Programa do Curso

Domínio 1 — Segurança da Informação Governance (24%)

Estabelecer e manter uma estrutura de governação da segurança da informação e processos de apoio para garantir que a estratégia de segurança da informação esteja alinhada com as metas e objetivos organizacionais, o risco da informação seja gerido de forma adequada e os recursos do programa sejam geridos de forma responsável.

  • 1.1 Estabelecer e manter uma estratégia de segurança da informação alinhada com as metas e objetivos organizacionais para orientar o estabelecimento e a gestão contínua do programa de segurança da informação.
  • 1.2 Estabelecer e manter uma estrutura de governança de segurança da informação para orientar as atividades que apoiam a estratégia de segurança da informação.
  • 1.3 Integrar a governança da segurança da informação na governança corporativa para garantir que as metas e objetivos organizacionais sejam apoiados pelo programa de segurança da informação.
  • 1.4 Estabelecer e manter políticas de segurança da informação para comunicar as diretrizes da administração e orientar o desenvolvimento de padrões, procedimentos e diretrizes.
  • 1.5 Desenvolver casos de negócios para apoiar investimentos em segurança da informação.
  • 1.6 Identifique influências internas e externas à organização (por exemplo, tecnologia, ambiente de negócios, tolerância a riscos, localização geográfica, requisitos legais e regulatórios) para garantir que esses fatores sejam abordados pela estratégia de segurança da informação.
  • 1.7 Obter o compromisso da alta administração e o apoio de outras partes interessadas para maximizar a probabilidade de implementação bem-sucedida da estratégia de segurança da informação.
  • 1.8 Definir e comunicar as funções e responsabilidades da segurança da informação em toda a organização para estabelecer responsabilidades e linhas de autoridade claras.
  • 1.9 Estabelecer, monitorar, avaliar e relatar métricas (por exemplo, indicadores-chave de metas [KGIs], indicadores-chave de desempenho [KPIs], indicadores-chave de risco [KRIs]) para fornecer à gestão informações precisas sobre a eficácia da estratégia de segurança da informação.

Domínio 2 – Risco de Informação Management e Conformidade (33%)

Gerencie o risco de informações a um nível aceitável para atender aos requisitos de negócios e conformidade da organização.

  • 2.1 Estabelecer e manter um processo de identificação e classificação de ativos de informação para garantir que as medidas tomadas para proteger os ativos sejam proporcionais ao seu valor comercial.
  • 2.2 Identificar requisitos legais, regulatórios, organizacionais e outros requisitos aplicáveis para gerenciar o risco de não conformidade a níveis aceitáveis.
  • 2.3 Garantir que avaliações de riscos, avaliações de vulnerabilidade e análises de ameaças sejam realizadas periódica e consistentemente para identificar riscos às informações da organização.
  • 2.4 Determinar e implementar opções apropriadas de tratamento de riscos para gerenciar os riscos a níveis aceitáveis.
  • 2.5 Avaliar os controles de segurança da informação para determinar se eles são apropriados e mitigam efetivamente os riscos a um nível aceitável.
  • 2.6 Integrar o gerenciamento de riscos de informações nos processos de negócios e de TI (por exemplo, desenvolvimento, aquisição, gerenciamento de projetos, fusões e aquisições) para promover um processo de gerenciamento de riscos de informações consistente e abrangente em toda a organização.
  • 2.7 Monitorar os riscos existentes para garantir que as mudanças sejam identificadas e gerenciadas adequadamente.
  • 2.8 Relatar não conformidades e outras alterações no risco de informações à gestão apropriada para auxiliar no processo de tomada de decisão de gestão de riscos.

Domínio 3—Desenvolvimento de Programa de Segurança da Informação e Management (25%)

Estabelecer e gerenciar o programa de segurança da informação em alinhamento com a estratégia de segurança da informação.

