ISC2 - Certified in Governance, Risk and Compliance (CGRC)

Lehrplan

Modul 1: Risikomanagementprogramm für die Informationssicherheit

• Verstehen der Grundlagen eines Programms für das Risikomanagement der Informationssicherheit in einem Unternehmen
• Grundsätze der Informationssicherheit
• Rahmenwerke für das Risikomanagement (z. B. National Institute of Standards and Technology (NIST), Rahmenwerk für Cybersicherheit, Control Objectives for Information and Related Technology (COBIT), International Organization for Standardization (ISO) 27001, International Organization for Standardization (ISO) 31000)
• Lebenszyklus der Systementwicklung (SDLC)
• Anforderungen an die Grenzen von Informationssystemen
• Sicherheitskontrollen und -praktiken
• Rollen und Verantwortlichkeiten im Autorisierungs-/Genehmigungsprozess
• Verstehen des Risikomanagement-Programmprozesses
• Auswahl von Programmmanagement-Kontrollen
• Anforderungen an den Datenschutz
• Bestimmen der von Dritten gehosteten Informationssysteme
• Verstehen der regulatorischen und rechtlichen Anforderungen
• Vertrautheit mit staatlichen, organisatorischen und internationalen gesetzlichen Sicherheits- und Datenschutzanforderungen (z. B. International Organization for Standardization (ISO) 27001, Federal Information Security Modernization Act (FISMA), Federal Risk and Authorization Management Program (FedRAMP), General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability Act (HIPAA))
• Vertrautmachen mit anderen anwendbaren sicherheitsrelevanten Mandaten

Modul 2: Umfang des Informationssystems

• Definieren Sie das Informationssystem
• Bestimmen Sie den Umfang des Informationssystems
• Beschreiben Sie die Architektur (z. B. Datenfluss, interne und externe Verbindungen)
• Beschreibung von Zweck und Funktionalität des Informationssystems
• Bestimmung der Kategorisierung des Informationssystems
• Identifizierung der Informationstypen, die vom Informationssystem verarbeitet, gespeichert oder übertragen werden
• Bestimmung des Grades der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit für jeden Informationstyp (z. B. Federal Information Processing Standards (FIPS) 199, International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27002, Datenschutzfolgenabschätzung)
• Kategorisierung von Informationssystemen festlegen und Ergebnisse dokumentieren

Modul 3: Auswahl und Genehmigung von Sicherheits- und Datenschutzkontrollen

• Identifizieren und Dokumentieren von Basis- und geerbten Kontrollen
• Auswahl und Anpassung der Kontrollen an das System
• Bestimmung der Anwendbarkeit der empfohlenen Basis- und ererbten Kontrollen
• Bestimmung der geeigneten Verwendung von Kontrollverbesserungen (z.B. Sicherheitspraktiken, Overlays, Gegenmaßnahmen)
• Dokumentation der Anwendbarkeit von Kontrollen
• Entwicklung einer Strategie zur kontinuierlichen Überwachung der Kontrollen (z. B. Umsetzung, Zeitplan, Wirksamkeit)
• Überprüfung und Genehmigung des Sicherheitsplans/des Informationssicherheitsmanagementsystems (ISMS)

Modul 4: Implementierung von Sicherheits- und Datenschutzkontrollen

• Implementierung ausgewählter Kontrollen
• Bestimmung der obligatorischen Konfigurationseinstellungen und Überprüfung der Implementierung gemäß den aktuellen Industriestandards (z. B. Technical Security Standard for Information Technology (TSSIT), Technical Guideline for Minimum Security Measures (Technische Richtlinie für Mindestsicherheitsmaßnahmen), United States Government Configuration Baseline (USGCB), National Institute of Standards and Technology (NIST) Checklisten, Security Technical Implementation Guides (STIGs), Centre for Internet Security (CIS) Benchmarks, General Data Protection Regulation (GDPR)
• Sicherstellen, dass die Implementierung von Kontrollen mit der Organisationsarchitektur und der damit verbundenen Sicherheits- und Datenschutzarchitektur übereinstimmt
• Koordinierung der Implementierung der übernommenen Kontrollen mit den Kontrollanbietern
• Ermitteln und Implementieren kompensierender/alternativer Sicherheitskontrollen
• Dokumentation der Kontrollimplementierung
• Dokumentation der Eingaben in die geplanten Kontrollen, ihres erwarteten Verhaltens und der erwarteten Ergebnisse oder Abweichungen
• Überprüfung, ob die dokumentierten Details der Kontrollen dem Zweck, dem Umfang und dem Risikoprofil des Informationssystems entsprechen
• Einholen und Dokumentieren von Implementierungsdetails bei den entsprechenden Organisationseinheiten (z. B. physische Sicherheit, Personalsicherheit, Datenschutz)

