherheitsanforderungen in die Geschäftsabläufe eines Unternehmens
• Design, Entwicklung und Implementierung von Sicherheitsmetriesystemen
• Methoden und Techniken für das Akquisitionsmanagement (z. B. Beurteilung von Lieferanten-Leistungsumfangsvereinbarungen, Vorbereitung von Verträgen)

Informationssicherheitsmanagement

• Umsetzung von Informationssicherheitsansätzen in betriebliche Anwendung
• Informationssicherheits-Verwaltungsprozesse und -verfahren
• Methoden zur Verwaltung der Implementierung des Informationssicherheitsprogramms des Unternehmens durch Drittparteien, einschließlich Handelspartnern und Anbietern von Sicherheitsdienstleistungen
• Fortwährende Überwachung der Sicherheitsaktivitäten in der Infrastruktur und den Geschäftsanwendungen des Unternehmens
• Methoden zur Verwaltung von Erfolg/Misserfolg von Informationssicherheitsinvestitionen durch Datenerfassung und periodische Überprüfung von Schlüssel-Leistungsindikatoren
• Aktivitäten des Änderungs- und Konfigurationsmanagements
• Gebotene Sorgfaltsaktivitäten des Informationssicherheitsmanagements und Überprüfungen der Infrastruktur
• Verbindungsaktivitäten mit internen/externen Versicherungsanbietern, die Informationssicherheitsprüfungen durchführen
• Gebotene Sorgfaltsaktivitäten, Revisionen und damit verbundene Standards für Verwaltung und Kontrolle des Zugriffs auf Informationsressourcen
• Externe Schwachstellen-Reportingquellen, die Informationen liefern, welche Änderungen an der Informationssicherheit von Anwendungen und Infrastruktur erforderlich machen können
• Ereignisse, welche die Sicherheits-Basislinien beeinträchtigen und Risikobeurteilungen sowie Änderungen an den Informationssicherheitsanforderungen in Sicherheitsplänen, Testplänen und Reperfomance erforderlich machen Informationssicherheit-Problemmanagementpraktiken
• Informationssicherheits-Manager übernimmt Aufgaben als Änderungsagent, Ausbilder und Berater
• Die Art und Weise, in der Kultur und kulturelle Unterschiede das Verhalten des Personals beeinflussen
• Die Aktivitäten, die Kultur und Verhalten des Personals verändern können
• Methoden und Techniken zur Schulung und Ausbildung eines Sicherheitsbewusstseins

Reaktionsmanagement

• die Komponenten einer Zwischenfall-Reaktionsfähigkeit
• Informationssicherheits-Notfallmanagementpraktiken (z. B. Produktionsänderungs-Kontrollaktivitäten, Entwicklung eines Computernotfall-Raktionsteams)
• Notfallplanung und betriebliche Wiederherstellungsprozesse
• Notfall-Wiederherstellungstests für Infrastruktur und wichtige Geschäftsanwendungen
• Eskalationsprozesse für effektives Sicherheitsmanagement
• Ansätze und Prozesse zum Erkennen von Eindringlingen
• Helpdeskprozesse zur Identifizierung von Zwischenfällen, die von Benutzern gemeldet werden, und Unterscheidung von anderen Angelegenheiten, die vom Helpdesk erledigt werden
• Der Benachrichtigungsprozess bei der Handhabung von Sicherheitszwischenfällen und Wiederherstellung: (z. B. automatische Benachrichtigungs- und Wiederherstellungsmechanismen, bspw. als Reaktion auf Virenalarm in Echtzeit)
• Die Anforderungen zur Erfassung und Präsentation von Nachweisen; Regeln für Nachweise, Zulässigkeit von Nachweisen, Qualität und Vollständigkeit von Nachweisen
• Revisionen und Weiterverfolgungsverfahren nach dem Zwischenfall