Schulungsübersicht

Domäne 1 – Governance der Informationssicherheit (24 %)

Aufbau und Pflege eines Informationssicherheits-Governance-Rahmens und unterstützender Prozesse, um sicherzustellen, dass die Informationssicherheitsstrategie mit den Unternehmenszielen übereinstimmt, das Informationsrisiko angemessen verwaltet wird und die Programmressourcen verantwortungsvoll verwaltet werden.

  • 1.1 Erstellung und Pflege einer Informationssicherheitsstrategie, die mit den Zielen der Organisation übereinstimmt, um die Einrichtung und laufende Verwaltung des Informationssicherheitsprogramms zu steuern.
  • 1.2 Einrichtung und Pflege eines Informationssicherheits-Governance-Rahmens zur Steuerung von Aktivitäten, die die Informationssicherheitsstrategie unterstützen.
  • 1.3 Integration der Informationssicherheits-Governance in die Unternehmensführung, um sicherzustellen, dass die Unternehmensziele durch das Informationssicherheitsprogramm unterstützt werden.
  • 1.4 Erstellen und pflegen Sie Informationssicherheitsrichtlinien, um die Anweisungen des Managements zu kommunizieren und die Entwicklung von Standards, Verfahren und Leitlinien zu leiten.
  • 1.5 Entwicklung von Business Cases zur Unterstützung von Investitionen in die Informationssicherheit.
  • 1.6 Identifizierung interner und externer Einflüsse auf die Organisation (z.B. Technologie, Geschäftsumfeld, Risikotoleranz, geographische Lage, rechtliche und behördliche Anforderungen), um sicherzustellen, dass diese Faktoren in der Informationssicherheitsstrategie berücksichtigt werden.
  • 1.7 Einholen des Engagements der Geschäftsleitung und der Unterstützung durch andere Beteiligte, um die Wahrscheinlichkeit einer erfolgreichen Umsetzung der Informationssicherheitsstrategie zu maximieren.
  • 1.8 Definition und Kommunikation der Rollen und Verantwortlichkeiten für die Informationssicherheit im gesamten Unternehmen, um klare Verantwortlichkeiten und Zuständigkeiten festzulegen.
  • 1.9 Festlegung, Überwachung, Bewertung und Berichterstattung von Messgrößen (z.B. wichtige Zielindikatoren [KGI], wichtige Leistungsindikatoren [KPIs], wichtige Risikoindikatoren [KRIs]), um der Geschäftsleitung genaue Informationen über die Wirksamkeit der Informationssicherheitsstrategie zu liefern.

Bereich 2 – Informationsrisikomanagement und Compliance (33 %)

Management des Informationsrisikos auf einem akzeptablen Niveau, um die Geschäfts- und Compliance-Anforderungen der Organisation zu erfüllen.

  • 2.1 Einführung und Aufrechterhaltung eines Verfahrens zur Identifizierung und Klassifizierung von Informationswerten, um sicherzustellen, dass die zum Schutz der Werte ergriffenen Maßnahmen in einem angemessenen Verhältnis zu ihrem Geschäftswert stehen.
  • 2.2 Identifizierung rechtlicher, behördlicher, organisatorischer und anderer anwendbarer Anforderungen, um das Risiko der Nichteinhaltung auf ein akzeptables Niveau zu bringen.
  • 2.3 Stellen Sie sicher, dass regelmäßig und konsequent Risikobewertungen, Schwachstellenbeurteilungen und Bedrohungsanalysen durchgeführt werden, um Risiken für die Informationen der Organisation zu ermitteln.
  • 2.4 Bestimmung und Umsetzung geeigneter Optionen zur Risikobehandlung, um das Risiko auf ein akzeptables Niveau zu bringen.
  • 2.5 Bewertung der Informationssicherheitskontrollen, um festzustellen, ob sie angemessen sind und das Risiko wirksam auf ein akzeptables Niveau reduzieren.
  • 2.6 Integration des Informationsrisikomanagements in Geschäfts- und IT-Prozesse (z.B. Entwicklung, Beschaffung, Projektmanagement, Fusionen und Akquisitionen) zur Förderung eines konsistenten und umfassenden Informationsrisikomanagementprozesses in der gesamten Organisation.
  • 2.7 Überwachung bestehender Risiken, um sicherzustellen, dass Änderungen erkannt und angemessen gehandhabt werden.
  • 2.8 Meldung von Verstößen und anderen Änderungen des Informationsrisikos an das zuständige Management zur Unterstützung des Entscheidungsprozesses im Risikomanagement.

Domäne 3 – Entwicklung und Verwaltung von Informationssicherheitsprogrammen (25 %)

Erstellung und Verwaltung des Informationssicherheitsprogramms in Übereinstimmung mit der Informationssicherheitsstrategie.

