Certified Chief Information Security Officer (CCISO) – Details

Detaillierter Kursinhalt

Bereich 1: Sicherheit, Risiko und Compliance
Governance

  • Definieren, implementieren, verwalten und pflegen Sie ein Informationssicherheits-Governance-Programm, das Führung, Organisationsstrukturen und Prozesse umfasst.
  • Anpassung des Rahmens für die Informationssicherheits-Governance an die Ziele und die Governance des Unternehmens, d. h. an Führungsstil, Philosophie, Werte, Standards und Richtlinien.
  • Aufbau einer Managementstruktur für die Informationssicherheit.
  • Schaffung eines Rahmens für die Überwachung der Informationssicherheits-Governance (unter Berücksichtigung von Kosten-Nutzen-Analysen von Kontrollen und ROI).
  • Verstehen von Standards, Verfahren, Richtlinien, Grundsätzen, Vorschriften und rechtlichen Aspekten, die das Informationssicherheitsprogramm betreffen.
  • Verständnis für die Einhaltung der Vorschriften zur Informationssicherheit im Unternehmen


Risk Management

  • Erstellung einer Richtlinie und Charta für das Risikomanagementprogramm
  • Erstellung einer Methodik und eines Rahmens für die Risikobewertung
  • Erstellung und Verwaltung eines Risikoregisters
  • Zeitplan und Checklisten für die Risikobewertung erstellen
  • Erstellung von Risikoberichtsmetriken und -prozessen


Einhaltung der Vorschriften

  • Analyse und Verständnis gängiger externer Gesetze, Vorschriften, Normen, bewährter Praktiken, die auf die Organisation anwendbar sind, sowie der Organisationsethik.
  • Vertrautheit mit internationalen Sicherheits- und Risikonormen wie den ISO 27000- und 31000-Reihen
  • Umsetzung und Verwaltung von Strategien, Plänen, Richtlinien und Verfahren für die Informationssicherheit zur Verringerung der gesetzlichen Risiken
  • die Bedeutung von Organisationen, die für die Informationssicherheit zuständig sind, sowie von entsprechenden Branchengruppen und Interessengruppen zu verstehen
  • Verstehen von Änderungen, Trends und bewährten Verfahren im Bereich der Informationssicherheit
  • Verstehen und Verwalten von Unternehmenskontrollen für Compliance-Programme, von Prozessen und Verfahren zur Einhaltung der Informationssicherheit, von Compliance-Prüfungen und Zertifizierungsprogrammen
  • Verstehen der Prozesse und Verfahren zur Einhaltung der Informationssicherheit
  • Zusammenstellen, Analysieren und Berichten von Compliance-Programmen
  • Verständnis der Programme zur Prüfung der Einhaltung von Vorschriften und zur Kortikation
  • Befolgung der Organisationsethik


Bereich 2: Informationssicherheitskontrollen und Auditmanagement
Managementkontrollen für die Informationssicherheit

  • Identifizierung der operativen Prozesse und Ziele der Organisation
  • Entwicklung von Kontrollen für Informationssysteme in Übereinstimmung mit den betrieblichen Erfordernissen und Zielen und Durchführung von Tests vor der Implementierung, um die Wirksamkeit sicherzustellen
  • Identifizierung und Auswahl der Ressourcen, die für eine wirksame Umsetzung und Aufrechterhaltung der Kontrollen von Informationssystemen erforderlich sind. Zu diesen Ressourcen können Humankapital, Informationen, Infrastruktur und Architektur (z. B. Plattformen, Betriebssysteme, Netzwerke, Datenbanken, Anwendungen) gehören.
  • Entwurf und Umsetzung von Kontrollen der Informationssysteme zur Risikominderung. Überwachung und Dokumentation der Kontrollleistung der Informationssysteme im Hinblick auf die Erreichung der Unternehmensziele durch Ermittlung und Messung von Metriken und wichtigen Leistungsindikatoren
  • Entwurf und Durchführung von Tests der Informationssicherheitskontrollen, um die Wirksamkeit zu gewährleisten, Mängel aufzudecken und die Abstimmung mit dem Risikomanagementprogramm des Unternehmens sicherzustellen
  • Entwicklung und Umsetzung von Verfahren zur angemessenen Behebung von Mängeln und Bewertung von Problemverwaltungspraktiken, um sicherzustellen, dass Fehler zeitnah erfasst, analysiert und behoben werden
  • Bewertung und Umsetzung von Instrumenten und Techniken zur Automatisierung von Kontrollprozessen für Informationssysteme.
  • Messung, Verwaltung und Berichterstattung über die Umsetzung und Wirksamkeit von Sicherheitskontrollen