Modul 5: Bewertung/Audit der Sicherheits- und Datenschutzkontrollen

• Vorbereitung auf die Bewertung/das Audit
• Anforderungen an Prüfer/Auditoren festlegen
• Festlegen von Zielen und Umfang
• Festlegung von Methoden und Aufwand
• Bestimmung der erforderlichen Ressourcen und der Logistik
• Sammeln und Überprüfen von Artefakten (z. B. frühere Bewertungen/Audits, Systemdokumentation, Richtlinien)
• Fertigstellung des Beurteilungs-/Auditplans
• Durchführung der Bewertung/des Audits
• Sammeln und Dokumentieren der Beurteilungs-/Auditnachweise
• Bewertung/Audit der Implementierung und Validierung der Einhaltung der Vorschriften unter Verwendung genehmigter Bewertungsmethoden (z. B. Befragung, Test und Untersuchung)
• Erstellung des ersten Beurteilungs-/Auditberichts
• Analyse der Beurteilungs-/Audit-Ergebnisse und Ermittlung von Schwachstellen
• Vorschlagen von Abhilfemaßnahmen
• Überprüfung der Anfangsbewertung/des Auditberichts und Durchführung von Abhilfemaßnahmen
• Bestimmen von Risikoreaktionen
• Anwendung der Abhilfemaßnahmen
• Neubewertung und Validierung der behobenen Kontrollen
• Entwicklung eines abschließenden Beurteilungs-/Auditberichts
• Entwicklung eines Sanierungsplans
• Analyse der identifizierten verbleibenden Schwachstellen oder Mängel
• Priorisierung der Maßnahmen auf der Grundlage des Risikoniveaus
• Identifizierung von Ressourcen (z. B. finanziell, personell und technisch) und Festlegung des angemessenen Zeitrahmens/Zeitplans für die Behebung von Mängeln

Modul 6: Autorisierung/Genehmigung des Informationssystems

• Zusammenstellen von Autorisierungs-/Genehmigungsdokumenten zu Sicherheit und Datenschutz
• Zusammenstellen der erforderlichen Sicherheits- und Datenschutzdokumente zur Unterstützung der Autorisierungs-/Genehmigungsentscheidung durch den zuständigen Beamten
• Bestimmen des Risikos eines Informationssystems
• Bewertung des Risikos des Informationssystems
• Bestimmung der Optionen für die Risikobehandlung (d.h. akzeptieren, vermeiden, übertragen, abmildern, teilen)
• Bestimmen des Restrisikos
• Autorisierung/Genehmigung des Informationssystems
• Festlegung der Bedingungen für die Autorisierung/Genehmigung

Modul 7: Kontinuierliche Überwachung

• Ermittlung der Auswirkungen von Änderungen am Informationssystem und der Umgebung
• Identifizierung potenzieller Bedrohungen und Auswirkungen auf den Betrieb des Informationssystems und der Umgebung
• Analyse des Risikos aufgrund der vorgeschlagenen Änderungen unter Berücksichtigung der Risikotoleranz der Organisation
• Vorgeschlagene Änderungen genehmigen und dokumentieren (z. B. Change Control Board (CCB), technischer Prüfungsausschuss)
• Implementierung der vorgeschlagenen Änderungen
• Validierung der korrekten Umsetzung der Änderungen
• Sicherstellen, dass die Aufgaben des Änderungsmanagements durchgeführt werden
• Laufende Bewertungen/Audits auf der Grundlage der organisatorischen Anforderungen durchführen
• Überwachung von Netzwerk-, physischen und personellen Aktivitäten (z. B. nicht autorisierte Vermögenswerte, Personal und damit verbundene Aktivitäten)
• Sicherstellen, dass Schwachstellenscans durchgeführt werden
• Überprüfung automatisierter Protokolle und Warnungen auf Anomalien (z. B. Sicherheitsorchestrierung, Automatisierung und Reaktion)
• Überprüfung der Überwachungsaktivitäten zur Analyse der Lieferkettenrisiken (z. B. Berichte über Cyber-Bedrohungen, Berichte von Behörden, Nachrichtenberichte)
• Aktive Beteiligung an der Reaktionsplanung und Kommunikation von Cyber-Ereignissen
• Sicherstellen, dass die Reaktionsaktivitäten mit internen und externen Interessengruppen koordiniert werden
• Aktualisierung von Dokumentation, Strategien und Taktiken unter Einbeziehung der gewonnenen Erkenntnisse
• Überarbeitung der Überwachungsstrategien auf der Grundlage von Änderungen der Branchenentwicklungen, die durch Aktualisierungen in den Bereichen Recht, Regulierung, Lieferanten, Sicherheit und Datenschutz eingeführt werden
• Aktualisierung der Risikolage für eine kontinuierliche Autorisierung/Genehmigung durch die zuständigen Beamten
• Bestimmung des laufenden Risikos für Informationssysteme
• Aktualisierung des Risikoregisters, der Risikobehandlung und des Abhilfeplans
• Außerbetriebnahme von Informationssystemen
• Ermitteln der Anforderungen für die Stilllegung von Informationssystemen
• Kommunikation über die Stilllegung des Informationssystems
• Informationssystem aus dem Betrieb nehmen