Nur 4 Tage
Classroom / Online Live
07.07.2025 (Montag)
Überblick
Der Certified in Governance, Risk and Compliance (CGRC) ist ein Fachmann für Informationssicherheit, der sich für eine Systemsicherheit einsetzt, die dem Auftrag und der Risikotoleranz einer Organisation entspricht und gleichzeitig die gesetzlichen und behördlichen Anforderungen erfüllt.
CGRC ist ein herstellerneutraler Nachweis für Cybersicherheit, der zeigt, dass Sie über das Wissen, die Fähigkeiten und die Erfahrung verfügen, die erforderlich sind, um verschiedene Rahmenwerke für das Risikomanagement und die Autorisierung und Wartung von Informationssystemen zu nutzen.
Am Ende dieses Kurses werden Sie das ISC2 Examen ablegen und die ISC2 Certified in Governance, Risk and Compliance (CGRC) Zertifizierung erhalten.
Durch die Firebrand-Methode "Lecture | Lab | Review" erlangen Sie die Zertifizierung in der doppelten Geschwindigkeit des traditionellen Trainings und erhalten Zugang zu Kursunterlagen, lernen von zertifizierten Dozenten und trainieren in einer ablenkungsfreien Umgebung.
Zielgruppe
Dieser Kurs ist ideal für:
- Fachleute aus den Bereichen IT, Informationssicherheit und Cybersicherheit, die Risiken in Informationssystemen verwalten.
- Alle Personen, die mit der Autorisierung und Wartung von Informationssystemen befasst sind.
- Jede der folgenden Rollen:
- Autorisierender Official
- Cyber GRC Manager
- Cybersecurity Auditor/Beauftragter
- Beauftragter für die Einhaltung der Cybersicherheit
- Cybersecurity-Architekt
- GRC-Architekt
- GRC-Manager für Informationstechnologie
- GRC-Manager
- Projektleiter für Cybersicherheitsrisiko und -einhaltung
- Analyst für Cybersicherheitsrisiken und -kontrollen
- Cybersicherheits-Risikomanager für Dritte
- Manager für Unternehmensrisiken
- GRC-Analyst
- GRC-Direktor
- GRC-Sicherheitsanalyst
- Manager für Systemsicherheit
- Beauftragter für Systemsicherheit
- Informationssicherheits-Manager
- Cybersecurity-Berater
Lehrplan
Modul 1: Risikomanagementprogramm für die Informationssicherheit
- Verstehen der Grundlagen eines Programms für das Risikomanagement der Informationssicherheit in einem Unternehmen
- Grundsätze der Informationssicherheit
- Rahmenwerke für das Risikomanagement (z. B. National Institute of Standards and Technology (NIST), Rahmenwerk für Cybersicherheit, Control Objectives for Information and Related Technology (COBIT), International Organization for Standardization (ISO) 27001, International Organization for Standardization (ISO) 31000)
- Lebenszyklus der Systementwicklung (SDLC)
- Anforderungen an die Grenzen von Informationssystemen
- Sicherheitskontrollen und -praktiken
- Rollen und Verantwortlichkeiten im Autorisierungs-/Genehmigungsprozess
- Verstehen des Risikomanagement-Programmprozesses
- Auswahl von Programmmanagement-Kontrollen
- Anforderungen an den Datenschutz
- Bestimmen der von Dritten gehosteten Informationssysteme
- Verstehen der regulatorischen und rechtlichen Anforderungen
- Vertrautheit mit staatlichen, organisatorischen und internationalen gesetzlichen Sicherheits- und Datenschutzanforderungen (z. B. International Organization for Standardization (ISO) 27001, Federal Information Security Modernization Act (FISMA), Federal Risk and Authorization Management Program (FedRAMP), General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability Act (HIPAA))
- Vertrautmachen mit anderen anwendbaren sicherheitsrelevanten Mandaten
Modul 2: Umfang des Informationssystems
- Definieren Sie das Informationssystem
- Bestimmen Sie den Umfang des Informationssystems
- Beschreiben Sie die Architektur (z. B. Datenfluss, interne und externe Verbindungen)
- Beschreibung von Zweck und Funktionalität des Informationssystems
- Bestimmung der Kategorisierung des Informationssystems
- Identifizierung der Informationstypen, die vom Informationssystem verarbeitet, gespeichert oder übertragen werden