Audit Management

  • den IT-Prüfungsprozess verstehen und mit den IT-Prüfungsstandards vertraut sein
  • Anwendung von Grundsätzen, Fähigkeiten und Techniken der Prüfung von Informationssystemen bei der Überprüfung und dem Testen von Informationssystemtechnologie und -anwendungen, um eine gründliche risikobasierte IT-Prüfungsstrategie zu entwerfen und umzusetzen
  • Durchführung des Auditprozesses in Übereinstimmung mit den festgelegten Standards und Interpretation der Ergebnisse anhand der definierten Kriterien, um sicherzustellen, dass die Informationssysteme geschützt, kontrolliert und bei der Unterstützung der Unternehmensziele effektiv sind
  • Bewertung der Prüfungsergebnisse unter Abwägung der Relevanz, der Genauigkeit und der Perspektive der Schlussfolgerungen anhand der gesammelten Prüfungsnachweise
  • Bewertung der Risiken, die sich aus unwirksamen oder fehlenden Kontrollpraktiken ergeben, und Ausarbeitung eines praktischen und kostengünstigen Plans zur Verbesserung dieser Bereiche
  • Entwicklung eines Prozesses zur Dokumentation von IT-Prüfungen und Weitergabe von Berichten an relevante Interessengruppen als Grundlage für die Entscheidungsfindung
  • Sicherstellung, dass die auf der Grundlage der Prüfungsfeststellungen erforderlichen Änderungen rechtzeitig und wirksam umgesetzt werden


Bereich 3: Verwaltung und Betrieb von Sicherheitsprogrammen
Verwaltung von Sicherheitsprogrammen

  • Entwickeln Sie für jedes Informationssystemprojekt eine klare Erklärung zum Projektumfang in Übereinstimmung mit den Unternehmenszielen.
  • Definition der Aktivitäten, die für die erfolgreiche Durchführung des Informationssystemprogramms erforderlich sind, Abschätzung der Dauer der Aktivitäten und Entwicklung eines Zeit- und Personalplans
  • Entwicklung, Verwaltung und Überwachung des Budgets für das Informationssystemprogramm, Schätzung und Kontrolle der Kosten der einzelnen Projekte
  • Ermittlung, Verhandlung, Beschaffung und Verwaltung der für die erfolgreiche Entwicklung und Umsetzung des Informationssystemprogramms erforderlichen Ressourcen (z. B. Mitarbeiter, Infrastruktur und Architektur)
  • Akquisition, Aufbau und Leitung eines Projektteams für Informationssicherheit
  • Zuweisung klarer Aufgaben für das Informationssicherheitspersonal und kontinuierliche Schulung, um effektive Leistung und Verantwortlichkeit zu gewährleisten
  • Leitung von Informationssicherheitspersonal und Aufbau von Kommunikation und Teamaktivitäten zwischen dem Informationssystemteam und anderem sicherheitsrelevanten Personal (z. B. technischer Support, Incident Management, Sicherheitstechnik)


