Programa do Curso

Domínio 1 — Segurança da Informação Governance (24%)

Estabelecer e manter uma estrutura de governação da segurança da informação e processos de apoio para garantir que a estratégia de segurança da informação esteja alinhada com as metas e objetivos organizacionais, o risco da informação seja gerido de forma adequada e os recursos do programa sejam geridos de forma responsável.

  • 1.1 Estabelecer e manter uma estratégia de segurança da informação alinhada com as metas e objetivos organizacionais para orientar o estabelecimento e a gestão contínua do programa de segurança da informação.
  • 1.2 Estabelecer e manter uma estrutura de governança de segurança da informação para orientar as atividades que apoiam a estratégia de segurança da informação.
  • 1.3 Integrar a governança da segurança da informação na governança corporativa para garantir que as metas e objetivos organizacionais sejam apoiados pelo programa de segurança da informação.
  • 1.4 Estabelecer e manter políticas de segurança da informação para comunicar as diretrizes da administração e orientar o desenvolvimento de padrões, procedimentos e diretrizes.
  • 1.5 Desenvolver casos de negócios para apoiar investimentos em segurança da informação.
  • 1.6 Identifique influências internas e externas à organização (por exemplo, tecnologia, ambiente de negócios, tolerância a riscos, localização geográfica, requisitos legais e regulatórios) para garantir que esses fatores sejam abordados pela estratégia de segurança da informação.
  • 1.7 Obter o compromisso da alta administração e o apoio de outras partes interessadas para maximizar a probabilidade de implementação bem-sucedida da estratégia de segurança da informação.
  • 1.8 Definir e comunicar as funções e responsabilidades da segurança da informação em toda a organização para estabelecer responsabilidades e linhas de autoridade claras.
  • 1.9 Estabelecer, monitorar, avaliar e relatar métricas (por exemplo, indicadores-chave de metas [KGIs], indicadores-chave de desempenho [KPIs], indicadores-chave de risco [KRIs]) para fornecer à gestão informações precisas sobre a eficácia da estratégia de segurança da informação.

Domínio 2 – Risco de Informação Management e Conformidade (33%)

Gerencie o risco de informações a um nível aceitável para atender aos requisitos de negócios e conformidade da organização.

  • 2.1 Estabelecer e manter um processo de identificação e classificação de ativos de informação para garantir que as medidas tomadas para proteger os ativos sejam proporcionais ao seu valor comercial.
  • 2.2 Identificar requisitos legais, regulatórios, organizacionais e outros requisitos aplicáveis para gerenciar o risco de não conformidade a níveis aceitáveis.
  • 2.3 Garantir que avaliações de riscos, avaliações de vulnerabilidade e análises de ameaças sejam realizadas periódica e consistentemente para identificar riscos às informações da organização.
  • 2.4 Determinar e implementar opções apropriadas de tratamento de riscos para gerenciar os riscos a níveis aceitáveis.
  • 2.5 Avaliar os controles de segurança da informação para determinar se eles são apropriados e mitigam efetivamente os riscos a um nível aceitável.
  • 2.6 Integrar o gerenciamento de riscos de informações nos processos de negócios e de TI (por exemplo, desenvolvimento, aquisição, gerenciamento de projetos, fusões e aquisições) para promover um processo de gerenciamento de riscos de informações consistente e abrangente em toda a organização.
  • 2.7 Monitorar os riscos existentes para garantir que as mudanças sejam identificadas e gerenciadas adequadamente.
  • 2.8 Relatar não conformidades e outras alterações no risco de informações à gestão apropriada para auxiliar no processo de tomada de decisão de gestão de riscos.

Domínio 3—Desenvolvimento de Programa de Segurança da Informação e Management (25%)

Estabelecer e gerenciar o programa de segurança da informação em alinhamento com a estratégia de segurança da informação.

