課程簡介

領域 1 - 資訊安全 Governance (24%)

建立和維護資訊安全治理框架和支援流程,以確保資訊安全戰略與組織目標保持一致,適當管理資訊風險,負責任地管理計劃資源。

  • 1.1 建立和維護符合組織目標的資訊安全戰略,以指導資訊安全計劃的建立和持續管理。
  • 1.2 建立和維護資訊安全治理框架,以指導支持資訊安全戰略的活動。
  • 1.3 將資訊安全治理納入公司治理,以確保資訊安全計劃支援組織目標和目標。
  • 1.4 建立和維護資訊安全政策,以傳達管理層的指令並指導標準、程式和指南的制定。
  • 1.5 開發業務案例以支援對資訊安全的投資。
  • 1.6 確定對組織的內部和外部影響(例如,技術、業務環境、風險承受能力、地理位置、法律和監管要求),以確保資訊安全策略解決這些因素。
  • 1.7 獲得高級管理層的承諾和其他利益相關者的支援,以最大限度地提高成功實施資訊安全戰略的可能性。
  • 1.8 定義並傳達整個組織資訊安全的角色和職責,以建立明確的問責制和權力範圍。
  • 1.9 建立、監控、評估和報告指標(例如,關鍵目標指標 [KGI]、關鍵績效指標 [KPI]、關鍵風險指標 [KRI]),為管理層提供有關資訊安全策略有效性的準確資訊。

領域 2 — 資訊 Risk Management 和法規遵從性 (33%)

將信息風險管理到可接受的級別,以滿足組織的業務和法規遵從性要求。

  • 2.1 建立並維護資訊資產識別和分類流程,以確保為保護資產而採取的措施與其業務價值成正比。
  • 2.2 確定法律、法規、組織和其他適用要求,以將不合規風險管理在可接受的水準。
  • 2.3 確保定期和一致地進行風險評估、脆弱性評估和威脅分析,以識別組織信息的風險。
  • 2.4 確定並實施適當的風險處理方案,將風險控制在可接受的水準。
  • 2.5 評估資訊安全控制措施,以確定它們是否適當,並有效地將風險降低到可接受的水準。
  • 2.6 將資訊風險管理納入業務和資訊技術流程(例如,開發、採購、專案管理、兼併和收購),以促進整個組織一致和全面的信息風險管理流程。
  • 2.7 監控現有風險,以確保正確識別和管理變更。
  • 2.8 向適當的管理層報告信息風險的不合規和其他變化,以協助風險管理決策過程。

領域 3 - 資訊安全計劃開發和 Management (25%)

根據資訊安全策略建立和管理資訊安全計劃。

  • 3.1 建立和維護與資訊安全戰略相一致的資訊安全計劃。
  • 3.2 確保資訊安全計劃與其他業務職能(例如,人力資源 [HR]、會計、採購和IT)保持一致,以支援與業務流程的集成。
  • 3.3 識別、獲取、管理和定義執行資訊安全計劃的內部和外部資源的要求。
  • 3.4 建立和維護資訊安全架構(人員、流程、技術)以執行資訊安全計劃。
  • 3.5 建立、溝通和維護組織資訊安全標準、程式、指南和其他檔,以支持和指導對資訊安全政策的遵守。
  • 3.6 建立和維護資訊安全意識和培訓計劃,以促進安全的環境和有效的安全文化。
  • 3.7 將資訊安全要求整合到組織流程中(例如,變更控制、併購、開發、業務連續性、災難恢復),以維護組織的安全基線。
  • 3.8 將資訊安全要求整合到第三方(例如,合資企業、外包供應商、業務合作夥伴、客戶)的合同和活動中,以維護組織的安全基線。
  • 3.9 建立、監控和定期報告計劃管理和運營指標,以評估資訊安全計劃的有效性和效率。

領域 4 - 資訊安全事件 Management (18%)

規劃、建立和管理檢測、調查、回應資訊安全事件並從中恢復的能力,以最大程度地減少業務影響。

  • 4.1 建立並維護資訊安全事件分類和分類流程,以便準確識別和回應事件。
  • 4.2 建立、維護事件回應計劃,並使之與業務連續性計劃和災難恢復計劃保持一致,以確保有效、及時地響應資訊安全事件。
  • 4.3 制定和實施流程,確保及時識別資訊安全事件。
  • 4.4 建立和維護調查和記錄資訊安全事件的流程,以便能夠在遵守法律、法規和組織要求的同時做出適當的回應並確定其原因。
  • 4.5 建立和維護事件處理流程,以確保適當的利益相關者參與事件回應管理。
  • 4.6 組織、培訓、裝備團隊,及時有效應對資訊安全事件。
  • 4.7 定期測試和審查事件管理計劃,以確保對資訊安全事件的有效回應,並提高回應能力。
  • 4.8 建立和維護溝通計劃和流程,以管理與內部和外部實體的溝通。
  • 4.9 進行事後審查,以確定資訊安全事件的根本原因,制定糾正措施,重新評估風險,評估回應效果並採取適當的補救措施。
  • 4.10 建立並維護事件響應計劃、災難恢復計劃和業務連續性計劃之間的集成。

最低要求

本課程沒有固定的先決條件。ISACA 確實需要至少五年的專業資訊安全工作經驗才有資格獲得全面認證。您可以在滿足 ISACA 的經驗要求之前參加 CISM 考試,但在滿足經驗要求後授予 CISM 資格。但是,在職業生涯的早期階段獲得認證並開始實踐全球公認的資訊安全管理實踐是沒有限制的。

  28 時間:
 

人數


開始於

結束於


Dates are subject to availability and take place between 09:30 and 16:30.
Open Training Courses require 5+ participants.

客戶評論 (10)

相關課程

Java and Web Application Security

  21 時間:

Advanced Java Security

  21 時間:

Advanced Java, JEE and Web Application Security

  28 時間:

Comprehensive C# and .NET Application Security

  21 時間:

Advanced C#, ASP.NET and Web Application Security

  21 時間:

課程分類