Betrieb des Sicherheitsprogramms

  • Lösung von Personal- und Teamarbeitsproblemen im Rahmen von Zeit-, Kosten- und Qualitätsvorgaben
  • Identifizierung, Aushandlung und Verwaltung von Lieferantenvereinbarungen und -gemeinschaften
  • Zusammenarbeit mit Anbietern und Interessengruppen zur Überprüfung/Bewertung empfohlener Lösungen; Ermittlung von Inkompatibilitäten, Herausforderungen oder Problemen mit vorgeschlagenen Lösungen
  • Bewertung der Projektmanagementpraktiken und -kontrollen, um festzustellen, ob die Geschäftsanforderungen auf kosteneffiziente Weise erfüllt werden und gleichzeitig die Risiken für das Unternehmen beherrscht werden
  • Entwicklung eines Plans zur kontinuierlichen Messung der Wirksamkeit der Informationssystemprojekte, um eine optimale Systemleistung zu gewährleisten
  • Identifizierung von Stakeholdern, Steuerung der Erwartungen der Stakeholder und effektive Kommunikation, um über Fortschritte und Leistungen zu berichten
  • Sicherstellung, dass die erforderlichen Änderungen und Verbesserungen an den Verfahren der Informationssysteme nach Bedarf umgesetzt werden


Bereich 4: Kernkompetenzen der Informationssicherheit
Zugangskontrolle

  • die Kriterien für obligatorische und willkürliche Zugangskontrollen zu identifizieren, die verschiedenen Faktoren zu verstehen, die bei der Durchführung von Zugangskontrollen helfen, und einen Zugangskontrollplan zu entwerfen
  • Umsetzung und Verwaltung eines Zugangskontrollplans im Einklang mit den Grundprinzipien der Zugangskontrollsysteme, wie z. B. dem Grundsatz "Kenntnis nur, wenn nötig".
  • verschiedene Zugangskontrollsysteme wie ID-Karten und biometrische Systeme zu identifizieren
  • die Bedeutung von Warnbannern für die Umsetzung von Zugangsregeln verstehen
  • Entwicklung von Verfahren, die sicherstellen, dass die Systembenutzer ihre Verantwortlichkeiten im Bereich der internen Kontrolle kennen, bevor sie Zugang zu den Informationssystemen gewähren


Social Engineering, Phishing-Angriffe, Identitätsdiebstahl

  • Verständnis verschiedener Social-Engineering-Konzepte und ihrer Rolle bei Insider-Angriffen sowie Entwicklung von Best Practices zur Abwehr von Social-Engineering-Angriffen
  • Erstellung eines Reaktionsplans für Fälle von Identitätsdiebstahl
  • Identifizierung und Entwicklung eines Plans zur Abwehr von Phishing-Angriffen


Physische Sicherheit

  • Identifizierung von Normen, Verfahren, Richtlinien, Grundsätzen, Vorschriften und Gesetzen für die physische Sicherheit
  • Bestimmen Sie den Wert von Sachwerten und die Auswirkungen, wenn diese nicht verfügbar sind.
  • Entwurf, Umsetzung und Verwaltung eines umfassenden, koordinierten und ganzheitlichen Plans für die physische Sicherheit, um die Sicherheit der gesamten Organisation zu gewährleisten, einschließlich eines Prüfungsplans und Leistungskennzahlen


Disaster Recovery und Planung der Geschäftskontinuität

  • Entwicklung, Umsetzung und Überwachung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs, zur Wiederherstellung des Geschäftsbetriebs, zur Notfallplanung und zur Wiederherstellung im Katastrophenfall sowie Gewährleistung der Übereinstimmung mit den Unternehmenszielen
  • Direkte Notfallplanung, Operationen und Programme zum Risikomanagement
  • Entwurf eines Dokumentationsprozesses als Teil des Programms zur Aufrechterhaltung des Betriebs
  • Entwurf und Durchführung eines Test- und Aktualisierungsplans für das Programm zur Aufrechterhaltung des Betriebs
  • die Bedeutung der Integration von IA-Anforderungen in den Plan zur Aufrechterhaltung des Betriebs (COOP) verstehen.


