CISM(The Certified Information Security Manager,信息安全经理)认证是为信息安全经理和担负信息安全管理职责的专业人士设计的,确保向高级管理层输送:通过认证人员具备有效的安全管理和咨询职业能力。该认证以业务为导向,聚焦信息风险管理,同时在理论上兼顾管理、设计和技术安全问题。
自2002年设立,目前全球累计超过27,000名专业人员获得CISM认证,年度维护率在95%以上。CISM在信息安全认证市场独一无二,因为其专为在信息安全项目管理方面拥有经验的专业人士设计。
CISM影响您的职业和您的组织,对具有能力的信息安全管理专业人才的需求正在上升,CISM认证是这一领域全球公认标准。CISM了解业务,知道如何管理和应用技术到企业和行业。
CISM 认证:
显示您对信息安全项目和广泛业务目标之间关系的深刻理解;
凸显您不仅有信息安全方面的经验,还有在信息安全项目开发和和管理方面的知识和经验;
将您列入行业精英行列;
被认为是必不可少的继续教育、职业发展和交付企业的价值。
企业和政府机构越来越认识到:需要和期望其信息系统和信息技术专业人士持有CISM认证。
拥有CISM认证的员工:
识别关键问题和定制公司具体的做法以支持信息和相关技术的治理;
被企业雇佣,能够为企业带来信誉;
采取一个全面视角展示信息系统安全管理和其组织成功的关系;
向企业客户展现企业在合规性、安全性和完整性方面的承诺,最终促进客户的吸引和保留;
确保在组织信息安全计划和其业务目标之间的一致有所提高;
为企业在信息安全管理方面给跨国客户和企业提供一个证明,为企业带来可信赖性。
汇哲科技资深讲师合力编译的业内首本CISM国际注册信息安全经理中文书(2015版)正式发布,对比2014年汇哲科技发布的CISM国际注册信息安全经理中文书其中更新200余处。自2013年开始由汇哲科技持续开办CISM认证培训多期、服务大批业内信息安全经理与高级管理人员。汇哲科技时刻保持官方更新、补充国际领先知识体系、助力打造属于国际认可的信息安全经理。
主要内容:
一 本章概述 17
1.1介绍 17
1.2本章学习任务和知识点说明 17
1.3自评估练习题 31
二 本章内容 34
1.4 信息安全治理简介 34
1.4.1信息安全治理的重要性 35
1.4.2信息安全治理的成果 36
1.5有效的信息安全治理 37
1.5.1业务目的和目标 38
1.5.2信息安全治理的范围和章程 39
1.5.3高级管理层的角色和职责 40
1.5.4信息安全角色和职责 43
1.5.5治理、风险管理与合规 47
1.5.6信息安全的业务模型 48
1.5.7鉴证流程集成聚合 51
1.6治理和第三方关系 53
1.7信息安全治理指标 53
1.7.1有效的安全指标 54
1.7.2治理实施指标 57
1.7.3战略一致性 57
1.7.4风险管理 58
1.7.5 价值交付 58
1.7.6资源管理 59
1.7.7性能测量 59
1.7.8保证流程集成(整合) 60
1.8信息安全战略简介 60
1.8.1关于战略的其它观点 62
1.9 建立信息安全战略 63
1.9.1常见的隐患 63
1.10信息安全战略目标 65
1.10.1目标 65
1.10.2 定义目标 66
1.10.3 预期的状态 68
1.10.4 风险目标 74
1.11确定当前的安全状态 76
1. 11.1当前的风险 76
1.12信息安全战略的建立 76
1.12.1策略的组成要素 77
1.12.2 战略资源与限制简介 78
1.13战略资源 80
1.13.1 策略和标准 80
1.13.2企业信息安全架构 81
1.13.3控制 85
1.13.4 技术 86
1.13.5人员 87
1.14.6 组织结构 87
1.13.7 员工的角色与职责 88
1.13.8 技能 89
1.13.9 认知与教育 89
1.13.10 审计 90
1.13.11 合规性执行 91
1.13.12 威胁评估 91
1.13.13 脆弱性评估 91
1.13.14 风险评估与管理 92
1.13.15 保险 92
1.13.16 业务影响分析 92
1.13.17 资源依赖分析 93
1.13.18 外包服务 93
1.13.19 其他支持性机构与保证服务的供应方 93
1.14 战略约束 94
1.14.1 法律以及相关条例要求 94
1.14.2 地理因素 95
1.14.3 道德因素 95
1.14.4 文化因素 95
1.14.5 组织架构 95
1.14.6 成本 96
1.14.7 人员 96
1.14.8 资源 96
1.14.9 能力 96
1.14.10 时间 97
1.14.11 风险接受和容忍度 97
1.15 战略实施的行动计划 97
1.15.1 差距分析-行动计划的基础 97
1.15.2 建立政策 98
1.15.3 建立标准 99
1.15.4 培训和安全意识 99
1.15.5 行动计划指标 100
1.16 实施安全治理—举例 102
1.16.1 其他政策的示例 104
1.17 中期目标的行动计划 106
1.19 案例学习 107
