Certified Information Security Manager (CISM)
Dauer
4 Tage
Vorkenntnisse
Die CISM-Zertifizierung ist für Informationssicherheits-Profis, Manager und sonstige Sicherheitsanbieter gedacht, die über 3-5 Jahre Praxisnähe oder Managementerfahrungen und Verantwortungen im Sicherheitsbereich verfügen.
Sie müssen ein Minimum von fünf Jahren Berufserfahrung mit Informationssicherheit oder
mindestens drei Jahre Tätigkeit im Bereich Informationssicherheitsmanagement in drei oder
mehr der Arbeitspraxis-Analysebereiche nachweisen können.
Programm
Das CISM Training bietet einen eingehenden, von einem Trainer geleiteten Kurs, um sicherzustellen, dass Sie die Grundlagen erlernen, die für einen Informationssicherheits-Manager wichtig sind.
Dieses Training bietet eingehende, von einem Trainer geleitete Kurse, um sicherzustellen, dass
Sie Grundlagenwissen erwerben, praktische Fertigkeiten erlernen und Ihre Zertifizierung verdienen.
Sie werden gezielt darauf vorbereitet, Ihre neuen Kenntnisse sofort im Beruf einzusetzen.
Informationssicherheit-Governance
- Informationssicherheitskonzepte
- Die Beziehung zwischen Informationssicherheit und Geschäftsbetriebstechniken, die benutzt
werden, um das Engagement der Geschäftsleitung und die Unterstützung des
Informationssicherheitsmanagements zu gewährleisten
- Methoden zur Integration der Informationssicherheits-Governance in das Gesamtrahmenwerk
der Unternehmens-Governance
- Praktiken in Verbindung mit einer Gesamtansatzdirektive, die auf die Geschäftsführung
ausgerichtet ist
- Niveauausrichtung und Erwartung in Bezug auf Informationssicherheit durch Grundsteinlegung
für das Informationssicherheitsmanagement innerhalb einer Organisation
- Eine Informationssicherheits-Lenkungsgruppenfunktion
- Aufgaben, Verantwortungen und Organisationsstruktur des Informationssicherheitsmanagements
- Governance-Bereiche (z. B. Risikomanagement, Datenklassifizierungsmanagement,
Netzwerksicherheit, Systemzugriff)
- Zentralisierte und dezentralisierte Ansätze für die Koordination der Informationssicherheit
- Gesetzliche und behördliche Angelegenheiten in Verbindung mit Internetgeschäften,
globalen Übertragungen und grenzüberschreitenden Datenströmen (z. B. Geheimhaltung,
Steuerrecht und -tarife, Datenimport/-exportbeschränkungen, Verschlüsselungsbeschränkungen,
Gewährleistungen, Patente, Urheberrechte, Berufsgeheimnisse, nationale Sicherheit)
- Gemeinsame Versicherungspolicen und auferlegte Bedingungen (z. B. Kriminalitäts- oder
Veruntreuungsversicherung, Geschäftsunterbrechungen)
- Die Anforderungen für Inhalt und Retention von Geschäftsunterlagen und Compliance
- Der Prozess, Ansätze mit den Geschäftszielen des Unternehmens zu verbinden
- Funktion und Inhalt wesentlicher Elemente eines Informationssicherheitsprogramms
(z. B. Ansatzdarlegungen, Verfahren und Richtlinien)
- Techniken zur Entwicklung eines Informationssicherheitsprozess-Verbesserungsmodells
für nachhaltige und wiederholbare Informationssicherheitsansätze und -verfahren
- Verbesserung des Informationssicherheitsprozesses und seiner Beziehung zum
traditionellen Prozessmanagement
- Verbesserung des Informationssicherheitsprozesses und seiner Beziehung zur
Sicherheitsarchitekturentwicklung und -modellierung
- Verbesserung des Informationssicherheitsprozesses und seiner Beziehung zur
Sicherheits-Infrastruktur
- Allgemein akzeptierte internationale Standards für das Informationssicherheitsmanagement
und verwandte Prozessverbesserungsmodelle