- Bestimmung des Grades der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit für jeden Informationstyp (z. B. Federal Information Processing Standards (FIPS) 199, International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27002, Datenschutzfolgenabschätzung)
- Kategorisierung von Informationssystemen festlegen und Ergebnisse dokumentieren
Modul 3: Auswahl und Genehmigung von Sicherheits- und Datenschutzkontrollen
- Identifizieren und Dokumentieren von Basis- und geerbten Kontrollen
- Auswahl und Anpassung der Kontrollen an das System
- Bestimmung der Anwendbarkeit der empfohlenen Basis- und ererbten Kontrollen
- Bestimmung der geeigneten Verwendung von Kontrollverbesserungen (z.B. Sicherheitspraktiken, Overlays, Gegenmaßnahmen)
- Dokumentation der Anwendbarkeit von Kontrollen
- Entwicklung einer Strategie zur kontinuierlichen Überwachung der Kontrollen (z. B. Umsetzung, Zeitplan, Wirksamkeit)
- Überprüfung und Genehmigung des Sicherheitsplans/des Informationssicherheitsmanagementsystems (ISMS)
Modul 4: Implementierung von Sicherheits- und Datenschutzkontrollen
- Implementierung ausgewählter Kontrollen
- Bestimmung der obligatorischen Konfigurationseinstellungen und Überprüfung der Implementierung gemäß den aktuellen Industriestandards (z. B. Technical Security Standard for Information Technology (TSSIT), Technical Guideline for Minimum Security Measures (Technische Richtlinie für Mindestsicherheitsmaßnahmen), United States Government Configuration Baseline (USGCB), National Institute of Standards and Technology (NIST) Checklisten, Security Technical Implementation Guides (STIGs), Centre for Internet Security (CIS) Benchmarks, General Data Protection Regulation (GDPR)
- Sicherstellen, dass die Implementierung von Kontrollen mit der Organisationsarchitektur und der damit verbundenen Sicherheits- und Datenschutzarchitektur übereinstimmt
- Koordinierung der Implementierung der übernommenen Kontrollen mit den Kontrollanbietern
- Ermitteln und Implementieren kompensierender/alternativer Sicherheitskontrollen
- Dokumentation der Kontrollimplementierung
- Dokumentation der Eingaben in die geplanten Kontrollen, ihres erwarteten Verhaltens und der erwarteten Ergebnisse oder Abweichungen
- Überprüfung, ob die dokumentierten Details der Kontrollen dem Zweck, dem Umfang und dem Risikoprofil des Informationssystems entsprechen
- Einholen und Dokumentieren von Implementierungsdetails bei den entsprechenden Organisationseinheiten (z. B. physische Sicherheit, Personalsicherheit, Datenschutz)
Modul 5: Bewertung/Audit der Sicherheits- und Datenschutzkontrollen
- Vorbereitung auf die Bewertung/das Audit
- Anforderungen an Prüfer/Auditoren festlegen
- Festlegen von Zielen und Umfang
- Festlegung von Methoden und Aufwand
- Bestimmung der erforderlichen Ressourcen und der Logistik
- Sammeln und Überprüfen von Artefakten (z. B. frühere Bewertungen/Audits, Systemdokumentation, Richtlinien)
- Fertigstellung des Beurteilungs-/Auditplans
- Durchführung der Bewertung/des Audits
- Sammeln und Dokumentieren der Beurteilungs-/Auditnachweise
- Bewertung/Audit der Implementierung und Validierung der Einhaltung der Vorschriften unter Verwendung genehmigter Bewertungsmethoden (z. B. Befragung, Test und Untersuchung)
- Erstellung des ersten Beurteilungs-/Auditberichts
- Analyse der Beurteilungs-/Audit-Ergebnisse und Ermittlung von Schwachstellen
- Vorschlagen von Abhilfemaßnahmen
- Überprüfung der Anfangsbewertung/des Auditberichts und Durchführung von Abhilfemaßnahmen
- Bestimmen von Risikoreaktionen
- Anwendung der Abhilfemaßnahmen
- Neubewertung und Validierung der behobenen Kontrollen
- Entwicklung eines abschließenden Beurteilungs-/Auditberichts
- Entwicklung eines Sanierungsplans
- Analyse der identifizierten verbleibenden Schwachstellen oder Mängel
- Priorisierung der Maßnahmen auf der Grundlage des Risikoniveaus
- Identifizierung von Ressourcen (z. B. finanziell, personell und technisch) und Festlegung des angemessenen Zeitrahmens/Zeitplans für die Behebung von Mängeln
Modul 6: Autorisierung/Genehmigung des Informationssystems