第二章 信息风险管理与合规性 109
一 本章概述 109
2.1 介绍 109
2.2 本章学习任务和知识点说明 109
2.3 自评估练习题 126
二 本章内容 129
2.4 风险管理概述 129
2.4.1 风险管理的重要性 131
2.4.2 风险管理的效果 132
2.5 风险管理策略 132
2.5.1 风险沟通、风险意识和咨询 133
2.6 有效的信息安全风险管理 133
2.6.1 建立风险管理程序 133
2.6.2 角色与职责 136
2.7 信息安全风险管理概念 137
2.7.1 概念 138
2.7.2 技术 138
2.8 风险管理的实施 139
2.8.1 风险管理流程 139
2.8.2 定义风险管理框架 141
2.8.3 定义外部环境 143
2.8.4 定义内部环境 143
2.8.5 开发风险轮廓 143
2.8.6 确定风险管理的背景 147
2.8.7 差距分析 147
2.8.8 其他组织的支持 147
2.9 风险评估和分析方法 148
2.10 风险评估 151
2.10.1 NIST风险评估方法 153
2.10.2 累加及层叠风险 154
2.10.3 其他风险评估方法 155
2.10.4 风险识别 157
2.10.5 威胁 159
2.10.6 脆弱性 161
2.10.7 风险 162
2.10.8 相关风险的分析 166
2.10.9 风险评估 170
2.10.10 风险处置方案 170
2.10.11 剩余风险 172
2.10.12 影响 173
2.10.13 控制 173
2.10.14 法律法规的规定 174
2.10.15 成本和收益 174
2.10.16 影响安全基线的事件 176
2.11 信息资源估价 176
2.11.1 信息资源的估价策略 177
2.11.2 信息资源估价方法 178
2.11.3 信息资产分类 179
2.11.4 影响评估与分析 183
2.12 恢复时间目标 184
2.12.1 RTO与业务连续性计划、应急计划目标与流程之间的关系 185
2.12.2 恢复点目标(RPO) 185
2.12.3 服务交付目标 185
2.12.4 第三方服务供应商 186
2.13 与生命周期流程的整合 188
2.13.1 IT系统开发生命周期的风险管理 189
2.13.2 基于生命周期的风险管理原则和实践 190
2.14 安全控制基线 191
2.15 风险监控和沟通 192
2.15.1 风险监控 193
2.15.2 关键风险指标(KRIs) 194
2.15.3 重大风险变化的报告 195
2.16 培训和认知 195
2.17 文档 196
第三章 信息安全项目开发和管理 198
一 本章概述 198
3.1 介绍 198
3.2 本章学习任务和知识点说明 199
3.3 自评估练习题 213
二 本章内容 216
3.4 信息安全项目群管理 216
3.4.1 信息安全项目群的重要性 218
3.4.2 信息安全项目群管理的成果 219
3.5 信息安全项目群的目标 222
3.5.1 定义目标 222
3.6 信息安全项目群的概念 223
3.6.1 概念 224
3.6.2 技术资源 224
3.7 信息安全项目群的范围和章程 226
3.8 信息安全管理框架 227
3.8.1 COBIT 5 228
3.8.2 ISO/IEC 27001:2013 230
3.9 信息安全框架的组成部分 232
3.9.1 操作性组件 232
3.9.2 管理性组件 233
3.9.3 行政管理性组件 233
3.9.4 教育性和消息性组件 234
3.10 规划一个信息安全项目群路线图 235
3.10.1 路线图的组成要素 236
3.10.2 建立信息安全项目群的路线图 237
3.10.3 差距分析——行动计划的基础 237
3.11 信息安全基础设施与体系结构 237
3.11.1 企业信息安全体系结构 237
3.11.2 信息安全体系架构的目标 243
3.13 安全项目群管理与行政活动 245
3.13.1 人员、角色、职责和技能 247
3.13.2 安全意识、培训和教育 249
3.13.3 文档管理 250
3.13.4 项目群开发和项目管理 252
3.13.5 风险管理 253
3.13.6 业务案例开发 253
3.13.7 项目群预算 255
3.13.8 使用/可接受使用政策的一般规则 256
3.13.9 信息安全问题管理实务 256
3.13.10 供应商管理 256
3.13.11 项目群管理评价 257
3.13.12 计划-执行-检查-行动 260
3.13.13 法律及监管要求 261
3.13.14 物理和环境因素 261
3.13.15 职业道德 262
3.13.16 文化与区域差异 262
3.13.17 后勤物流 262
3.14 安全项目群服务和运营活动 263
3.14.1 信息安全联络责任 263
3.14.2 跨组织责任 266
3.14.3 事件响应 268
3.14.4 安全审查和审计 268
3.14.5 管理安全技术 271
