.png)
17% 领域1 - 信息安全治理
领域1将帮助您深入理解涉及企业治理的文化、法规和结构,同时使您能够分析、规划和发展信息安全策略。这些内容共同为利益相关者在信息安全治理方面提供了高信誉保障。
A-企业治理
- 组织文化
- 法律、法规与合同要求
- 组织架构、岗位和职责
B-信息安全策略
- 信息安全策略制定
- 信息治理框架与标准
- 战略规划(如预算、资源调配及商业案例)
20% 领域2 - 信息安全风险管理
这一领域将使您具备分析和识别潜在信息安全风险、威胁及脆弱性的能力,并为您提供在管理层级执行所需的所有关于识别与对抗信息安全风险的信息。
A-信息安全风险评估
- 新兴风险与威胁态势
- 脆弱性与控制缺陷分析
- 风险评估与分析
B-信息安全风险响应
- 风险处理/风险应对策略
- 风险与控制权责归属
- 风险监控与报告
33% 领域3 - 信息安全计划
该领域涵盖了信息安全所需的资源、资产分类及框架,并赋予您管理信息安全项目的能力,包括安全控制的实施、测试、沟通与报告。
A-信息安全项目开发
- 信息安全项目资源(例如:人力资源、工具与技术)
- 信息资产识别与分类
- 信息安全行业标准与框架
- 信息安全政策、程序及指南
B-信息安全项目管理
- 信息安全控制设计与选择
- 信息安全控制实施与集成
- 信息安全控制测试与评估
- 信息安全意识与培训
- 外部服务管理(例如:供应商、第三方、第四方)
- 信息安全项目沟通与报告
30% 领域4 - 事件管理
领域4提供深度的风险管理和应急准备培训,内容包括如何帮助企业应对突发事件以及指导灾后恢复。模块B涵盖了事件管理所需的工具、评估方法及遏制措施。
A-事件管理准备
- 事件响应计划
- 业务影响分析 (BIA)
- 业务连续性计划 (BCP)
- 灾难恢复计划 (DRP)
- 事件分类/分级
- 事件管理培训、测试与评估
B-事件管理操作
- 事件管理工具与技术
- 事件调查与评估
- 事件遏制方法
- 事件响应沟通(例如:报告、通知、升级)
- 事件根除与恢复
- 事后审查实践
支持下列任务
支持下列任务:
- 确定影响组织信息安全策略的内部和外部因素。
- 根据组织目标与战略制定或维护信息安全策略。
- 建立并/或维护与组织治理相结合的信息安全治理框架。
- 将信息安全治理融入企业治理中。
- 制定和维护指导标准、程序及指南发展的信息安全政策。
- 制定商业案例以支持在信息安全方面的投资。
- 获得高级管理层和其他利益相关者的持续承诺,以支持信息安全策略的成功实施。
- 在整个组织及其权限层级内定义、沟通和监控信息安全责任。
- 编制并向关键利益相关者报告关于信息安全活动、趋势以及整体有效性的报告。
- 评估并向关键利益相关者报告信息安全指标。
- 根据信息安全策略建立和/或维护信息安全计划。
- 使信息安全计划与其它业务职能的操作目标保持一致。
- 建立和维护执行信息安全计划所需的信息安全流程和资源。
- 制定、推广和维护组织的信息安全政策、标准、指南、程序和其他文档。
- 建立、推广和维护信息安全管理意识和培训项目。
- 将信息安全要求融入组织流程,以维持组织的安全策略。
- 将信息安全要求整合到第三方合同及活动之中。
- 监控外部方对既定安全要求的遵守情况。
- 定义和监控信息安全计划的管理和运营指标。
- 建立和/或维护信息资产识别与分类过程。
- 确定法律、监管、组织及其他适用的合规要求。
- 参与并/或监督风险识别、风险评估和风险处理过程。
- 参与并/或监督漏洞评估和威胁分析过程。
- 根据组织的风险承受能力,识别、推荐或实施适当的风险处理和响应选项,以将风险管理至可接受水平。
- 确定信息安全控制是否恰当且能有效管理风险至可接受程度。
- 协调将信息风险管理融入业务和IT流程中。
- 监控可能导致重新评估风险的内外部因素。
- 向关键利益相关者报告信息安全风险(包括不合规情况和信息风险变化),以促进风险管理决策过程。
- 按照业务连续性和灾难恢复计划,建立和维护事件响应计划。
- 建立和维护信息安全管理分类和归类过程。
- 开发和实施确保及时发现信息安全事件的流程。
- 按照法律和监管要求,建立和维护调查和记录信息安全事件的过程。
- 建立和维护包含遏制、通知、升级、根除和恢复在内的事件处理流程。
- 组织、培训、配备资源,并分配给应急响应团队职责。
- 建立和维护针对内部和外部各方的事件通信计划和流程。
- 通过定期的桌面演练、检查表审查和模拟测试等方式,评估事件管理计划的有效性。
- 进行事后回顾以促进持续改进,包括根本原因分析、经验教训总结、纠正措施以及风险再评估。