  • 3.1 Aufbau und Pflege des Informationssicherheitsprogramms in Abstimmung mit der Informationssicherheitsstrategie.
  • 3.2 Sicherstellung der Abstimmung zwischen dem Informationssicherheitsprogramm und anderen Geschäftsfunktionen (z.B. Personalwesen [HR], Buchhaltung, Beschaffung und IT) zur Unterstützung der Integration in die Geschäftsprozesse.
  • 3.3 Identifizierung, Beschaffung, Verwaltung und Definition der Anforderungen an interne und externe Ressourcen zur Durchführung des Informationssicherheitsprogramms.
  • 3.4 Aufbau und Pflege von Informationssicherheitsarchitekturen (Menschen, Prozesse, Technologie) zur Durchführung des Informationssicherheitsprogramms.
  • 3.5 Erstellung, Kommunikation und Pflege von organisatorischen Informationssicherheitsstandards, -verfahren, -richtlinien und anderen Unterlagen zur Unterstützung und Anleitung der Einhaltung von Informationssicherheitsrichtlinien.
  • 3.6 Einrichtung und Pflege eines Programms zur Sensibilisierung für die Informationssicherheit und zur Schulung, um eine sichere Umgebung und eine effektive Sicherheitskultur zu fördern.
  • 3.7 Integrieren Sie die Anforderungen an die Informationssicherheit in die organisatorischen Prozesse (z. B. Änderungskontrolle, Fusionen und Übernahmen, Entwicklung, Geschäftskontinuität, Notfallwiederherstellung), um die Sicherheitsgrundlagen der Organisation aufrechtzuerhalten.
  • 3.8 Integrieren Sie Informationssicherheitsanforderungen in Verträge und Aktivitäten Dritter (z. B. Joint Ventures, ausgelagerte Anbieter, Geschäftspartner, Kunden), um die Sicherheitsgrundlagen der Organisation aufrechtzuerhalten.
  • 3.9 Festlegung, Überwachung und regelmäßige Berichterstattung von Programmmanagement- und Betriebskennzahlen zur Bewertung der Effektivität und Effizienz des Informationssicherheitsprogramms.

Bereich 4 – Informationssicherheitsvorfallmanagement (18 %)

Planen, Einrichten und Verwalten der Fähigkeit, Vorfälle im Bereich der Informationssicherheit zu erkennen, zu untersuchen, darauf zu reagieren und sich davon zu erholen, um die Auswirkungen auf das Geschäft zu minimieren.

  • 4.1 Einführung und Pflege eines Klassifizierungs- und Kategorisierungsprozesses für Informationssicherheitsvorfälle, um eine genaue Identifizierung von und Reaktion auf Vorfälle zu ermöglichen.
  • 4.2 Erstellung, Pflege und Abstimmung des Reaktionsplans auf Vorfälle mit dem Geschäftskontinuitätsplan und dem Notfallwiederherstellungsplan, um eine effektive und rechtzeitige Reaktion auf Vorfälle im Bereich der Informationssicherheit zu gewährleisten.
  • 4.3 Entwicklung und Umsetzung von Prozessen, die eine rechtzeitige Identifizierung von Informationssicherheitsvorfällen gewährleisten.
  • 4.4 Einrichtung und Aufrechterhaltung von Prozessen zur Untersuchung und Dokumentation von Vorfällen im Bereich der Informationssicherheit, um angemessen reagieren und die Ursachen ermitteln zu können, wobei die rechtlichen, regulatorischen und organisatorischen Anforderungen einzuhalten sind.
  • 4.5 Einrichtung und Aufrechterhaltung von Prozessen zur Behandlung von Vorfällen, um sicherzustellen, dass die entsprechenden Interessengruppen in das Management der Reaktion auf Vorfälle einbezogen werden.
  • 4.6 Sie organisieren, schulen und rüsten Teams aus, um effektiv und zeitnah auf Informationssicherheitsvorfälle reagieren zu können.
  • 4.7 Die Pläne für das Management von Zwischenfällen sind regelmäßig zu testen und zu überprüfen, um eine wirksame Reaktion auf Informationssicherheitsvorfälle zu gewährleisten und die Reaktionsmöglichkeiten zu verbessern.
  • 4.8 Erstellung und Pflege von Kommunikationsplänen und -prozessen zur Verwaltung der Kommunikation mit internen und externen Stellen.
  • 4.9 Durchführung von Überprüfungen nach Vorfällen, um die Ursache von Informationssicherheitsvorfällen zu ermitteln, Abhilfemaßnahmen zu entwickeln, das Risiko neu zu bewerten, die Wirksamkeit der Reaktion zu beurteilen und geeignete Abhilfemaßnahmen zu ergreifen.
  • 4.10 Einrichtung und Aufrechterhaltung der Integration zwischen dem Plan zur Reaktion auf Vorfälle, dem Notfallwiederherstellungsplan und dem Plan zur Aufrechterhaltung des Geschäftsbetriebs.

Voraussetzungen

Für diesen Kurs gibt es keine festgelegten Voraussetzungen. ISACA verlangt mindestens fünf Jahre Berufserfahrung im Bereich Informationssicherheit, um sich für die vollständige Zertifizierung zu qualifizieren. Sie können die CISM-Prüfung ablegen, bevor Sie die Erfahrungsanforderungen von ISACA erfüllen, aber die CISM-Qualifikation wird Ihnen erst verliehen, wenn Sie die Erfahrungsanforderungen erfüllt haben. Es gibt jedoch keine Einschränkung, sich bereits in den frühen Phasen Ihrer Karriere zertifizieren zu lassen und mit der Anwendung weltweit anerkannter Praktiken im Bereich Informationssicherheitsmanagement zu beginnen.

 28 Stunden

Teilnehmerzahl


Price per participant (excl. VAT)

Erfahrungsberichte (7)

Kommende Kurse