Firewall, IDS/IPS und Netzwerkabwehrsysteme

  • Verstehen und Verwalten der Netzwolkensicherheit
  • Identifizierung geeigneter Systeme zur Erkennung und Verhinderung von Eindringlingen für die Informationssicherheit eines Unternehmens
  • Entwurf und Entwicklung eines Programms zur Überwachung von Firewalls und zur Ermittlung von Problemen bei der Firewall-Konfiguration
  • Verständnis von Perimeterschutzsystemen wie Gittersensoren und Zugangskontrolllisten auf Routern, Firewalls und anderen Netzwerkgeräten
  • Identifizierung der grundlegenden Netzwerkarchitektur, Modelle, Protokolle und Komponenten wie Router und Hubs, die eine Rolle bei der Netzwerksicherheit spielen
  • das Konzept der Netzsegmentierung zu verstehen
  • Verwaltung von DMZs, VPN und Telekommunikationstechnologien wie PBX und VoIP
  • Identifizierung von Netzwerkschwachstellen und Untersuchung von Netzwerksicherheitskontrollen wie die Verwendung von SSL und TLS für die Übertragungssicherheit
  • Unterstützung, Überwachung, Prüfung und Behebung von Problemen mit Hardware und Software
  • Verwaltung von Konten, Netzwerkrechten und Zugang zu Systemen und Geräten


Drahtlose Sicherheit

  • Identifizierung von Schwachstellen und Angriffen im Zusammenhang mit drahtlosen Netzwerken und Verwaltung verschiedener Sicherheitstools für drahtlose Netzwerke


Viren, Trojaner und Malware sowie andere Bedrohungen durch bösartigen Code

  • Bewertung der Bedrohung der Unternehmenssicherheit durch Viren, Trojaner und Malware und Ermittlung der Quellen und Medien für die Infektion mit Malware
  • Bereitstellung und Verwaltung von Antiviren-Systemen
  • Entwicklung von Verfahren zur Bekämpfung von Viren-, Trojaner- und Malware-Bedrohungen, einschließlich der Schulung von Sicherheitsteams und Nicht-Sicherheitsteams in sicheren Entwicklungsverfahren


Bewährte Praktiken der sicheren Kodierung und Absicherung von Webanwendungen

  • Entwicklung und Pflege von Software-Sicherheitsprogrammen in Übereinstimmung mit den Grundsätzen der sicheren Kodierung und jeder Phase des Systementwicklungszyklus (SDLC)
  • Verstehen verschiedener Systementwicklungsverfahren
  • Konfigurieren und Ausführen von Tools, die bei der Entwicklung sicherer Programme helfen
  • Verstehen von Techniken zur Analyse von Software-Schwachstellen, einschließlich statischem Code, dynamischem Code und Analyse der Softwarezusammensetzung.
  • die IT-Systeme in einer Testkonfiguration zu installieren und zu betreiben, die den Programmcode nicht verändert und die Sicherheitsvorkehrungen nicht beeinträchtigt
  • Identifizierung von Schwachstellen und Angriffen auf Webanwendungen sowie von Sicherheitswerkzeugen für Webanwendungen zur Abwehr von Angriffen OS-Härtung
  • Identifizierung verschiedener Schwachstellen und Angriffe auf Betriebssysteme und Entwicklung eines Plans zur Absicherung von Betriebssystemen
  • Verstehen von Systemprotokollen, Patch-Management-Verfahren und Konfigurationsmanagement für die Sicherheit von Informationssystemen


Verschlüsselungstechnologien

  • Verstehen des Konzepts der Ver- und Entschlüsselung, digitaler Zertifikate, der Public-Key-Infrastruktur und der wichtigsten Unterschiede zwischen Kryptographie und Steganographie
  • die verschiedenen Komponenten eines Kryptosystems zu identifizieren
  • Entwicklung eines Plans für Verschlüsselungstechniken zur Informationssicherheit


Schwachstellenbewertung und Penetrationstests

  • Entwurf, Entwicklung und Umsetzung eines Programms für Penetrationstests auf der Grundlage einer Penetrationstest-Methodik zur Gewährleistung der organisatorischen Sicherheit
  • Identifizierung verschiedener Schwachstellen in Informationssystemen und rechtliche Fragen im Zusammenhang mit Penetrationstests
  • Entwicklung von Verfahren vor und nach der Prüfung
  • Entwicklung eines Plans für die Berichterstattung über Pen-Tests und die Umsetzung von technischen Schwachstellenbehebungen
  • Entwicklung von Systemen zum Management von Schwachstellen


