Programa do Curso
Domínio 1 — Segurança da Informação Governance (24%)
Estabelecer e manter uma estrutura de governação da segurança da informação e processos de apoio para garantir que a estratégia de segurança da informação esteja alinhada com as metas e objetivos organizacionais, o risco da informação seja gerido de forma adequada e os recursos do programa sejam geridos de forma responsável.
- 1.1 Estabelecer e manter uma estratégia de segurança da informação alinhada com as metas e objetivos organizacionais para orientar o estabelecimento e a gestão contínua do programa de segurança da informação.
- 1.2 Estabelecer e manter uma estrutura de governança de segurança da informação para orientar as atividades que apoiam a estratégia de segurança da informação.
- 1.3 Integrar a governança da segurança da informação na governança corporativa para garantir que as metas e objetivos organizacionais sejam apoiados pelo programa de segurança da informação.
- 1.4 Estabelecer e manter políticas de segurança da informação para comunicar as diretrizes da administração e orientar o desenvolvimento de padrões, procedimentos e diretrizes.
- 1.5 Desenvolver casos de negócios para apoiar investimentos em segurança da informação.
- 1.6 Identifique influências internas e externas à organização (por exemplo, tecnologia, ambiente de negócios, tolerância a riscos, localização geográfica, requisitos legais e regulatórios) para garantir que esses fatores sejam abordados pela estratégia de segurança da informação.
- 1.7 Obter o compromisso da alta administração e o apoio de outras partes interessadas para maximizar a probabilidade de implementação bem-sucedida da estratégia de segurança da informação.
- 1.8 Definir e comunicar as funções e responsabilidades da segurança da informação em toda a organização para estabelecer responsabilidades e linhas de autoridade claras.
- 1.9 Estabelecer, monitorar, avaliar e relatar métricas (por exemplo, indicadores-chave de metas [KGIs], indicadores-chave de desempenho [KPIs], indicadores-chave de risco [KRIs]) para fornecer à gestão informações precisas sobre a eficácia da estratégia de segurança da informação.
Domínio 2 – Risco de Informação Management e Conformidade (33%)
Gerencie o risco de informações a um nível aceitável para atender aos requisitos de negócios e conformidade da organização.
- 2.1 Estabelecer e manter um processo de identificação e classificação de ativos de informação para garantir que as medidas tomadas para proteger os ativos sejam proporcionais ao seu valor comercial.
- 2.2 Identificar requisitos legais, regulatórios, organizacionais e outros requisitos aplicáveis para gerenciar o risco de não conformidade a níveis aceitáveis.
- 2.3 Garantir que avaliações de riscos, avaliações de vulnerabilidade e análises de ameaças sejam realizadas periódica e consistentemente para identificar riscos às informações da organização.
- 2.4 Determinar e implementar opções apropriadas de tratamento de riscos para gerenciar os riscos a níveis aceitáveis.
- 2.5 Avaliar os controles de segurança da informação para determinar se eles são apropriados e mitigam efetivamente os riscos a um nível aceitável.
- 2.6 Integrar o gerenciamento de riscos de informações nos processos de negócios e de TI (por exemplo, desenvolvimento, aquisição, gerenciamento de projetos, fusões e aquisições) para promover um processo de gerenciamento de riscos de informações consistente e abrangente em toda a organização.
- 2.7 Monitorar os riscos existentes para garantir que as mudanças sejam identificadas e gerenciadas adequadamente.
- 2.8 Relatar não conformidades e outras alterações no risco de informações à gestão apropriada para auxiliar no processo de tomada de decisão de gestão de riscos.
Domínio 3—Desenvolvimento de Programa de Segurança da Informação e Management (25%)
Estabelecer e gerenciar o programa de segurança da informação em alinhamento com a estratégia de segurança da informação.
- 3.1 Estabelecer e manter o programa de segurança da informação alinhado com a estratégia de segurança da informação.
- 3.2 Garantir o alinhamento entre o programa de segurança da informação e outras funções empresariais (por exemplo, recursos humanos [RH], contabilidade, compras e TI) para apoiar a integração com os processos empresariais.
- 3.3 Identificar, adquirir, gerenciar e definir requisitos de recursos internos e externos para executar o programa de segurança da informação.
- 3.4 Estabelecer e manter arquiteturas de segurança da informação (pessoas, processos, tecnologia) para executar o programa de segurança da informação.