  • 3.1 Estabelecer e manter o programa de segurança da informação alinhado com a estratégia de segurança da informação.
  • 3.2 Garantir o alinhamento entre o programa de segurança da informação e outras funções empresariais (por exemplo, recursos humanos [RH], contabilidade, compras e TI) para apoiar a integração com os processos empresariais.
  • 3.3 Identificar, adquirir, gerenciar e definir requisitos de recursos internos e externos para executar o programa de segurança da informação.
  • 3.4 Estabelecer e manter arquiteturas de segurança da informação (pessoas, processos, tecnologia) para executar o programa de segurança da informação.
  • 3.5 Estabelecer, comunicar e manter padrões, procedimentos, diretrizes e outras documentações de segurança da informação organizacional para apoiar e orientar a conformidade com as políticas de segurança da informação.
  • 3.6 Estabelecer e manter um programa de conscientização e treinamento em segurança da informação para promover um ambiente seguro e uma cultura de segurança eficaz.
  • 3.7 Integrar requisitos de segurança da informação nos processos organizacionais (por exemplo, controle de mudanças, fusões e aquisições, desenvolvimento, continuidade de negócios, recuperação de desastres) para manter a linha de base de segurança da organização.
  • 3.8 Integrar requisitos de segurança da informação em contratos e atividades de terceiros (por exemplo, joint ventures, fornecedores terceirizados, parceiros de negócios, clientes) para manter a linha de base de segurança da organização.
  • 3.9 Estabelecer, monitorar e relatar periodicamente métricas operacionais e de gerenciamento do programa para avaliar a eficácia e eficiência do programa de segurança da informação.

Domínio 4 — Incidente de Segurança da Informação Management (18%)

Planeje, estabeleça e gerencie a capacidade de detectar, investigar, responder e se recuperar de incidentes de segurança da informação para minimizar o impacto nos negócios.

  • 4.1 Estabelecer e manter um processo de classificação e categorização de incidentes de segurança da informação para permitir a identificação precisa e a resposta aos incidentes.
  • 4.2 Estabelecer, manter e alinhar o plano de resposta a incidentes com o plano de continuidade de negócios e plano de recuperação de desastres para garantir uma resposta eficaz e oportuna aos incidentes de segurança da informação.
  • 4.3 Desenvolver e implementar processos para garantir a identificação oportuna de incidentes de segurança da informação.
  • 4.4 Estabelecer e manter processos para investigar e documentar incidentes de segurança da informação para poder responder adequadamente e determinar suas causas, ao mesmo tempo em que cumpre os requisitos legais, regulatórios e organizacionais.
  • 4.5 Estabelecer e manter processos de tratamento de incidentes para garantir que as partes interessadas apropriadas estejam envolvidas na gestão da resposta a incidentes.
  • 4.6 Organizar, treinar e equipar equipes para responder eficazmente a incidentes de segurança da informação em tempo hábil.
  • 4.7 Testar e revisar periodicamente os planos de gerenciamento de incidentes para garantir uma resposta eficaz aos incidentes de segurança da informação e melhorar as capacidades de resposta.
  • 4.8 Estabelecer e manter planos e processos de comunicação para gerenciar a comunicação com entidades internas e externas.
  • 4.9 Realizar revisões pós-incidentes para determinar a causa raiz dos incidentes de segurança da informação, desenvolver ações corretivas, reavaliar riscos, avaliar a eficácia da resposta e tomar ações corretivas apropriadas.
  • 4.10 Estabelecer e manter a integração entre o plano de resposta a incidentes, o plano de recuperação de desastres e o plano de continuidade de negócios.

Requisitos

Não há nenhum pré-requisito definido para este curso. A ISACA exige um mínimo de cinco anos de experiência profissional em segurança da informação para se qualificar para a certificação completa. Pode fazer o exame CISM antes de cumprir os requisitos de experiência da ISACA’ mas a qualificação CISM é atribuída depois de cumprir os requisitos de experiência. No entanto, não há qualquer restrição à obtenção da certificação nas fases iniciais da sua carreira e ao início da prática de práticas de gestão da segurança da informação globalmente aceites.

  28 horas
 

Declaração de Clientes (10)

Cursos Relacionados

CRISC - Certified in Risk and Information Systems Control

  21 horas

Microsoft SDL Core

  14 horas

Standard Java Security

  14 horas

Java and Web Application Security

  21 horas

Advanced Java Security

  21 horas

Advanced Java, JEE and Web Application Security

  28 horas

.NET, C# and ASP.NET Security Development

  14 horas

Categorias Relacionadas