3.14.6 恪尽职守 272
3.14.7 合规监控和执行 273
3.14.8 评估风险和影响 275
3.14.9 外包和服务提供商 277
3.14.10 云计算 279
3.14.11 IT流程一体化 282
3.15 控制与对策 283
3.15.1 控制分类 285
3.15.2 控制设计考虑 286
3.15.3 控制强度 288
3.15.4 控制方法 288
3.15.5 控制建议 288
3.15.6 应对措施 289
3.15.7 物理和环境控制 290
3.15.8 控制技术类别 290
3.15.9 技术控制组件和体系架构 292
3.15.10 控制测试和修改 293
3.15.11 基线控制 293
3.16 安全项目群度量和监测 294
3.16.1 度量开发 295
3.16.2 监测方法 297
3.16.3 度量信息安全管理绩效 299
3.16.4 度量信息安全风险和损失 299
3.16.5 度量支持组织目标 300
3.16.6 度量合规 300
3.16.7 度量运营生产力 301
3.16.8 度量安全成本有效 301
3.16.9 度量组织意识 302
3.16.10 度量技术安全架构有效性 302
3.16.11 度量管理框架和资源有效性 303
3.16.12 度量运营业绩 303
3.16.13 监控和交流 304
3.17 共同的信息安全项目群挑战 304
第四章 信息安全事件管理 309
一 本章概述 309
4.1 介绍 309
4.2 本章学习任务和知识点说明 309
4.3 自评估练习题 321
二 本章内容 325
4.4 事件管理概述 325
4.5 事件响应程序 326
4.5.1 事件管理的重要性 327
4.5.2 事件管理成果 327
4.5.3 事件管理 327
4.5.4 概念 328
4.5.5 事件管理系统 328
4.6 事件管理机构 329
4.6.1 职责 330
4.6.2 高级管理层承诺 331
4.7 事件管理资源 331
4.7.1 策略和标准 331
4.7.2 事件响应技术的概念 331
4.7.3 人员 333
4.7.4 角色和职责 334
4.7.5 技能 335
4.7.6 意识和教育 337
4.7.7 审计 337
4.7.8 外包的安全服务供应商 337
4.8 事件管理目标 338
4.8.1 确定目标 338
4.8.2 期望的状态 338
4.8.3 战略一致性 338
4.8.4 风险管理 339
4.8.5 保证过程一体化 339
4.8.6 价值交付 340
4.8.7 资源管理 340
4.9 事件管理度量和指标 340
4.9.1 性能测量 340
4.10 明确事件管理程序 341
4.10.1 事件管理的详细行动计划 341
4.11 事件响应能力的现状 344
4.11.1 事件史 344
4.11.2 威胁 344
4.11.3 脆弱性 344
4.12 制定事件响应计划 345
4.12.1 差距分析——事件响应计划的基础 346
4.12.2 业务影响评估 346
4.12.3 有效的事件管理的升级流程 348
4.12.4 服务台识别安全事故的流程 349
4.12.5 事件管理和响应小组 350
4.12.6 组织、培训和装备响应员工 350
4.12.7 事件通知流程 351
4.12.8 制定事件管理计划的挑战 351
4.13 业务连续性和灾难恢复程序 352
4.13.1 恢复计划和业务恢复流程 352
4.13.2 恢复运营 353
4.13.3 恢复策略 353
4.13.4 解决威胁 354
4.13.5 恢复站点 354
4.13.6 恢复站点选择的基础 356
4.13.7 互惠协议 356
4.13.8 策略实施 358
4.13.9 恢复计划的要素 358
4.13.10 通过事件响应整合恢复目标和影响分析 358
4.13.11 通知要求 360
4.13.12 供应品 360
4.13.13 通信网络 360
4.13.14 提供网络服务的方法 361
4.13.15 高可用性的注意事项 362
4.13.16 保险 362
4.13.17 更新恢复计划 363
4.14 测试事件响应和业务连续性或灾难恢复计划 364
4.14.1 定期测试响应和恢复计划 365
4.14.2 测试基础设施和关键业务应用 366
4.14.3 测试类型 366
4.14.4 测试结果 367
4.14.5 恢复测试度量标准 367
4.15 执行响应和恢复计划 368
4.15.1 确保按要求执行 368
4.16 事后活动和调查 369
4.16.1 确定原因和纠正措施 369
4.16.2 记录事件 370
4.16.3 建立程序 370
4.16.4 证据要求 370
4.16.5 取证证据的法律方面 371
汇哲科技(北京):
官方网址:http://www.spisec.com
客户咨询:010-88400911
公司地址:北京市海淀区车道沟蓝靛厂南路25号牛顿办公区823A
公司邮箱:100097
公司邮箱:huizhebj@spisec.com