- 3.5 Estabelecer, comunicar e manter padrões, procedimentos, diretrizes e outras documentações de segurança da informação organizacional para apoiar e orientar a conformidade com as políticas de segurança da informação.
- 3.6 Estabelecer e manter um programa de conscientização e treinamento em segurança da informação para promover um ambiente seguro e uma cultura de segurança eficaz.
- 3.7 Integrar requisitos de segurança da informação nos processos organizacionais (por exemplo, controle de mudanças, fusões e aquisições, desenvolvimento, continuidade de negócios, recuperação de desastres) para manter a linha de base de segurança da organização.
- 3.8 Integrar requisitos de segurança da informação em contratos e atividades de terceiros (por exemplo, joint ventures, fornecedores terceirizados, parceiros de negócios, clientes) para manter a linha de base de segurança da organização.
- 3.9 Estabelecer, monitorar e relatar periodicamente métricas operacionais e de gerenciamento do programa para avaliar a eficácia e eficiência do programa de segurança da informação.
Domínio 4 — Incidente de Segurança da Informação Management (18%)
Planeje, estabeleça e gerencie a capacidade de detectar, investigar, responder e se recuperar de incidentes de segurança da informação para minimizar o impacto nos negócios.
- 4.1 Estabelecer e manter um processo de classificação e categorização de incidentes de segurança da informação para permitir a identificação precisa e a resposta aos incidentes.
- 4.2 Estabelecer, manter e alinhar o plano de resposta a incidentes com o plano de continuidade de negócios e plano de recuperação de desastres para garantir uma resposta eficaz e oportuna aos incidentes de segurança da informação.
- 4.3 Desenvolver e implementar processos para garantir a identificação oportuna de incidentes de segurança da informação.
- 4.4 Estabelecer e manter processos para investigar e documentar incidentes de segurança da informação para poder responder adequadamente e determinar suas causas, ao mesmo tempo em que cumpre os requisitos legais, regulatórios e organizacionais.
- 4.5 Estabelecer e manter processos de tratamento de incidentes para garantir que as partes interessadas apropriadas estejam envolvidas na gestão da resposta a incidentes.
- 4.6 Organizar, treinar e equipar equipes para responder eficazmente a incidentes de segurança da informação em tempo hábil.
- 4.7 Testar e revisar periodicamente os planos de gerenciamento de incidentes para garantir uma resposta eficaz aos incidentes de segurança da informação e melhorar as capacidades de resposta.
- 4.8 Estabelecer e manter planos e processos de comunicação para gerenciar a comunicação com entidades internas e externas.
- 4.9 Realizar revisões pós-incidentes para determinar a causa raiz dos incidentes de segurança da informação, desenvolver ações corretivas, reavaliar riscos, avaliar a eficácia da resposta e tomar ações corretivas apropriadas.
- 4.10 Estabelecer e manter a integração entre o plano de resposta a incidentes, o plano de recuperação de desastres e o plano de continuidade de negócios.
Requisitos
Não há nenhum pré-requisito definido para este curso. A ISACA exige um mínimo de cinco anos de experiência profissional em segurança da informação para se qualificar para a certificação completa. Pode fazer o exame CISM antes de cumprir os requisitos de experiência da ISACA’ mas a qualificação CISM é atribuída depois de cumprir os requisitos de experiência. No entanto, não há qualquer restrição à obtenção da certificação nas fases iniciais da sua carreira e ao início da prática de práticas de gestão da segurança da informação globalmente aceites.
Declaração de Clientes (7)
Adaptação às necessidades dos formandos em termos de tempo dispendido em cada tema.
Ana - Administração do Porto de Sines e do Algarve, S.A.
Curso - CISM - Certified Information Security Manager
A forma de receber as informações do formador
Mohamed Romdhani - Shams Power
Curso - CISM - Certified Information Security Manager
Machine Translated
Gostei do ritmo e da forma de apresentar a informação. Além disso, a estrutura e as pausas eram muito claras. Para mim foi perfeito!
Martin - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Machine Translated
Como interagiu com os participantes na formação CISM
Aleksandra - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Machine Translated
Exemplos reais e vídeos de apoio à formação.
Lukasz Matusz - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Machine Translated
Analisar as perguntas e a explicação da lógica ISACA
Joanna - EY GLOBAL SERVICES (POLAND) SP Z O O
Curso - CISM - Certified Information Security Manager
Machine Translated
The trainer has a really good knowledge, clear English speech and explains everything in detail, draws schemes and provides documentation.