Management von Bedrohungen

  • Erstellung und Verwaltung eines Programms zur Verwaltung von Bedrohungen, einschließlich Bedrohungsdaten, Bedrohungen durch Dritte und Sicherheitsbulletins für Hardware und Software, insbesondere Open-Source-Software


Reaktion auf Zwischenfälle und Computerforensik

  • Entwicklung eines Plans zur Identifizierung eines potenziellen Sicherheitsverstoßes und Ergreifen geeigneter Maßnahmen zur Meldung des Vorfalls
  • Einhaltung der Verfahren zur Beendigung des Systems und der Meldepflichten bei potenziellen Sicherheitsvorfällen oder tatsächlichen Verstößen
  • Bewertung potenzieller Sicherheitsverstöße, um festzustellen, ob gegen die Netzwerksicherheitsrichtlinien verstoßen wurde, Bewertung der Auswirkungen und Beweissicherung
  • Diagnose und Lösung von IA-Problemen in Reaktion auf gemeldete Vorfälle
  • Entwicklung von Verfahren zur Reaktion auf Vorfälle, einschließlich Tests, Tischübungen und Playbooks
  • Identifizieren Sie die flüchtigen und beständigen Systeminformationen
  • Entwicklung von Richtlinien, um festzustellen, ob ein Sicherheitsvorfall auf einen Gesetzesverstoß hinweist, der besondere rechtliche Maßnahmen erfordert
  • Einrichtung und Verwaltung von forensischen Labors und Programmen
  • Verstehen verschiedener digitaler Mediengeräte, Grundsätze und Praktiken der e-Discovery und verschiedener Dateisysteme
  • Entwicklung und Verwaltung eines organisatorischen Programms für digitale Forensik
  • Einrichtung, Aufbau und Leitung von Teams für forensische Untersuchungen
  • Gestaltung von Ermittlungsprozessen wie Beweissammlung, Bildgebung, Datenerfassung und -analyse
  • Ermittlung der besten Verfahren zur Beschaffung, Speicherung und Verarbeitung digitaler Beweismittel
  • Konfigurieren und Verwenden verschiedener forensischer Untersuchungstools
  • Entwurf von Anti-Forensik-Techniken


Bereich 5: Strategische Planung, Finanzen, Beschaffung und Verwaltung von Drittanbietern
Strategische Planung

  • Entwurf, Entwicklung und Pflege einer unternehmensweiten Informationssicherheitsarchitektur (EISA) durch Abstimmung von Geschäftsprozessen, IT-Software und -Hardware, lokalen und Weitverkehrsnetzen, Mitarbeitern, Abläufen und Projekten mit der allgemeinen Sicherheitsstrategie des Unternehmens
  • Durchführung externer Analysen des Unternehmens (z. B. Analyse von Kunden, Wettbewerbern, Märkten und Branchenumfeld) und interner Analysen (Risikomanagement, organisatorische Fähigkeiten, Leistungsmessung usw.) und deren Nutzung zur Ausrichtung des Informationssicherheitsprogramms auf die Ziele des Unternehmens
  • Identifizierung und Beratung mit wichtigen Interessengruppen, um sicherzustellen, dass die Ziele der Organisation verstanden werden
  • Definition eines zukunftsorientierten, visionären und innovativen strategischen Plans für die Rolle des Informationssicherheitsprogramms mit klaren Zielen und Vorgaben, die die betrieblichen Anforderungen des Unternehmens unterstützen
  • Festlegung wichtiger Leistungsindikatoren und kontinuierliche Messung der Wirksamkeit
  • Bewertung und Anpassung der Sicherheitsressourcen, um sicherzustellen, dass sie die strategischen Ziele der Organisation unterstützen
  • Überwachung und Aktualisierung der Aktivitäten zur Gewährleistung von Verantwortlichkeit und Fortschritt