- Zusammenstellen von Autorisierungs-/Genehmigungsdokumenten zu Sicherheit und Datenschutz
- Zusammenstellen der erforderlichen Sicherheits- und Datenschutzdokumente zur Unterstützung der Autorisierungs-/Genehmigungsentscheidung durch den zuständigen Beamten
- Bestimmen des Risikos eines Informationssystems
- Bewertung des Risikos des Informationssystems
- Bestimmung der Optionen für die Risikobehandlung (d.h. akzeptieren, vermeiden, übertragen, abmildern, teilen)
- Bestimmen des Restrisikos
- Autorisierung/Genehmigung des Informationssystems
- Festlegung der Bedingungen für die Autorisierung/Genehmigung
Modul 7: Kontinuierliche Überwachung
- Ermittlung der Auswirkungen von Änderungen am Informationssystem und der Umgebung
- Identifizierung potenzieller Bedrohungen und Auswirkungen auf den Betrieb des Informationssystems und der Umgebung
- Analyse des Risikos aufgrund der vorgeschlagenen Änderungen unter Berücksichtigung der Risikotoleranz der Organisation
- Vorgeschlagene Änderungen genehmigen und dokumentieren (z. B. Change Control Board (CCB), technischer Prüfungsausschuss)
- Implementierung der vorgeschlagenen Änderungen
- Validierung der korrekten Umsetzung der Änderungen
- Sicherstellen, dass die Aufgaben des Änderungsmanagements durchgeführt werden
- Laufende Bewertungen/Audits auf der Grundlage der organisatorischen Anforderungen durchführen
- Überwachung von Netzwerk-, physischen und personellen Aktivitäten (z. B. nicht autorisierte Vermögenswerte, Personal und damit verbundene Aktivitäten)
- Sicherstellen, dass Schwachstellenscans durchgeführt werden
- Überprüfung automatisierter Protokolle und Warnungen auf Anomalien (z. B. Sicherheitsorchestrierung, Automatisierung und Reaktion)
- Überprüfung der Überwachungsaktivitäten zur Analyse der Lieferkettenrisiken (z. B. Berichte über Cyber-Bedrohungen, Berichte von Behörden, Nachrichtenberichte)
- Aktive Beteiligung an der Reaktionsplanung und Kommunikation von Cyber-Ereignissen
- Sicherstellen, dass die Reaktionsaktivitäten mit internen und externen Interessengruppen koordiniert werden
- Aktualisierung von Dokumentation, Strategien und Taktiken unter Einbeziehung der gewonnenen Erkenntnisse
- Überarbeitung der Überwachungsstrategien auf der Grundlage von Änderungen der Branchenentwicklungen, die durch Aktualisierungen in den Bereichen Recht, Regulierung, Lieferanten, Sicherheit und Datenschutz eingeführt werden
- Aktualisierung der Risikolage für eine kontinuierliche Autorisierung/Genehmigung durch die zuständigen Beamten
- Bestimmung des laufenden Risikos für Informationssysteme
- Aktualisierung des Risikoregisters, der Risikobehandlung und des Abhilfeplans
- Außerbetriebnahme von Informationssystemen
- Ermitteln der Anforderungen für die Stilllegung von Informationssystemen
- Kommunikation über die Stilllegung des Informationssystems
- Informationssystem aus dem Betrieb nehmen
Zertifizierung
Am Ende dieses Intensivkurses legen Sie das folgende Examen im Firebrand Trainingszentrum ab, das durch Ihre Leistungsgarantie abgedeckt ist:
ISC2 Certified in Governance, Risk and Compliance (CGRC) Examen
- Dauer: 3 Stunden
- Format: Multiple choice
- Anzahl der Fragen: 125
- Erforderliche Punktzahl: 700 von 1000 Punkten
- Sprache: English
- Bereiche:
- 16% Kontinuierliche Überwachung
- 16% Informationssicherheits-Risikomanagement-Programm
- 11% Umfang des Informationssystems
- 15% Auswahl und Genehmigung von Sicherheits- und Datenschutzkontrollen
- 16% Implementierung von Sicherheits- und Datenschutzkontrollen
- 16% Bewertung/Audit der Sicherheits- und Datenschutzkontrollen
- 10% Autorisierung/Genehmigung des Informationssystems
Voraussetzungen
Bevor Sie an diesem Intensivkurs teilnehmen, sollten Sie:
- Um sich für den CGRC zu qualifizieren, müssen Sie das Examen bestehen und mindestens zwei Jahre kumulative, bezahlte Berufserfahrung in einem oder mehreren der sieben Bereiche des ISC2 CGRC Common Body of Knowledge (CBK®) vorweisen können.