- Die Schlüsselkomponenten von Kosten-Nutzen-Analyse und
Unternehmenstransformations-/migrationsplänen (z. B. architektonische Ausrichtung,
organisatorische Positionierung, Änderungsmanagement, Benchmarking,
Markt-/Wettbewerbsanalyse)
- Methodologie für Geschäftsfallentwicklung und Berechnung des Unternehmenswertvorschlags
Risikomanagement
- Informationsressourcen, die zur Unterstützung der Geschäftsabläufe benutzt werden
- Bewertungsmethodologien für Informationsressourcen
- Informationsklassifizierung
- Prinzipien zur Entwicklung von Basislinien und ihre Beziehung zu risikobasierten Beurteilungen
von Kontrollanforderungen
- Prinzipien und Praktiken des lebenszyklusbasierten Risikomanagements
- Gefahren, Schwachstellen und Risikoanfälligkeit in Verbindung mit Vertraulichkeit, Integrität und
Verfügbarkeit von Informationsressourcen
- Quantitative und qualitative Methoden zur Bestimmung von Sensitivität und Wichtigkeit von
Informationsressourcen und die Auswirkung ungünstiger Ereignisse
- Benutzung der Marktlückenanalyse zur Beurteilung allgemein akzeptierter Standards für
Good Practice beim Informationssicherheitsmanagement im Vergleich zum gegenwärtigen
Zustand
- Amortisationsdauerziele (RTO) für Informationsressourcen und die Bestimmung von RTO
und in welchem Verhältnis diese zur betrieblichen Kontinuität und den Zielen und Prozessen
der Notfallplanung stehen
- Risikomilderungsstrategien, die bei der Definierung der Sicherheitsanforderungen für
Informationsressourcen zur Unterstützung von Unternehmensanwendungen benutzt werden
- Kosten-Nutzen-Analysetechniken zur Beurteilung von Optionen zur Abschwächung von Risiken,
Bedrohungen und Risikoanfälligkeit auf ein annehmbares Niveau
- Management und Reporting des Status identifizierter Risiken
Informationssicherheitsprogramm-Management
- Methoden zur Entwicklung eines Implementierungsplans, der den in der Risikoanalyse
identifizierten Sicherheitsanforderungen entspricht
- Methoden und Techniken für das Projektmanagement
- Die Komponenten eines Informationssicherheits-Governance-Rahmenwerks zur Integration
von Sicherheitsprinzipien, -praktiken, -management und -bewusstsein in alle Aspekte und
Ebenen des Unternehmens
- Sicherheits-Basislinien und Konfigurationsmanagement bei Design und Management von
Geschäftsanwendungen und der Infrastruktur
- Informationssicherheitsarchitekturen: (z.B. Einzelanmeldung, regelbasierte im Gegensatz zu
listenbasierter Systemzugriffskontrolle für Systeme, beschränkte Systemverwaltungspunkte)
- Informationssicherheitstechnologien (z. B. Verschlüsselungstechniken und Digitalunterschriften,
um der Geschäftsleitung die Wahl entsprechender Kontrollvorrichtungen zu ermöglichen)
- Sicherheitsverfahren und Richtlinien für Geschäftsabläufe und Infrastrukturaktivitäten
Systementwicklungs-Lebenszyklusmethodologien (z. B. traditionelles SDLC, Prototypisierung)
- Planung, Durchführung, Reporting und Weiterverfolgung von Sicherheitstests
- Zertifizierung und Akkreditierung der Übereinstimmung der Geschäftsanwendungen und Infrastruktur
mit dem Informationssicherheits-Governance-Rahmenwerk des Unternehmens
- Arten, Vorteile und Kosten physischer, verwaltungstechnischer und technischer Kontrollen
- Planung, Design, Entwicklung, Überprüfung und Implementierung der
Informationssicherheitsanforderungen in die Geschäftsabläufe eines Unternehmens
- Design, Entwicklung und Implementierung von Sicherheitsmetriesystemen