Finanzen

  • Analyse, Prognose und Entwicklung des Betriebsbudgets des Sicherheitsdienstes
  • Beschaffung und Verwaltung der erforderlichen Ressourcen für die Umsetzung und Verwaltung des Informationssicherheitsplans
  • Zuweisung von Finanzmitteln für Projekte, Prozesse und Einheiten innerhalb des Informationssicherheitsprogramms
  • Überwachung und Beaufsichtigung des Kostenmanagements von Projekten im Bereich der Informationssicherheit, der Kapitalrendite (ROI) wichtiger Anschaffungen im Zusammenhang mit der IT-Infrastruktur und der Sicherheit und Gewährleistung der Übereinstimmung mit dem strategischen Plan
  • Ermittlung von Finanzkennzahlen und Berichterstattung an die Beteiligten
  • Ausgewogenheit des IT-Sicherheitsinvestitionsportfolios auf der Grundlage von EISA-Überlegungen und den Sicherheitsprioritäten des Unternehmens
  • Verstehen des Beschaffungslebenszyklus und Bestimmen der Bedeutung der Beschaffung durch eine Analyse der geschäftlichen Auswirkungen
  • verschiedene Beschaffungsstrategien zu identifizieren und die Bedeutung der Kosten-Nutzen-Analyse bei der Beschaffung eines Informationssystems zu verstehen
  • Verstehen der grundlegenden Beschaffungskonzepte wie Zielvereinbarung (SOO), Leistungsbeschreibung (SOW) und Gesamtbetriebskosten (TCO)
  • Zusammenarbeit mit verschiedenen Interessengruppen (darunter interne Kunden, Rechtsanwälte, IT-Sicherheitsexperten, Datenschutzbeauftragte, Sicherheitsingenieure, Lieferanten und andere) bei der Beschaffung von IT-Sicherheitsprodukten und -dienstleistungen
  • Aufnahme von risikobasierten Sicherheitsanforderungen in Beschaffungspläne, Kostenvoranschläge, Leistungsbeschreibungen, Verträge und Bewertungsfaktoren für die Vergabe, Dienstleistungsvereinbarungen und andere einschlägige Beschaffungsunterlagen
  • Entwurf eines Verfahrens zur Auswahl von Anbietern und einer Verwaltungspolitik
  • Entwicklung von Richtlinien für die Vertragsverwaltung, die die Bewertung und Annahme der im Rahmen eines Vertrags gelieferten IT-Sicherheitsprodukte und -dienstleistungen sowie die Sicherheitsbewertung der zu beschaffenden IT und Software regeln
  • Entwicklung von Maßnahmen und Berichterstattungsstandards zur Messung und Berichterstattung über die wichtigsten Ziele bei Beschaffungen im Einklang mit den IT-Sicherheitsstrategien und -verfahren
  • Verständnis der IA-Sicherheitsanforderungen, die in Leistungsbeschreibungen und anderen geeigneten Beschaffungsdokumenten enthalten sein müssen


Verwaltung von Drittparteien

  • Auswahlverfahren für Dritte gestalten
  • Entwicklung von Richtlinien, Messgrößen und Prozessen für die Verwaltung von Drittanbietern
  • Gestaltung und Verwaltung des Bewertungsverfahrens für Dritte, einschließlich des laufenden Compliance-Managements
  • Entwicklung von Maßnahmen und Berichterstattungsstandards zur Messung und Berichterstattung über die wichtigsten Ziele bei Beschaffungen im Einklang mit den IT-Sicherheitsstrategien und -verfahren
  • Aufnahme von risikobasierten Sicherheitsanforderungen in Beschaffungspläne, Kostenvoranschläge, Leistungsbeschreibungen, Verträge und Bewertungsfaktoren für die Vergabe, Dienstleistungsvereinbarungen und andere einschlägige Beschaffungsunterlagen
  • die Sicherheits-, Datenschutz- und Compliance-Anforderungen zu verstehen, die in Arbeitsbeschreibungen (SOW), Master Service Agreements (MSA) und anderen geeigneten Beschaffungsdokumenten enthalten sein müssen