- Wenn Sie noch nicht über die erforderliche Erfahrung verfügen, können Sie nach erfolgreichem Bestehen des CGRC-Examens ein Associate of ISC2 werden. Der Associate of ISC2 hat dann drei Jahre Zeit, die für die CGRC-Zertifizierung erforderliche Erfahrung zu sammeln.
Leistungspaket
Unser Kurspaket umfasst:
- Umfassende Schulungsmaterialien
- Praxiserfahrene Trainer, die das bewährte Lecture | Lab | ReviewTM-Konzept anwenden
- Moderne Trainingseinrichtungen
- 24 Stunden Zugang zur IT-Lernumgebung
- Prüfungsgebühren*
- Prüfungen werden während des Kurses abgelegt**
- Bei Präsenzkursen: Unterkunft, Frühstück, Mittagessen, Abendessen, Snacks und Getränke
- Firebrand Leistungsgarantie gemäß unseren AGB***
* Ausnahme: Prüfungsgutscheine sind bei folgenden Kursen nicht einbegriffen: Kurse von CREST, BSI Grundschutz Berater und GIAC. Bei diesen Kursen muss die Prüfungsgebühr direkt an den entsprechenden Partner entrichtet werden.
** Ausnahme: Die Prüfungen der COBIT, Cybersecurity Audit, CCAK, IT Risk Fundamentals, IT Audit Fundamentals, CSX-P, ITCA, CET, GIAC, CCSK, CREST Kurse , MSP , BSI Grundschutz Berater sowie EC-Council CPENT werden nicht während des Kurses abgelegt.
*** Wenn ein Kursteilnehmer die Prüfung nicht erfolgreich bestehen sollte, kann der Trainingskurs innerhalb eines Jahres wiederholt werden. Dabei fallen nur die Kosten für die Unterkunft und Verpflegung sowie ggf. die Prüfungsgebühren an. Ausnahme: Bei Kursen von Cisco und VMware entstehen außerdem zusätzliche Kosten für die Nutzung der (digitalen) Kursunterlagen und der Lab-/Übungsumgebung.
Vorteile
Sieben Gründe, warum Sie Ihren Kurs bei Firebrand Training absolvieren sollten
- Zwei Möglichkeiten der Schulung. Wählen Sie zwischen Präsenz- und Online-Kursen.
- Schnell zertifiziert. Mit uns werden Sie in Rekordzeit geschult.
- Unser Kurspreis beinhaltet alles. Eine einmalige Kursgebühr deckt alle Kursmaterialien, Prüfungen**, Unterkunft* und Mahlzeiten* ab. Keine versteckten Extrakosten.
- Bestehen Sie beim ersten Mal oder trainieren Sie erneut kostenlos. Das ist unsere Garantie. Wir sind sicher, dass Sie Ihren Kurs beim ersten Mal bestehen werden. Wenn nicht, kommen Sie innerhalb eines Jahres wieder und zahlen nur für Unterkunft, Prüfungen und Nebenkosten.
- Sie werden mehr lernen. Ein Tag bei einem traditionellen Schulungsanbieter dauert in der Regel von 9 bis 17 Uhr, mit einer schönen langen Mittagspause. Bei Firebrand Training erhalten Sie mindestens 10 Stunden pro Tag, in denen Sie mit Ihrem Trainer lernen.
- Sie werden schneller lernen. Wahrscheinlich haben Sie einen anderen Lernstil als Ihre Mitschüler. Wir kombinieren visuelle, auditive und taktile Methoden, um den Stoff so zu vermitteln, so dass Sie schneller und leichter lernen.
- Sie werden von den Besten lernen. Seit 2010 wurden wir jedes Jahr von der Schulungsbranche zu den „Top 20 IT-Schulungsunternehmen des Jahres“ gewählt. Wir haben nicht nur viele weitere Auszeichnungen erhalten, sondern auch über 135.000 Fachleute geschult und zertifiziert.
- Nur für Schulungen vor Ort. Gilt nicht für Online-Kurse.
** Es gelten einige Ausnahmen. Bitte lesen Sie die Prüfungsübersicht oder sprechen Sie mit unseren Experten
Machen Sie einen kostenlosen Praxistest, um Ihr Wissen einzuschätzen! Kostenloser Übungstest