  • 3.1 Estabelecer e manter o programa de segurança da informação alinhado com a estratégia de segurança da informação.
  • 3.2 Garantir o alinhamento entre o programa de segurança da informação e outras funções empresariais (por exemplo, recursos humanos [RH], contabilidade, compras e TI) para apoiar a integração com os processos empresariais.
  • 3.3 Identificar, adquirir, gerenciar e definir requisitos de recursos internos e externos para executar o programa de segurança da informação.
  • 3.4 Estabelecer e manter arquiteturas de segurança da informação (pessoas, processos, tecnologia) para executar o programa de segurança da informação.
  • 3.5 Estabelecer, comunicar e manter padrões, procedimentos, diretrizes e outras documentações de segurança da informação organizacional para apoiar e orientar a conformidade com as políticas de segurança da informação.
  • 3.6 Estabelecer e manter um programa de conscientização e treinamento em segurança da informação para promover um ambiente seguro e uma cultura de segurança eficaz.
  • 3.7 Integrar requisitos de segurança da informação nos processos organizacionais (por exemplo, controle de mudanças, fusões e aquisições, desenvolvimento, continuidade de negócios, recuperação de desastres) para manter a linha de base de segurança da organização.
  • 3.8 Integrar requisitos de segurança da informação em contratos e atividades de terceiros (por exemplo, joint ventures, fornecedores terceirizados, parceiros de negócios, clientes) para manter a linha de base de segurança da organização.
  • 3.9 Estabelecer, monitorar e relatar periodicamente métricas operacionais e de gerenciamento do programa para avaliar a eficácia e eficiência do programa de segurança da informação.

Domínio 4 — Incidente de Segurança da Informação Management (18%)

Planeje, estabeleça e gerencie a capacidade de detectar, investigar, responder e se recuperar de incidentes de segurança da informação para minimizar o impacto nos negócios.

  • 4.1 Estabelecer e manter um processo de classificação e categorização de incidentes de segurança da informação para permitir a identificação precisa e a resposta aos incidentes.
  • 4.2 Estabelecer, manter e alinhar o plano de resposta a incidentes com o plano de continuidade de negócios e plano de recuperação de desastres para garantir uma resposta eficaz e oportuna aos incidentes de segurança da informação.
  • 4.3 Desenvolver e implementar processos para garantir a identificação oportuna de incidentes de segurança da informação.
  • 4.4 Estabelecer e manter processos para investigar e documentar incidentes de segurança da informação para poder responder adequadamente e determinar suas causas, ao mesmo tempo em que cumpre os requisitos legais, regulatórios e organizacionais.
  • 4.5 Estabelecer e manter processos de tratamento de incidentes para garantir que as partes interessadas apropriadas estejam envolvidas na gestão da resposta a incidentes.
  • 4.6 Organizar, treinar e equipar equipes para responder eficazmente a incidentes de segurança da informação em tempo hábil.
  • 4.7 Testar e revisar periodicamente os planos de gerenciamento de incidentes para garantir uma resposta eficaz aos incidentes de segurança da informação e melhorar as capacidades de resposta.
  • 4.8 Estabelecer e manter planos e processos de comunicação para gerenciar a comunicação com entidades internas e externas.
  • 4.9 Realizar revisões pós-incidentes para determinar a causa raiz dos incidentes de segurança da informação, desenvolver ações corretivas, reavaliar riscos, avaliar a eficácia da resposta e tomar ações corretivas apropriadas.
  • 4.10 Estabelecer e manter a integração entre o plano de resposta a incidentes, o plano de recuperação de desastres e o plano de continuidade de negócios.

Requisitos

Não há nenhum pré-requisito definido para este curso. A ISACA exige um mínimo de cinco anos de experiência profissional em segurança da informação para se qualificar para a certificação completa. Pode fazer o exame CISM antes de cumprir os requisitos de experiência da ISACA’ mas a qualificação CISM é atribuída depois de cumprir os requisitos de experiência. No entanto, não há qualquer restrição à obtenção da certificação nas fases iniciais da sua carreira e ao início da prática de práticas de gestão da segurança da informação globalmente aceites.

 28 horas

Número de participantes



Preço por participante

Declaração de Clientes (5)

Categorias Relacionadas