- Methoden und Techniken für das Akquisitionsmanagement (z. B. Beurteilung von Lieferanten
Leistungsumfangsvereinbarungen, Vorbereitung von Verträgen)
Informationssicherheitsmanagement
- Umsetzung von Informationssicherheitsansätzen in betriebliche AnwendungInformationssicherheits
Verwaltungsprozesse und -verfahren
- Methoden zur Verwaltung der Implementierung des Informationssicherheitsprogramms des
Unternehmens durch Drittparteien, einschließlich Handelspartnern und Anbietern von
Sicherheitsdienstleistungen
- Fortwährende Überwachung der Sicherheitsaktivitäten in der Infrastruktur und den
Geschäftsanwendungen des Unternehmens
- Methoden zur Verwaltung von Erfolg/Misserfolg von Informationssicherheitsinvestitionen durch
Datenerfassung und periodische Überprüfung von Schlüssel-Leistungsindikatoren
- Aktivitäten des Änderungs- und Konfigurationsmanagements
- Gebotene Sorgfaltsaktivitäten des Informationssicherheitsmanagements und Überprüfungen
der Infrastruktur
- Verbindungsaktivitäten mit internen/externen Versicherungsanbietern, die
Informationssicherheitsprüfungen durchführen
- Gebotene Sorgfaltsaktivitäten, Revisionen und damit verbundene Standards für Verwaltung
und Kontrolle des Zugriffs auf Informationsressourcen
- Externe Schwachstellen-Reportingquellen, die Informationen liefern, welche Änderungen an
der Informationssicherheit von Anwendungen und Infrastruktur erforderlich machen können
- Ereignisse, welche die Sicherheits-Basislinien beeinträchtigen und Risikobeurteilungen sowie
Änderungen an den Informationssicherheitsanforderungen in Sicherheitsplänen, Testplänen
und Reperfomance erforderlich machen Informationssicherheit-Problemmanagementpraktiken
- Informationssicherheits-Manager übernimmt Aufgaben als Änderungsagent,
Ausbilder und Berater
- Die Art und Weise, in der Kultur und kulturelle Unterschiede das Verhalten des Personals
beeinflussen
- Die Aktivitäten, die Kultur und Verhalten des Personals verändern können
- Methoden und Techniken zur Schulung und Ausbildung eines Sicherheitsbewusstseins
Reaktionsmanagement
- Die Komponenten einer Zwischenfall-Reaktionsfähigkeit
- Informationssicherheits-Notfallmanagementpraktiken (z. B. Produktionsänderungs-
Kontrollaktivitäten, Entwicklung eines Computernotfall-Raktionsteams)
- Notfallplanung und betriebliche Wiederherstellungsprozesse
- Notfall-Wiederherstellungstests für Infrastruktur und wichtige Geschäftsanwendungen
- Eskalationsprozesse für effektives Sicherheitsmanagement
- Ansätze und Prozesse zum Erkennen von Eindringlingen
- Helpdeskprozesse zur Identifizierung von Zwischenfällen, die von Benutzern gemeldet werden,
und Unterscheidung von anderen Angelegenheiten, die vom Helpdesk erledigt werden
- Der Benachrichtigungsprozess bei der Handhabung von Sicherheitszwischenfällen und
Wiederherstellung: (z. B. automatische Benachrichtigungs- und Wiederherstellungsmechanismen,
bspw. als Reaktion auf Virenalarm in Echtzeit)
- Die Anforderungen zur Erfassung und Präsentation von Nachweisen; Regeln für Nachweise,
Zulässigkeit von Nachweisen, Qualität und Vollständigkeit von Nachweisen
- Revisionen und Weiterverfolgungsverfahren nach dem Zwischenfall
Zertifizierung
Die ISACA Prüfung findet weltweit nur 2 mal pro Jahr statt. Die Zertifizierung in diesem Jahr wird am Samstag, der 11. Dezember 2010 stattfinden. Der Anmeldeschluss für die Registrierung zur Zertifizierung ist am Mittwoch den 6. Oktober 2010.
Dieses Seminar führen wir in Kooperation mit einem Partner unserer Knowledge Alliance durch.
