Course Outline

도메인 1 - 정보 보안 Go버넌스(24%)

정보 보안 전략이 조직의 목표 및 목표에 부합하고, 정보 위험이 적절하게 관리되며, 프로그램 리소스가 책임감 있게 관리되도록 정보 보안 거버넌스 프레임워크와 지원 프로세스를 확립하고 유지합니다.

  • 1.1 정보 보안 프로그램의 수립 및 지속적인 관리를 안내하기 위해 조직의 목표 및 목표에 맞춰 정보 보안 전략을 수립하고 유지합니다.
  • 1.2 정보 보안 전략을 지원하는 활동을 안내하기 위한 정보 보안 거버넌스 프레임워크를 확립하고 유지합니다.
  • 1.3 정보 보안 거버넌스를 기업 거버넌스에 통합하여 조직의 목표와 목적이 정보 보안 프로그램에 의해 지원되도록 합니다.
  • 1.4 경영진의 지시를 전달하고 표준, 절차 및 지침 개발을 안내하기 위한 정보 보안 정책을 수립 및 유지합니다.
  • 1.5 정보 보안에 대한 투자를 지원하기 위한 비즈니스 사례를 개발합니다.
  • 1.6 조직에 대한 내부 및 외부 영향(예: 기술, 비즈니스 환경, 위험 허용 범위, 지리적 위치, 법적 및 규제 요구 사항)을 식별하여 이러한 요소가 정보 보안 전략에 의해 해결되도록 합니다.
  • 1.7 정보 보안 전략의 성공적인 구현 가능성을 최대화하기 위해 고위 경영진의 약속과 기타 이해관계자의 지원을 얻습니다.
  • 1.8 명확한 책임과 권한을 확립하기 위해 조직 전체에서 정보 보안의 역할과 책임을 정의하고 전달합니다.
  • 1.9 정보 보안 전략의 효과에 관한 정확한 정보를 경영진에 제공하기 위해 지표(예: 핵심 목표 지표(KGI), 핵심 성과 지표(KPI), 핵심 위험 지표(KRI))를 설정, 모니터링, 평가 및 보고합니다.

도메인 2 - 정보 위험 Management 및 규정 준수(33%)

조직의 비즈니스 및 규정 준수 요구 사항을 충족할 수 있도록 정보 위험을 허용 가능한 수준으로 관리합니다.

  • 2.1 자산 보호를 위해 취해진 조치가 비즈니스 가치에 비례하도록 정보 자산 식별 및 분류 프로세스를 확립하고 유지합니다.
  • 2.2 규정 위반 위험을 허용 가능한 수준으로 관리하기 위한 법적, 규제적, 조직적 및 기타 적용 가능한 요구 사항을 식별합니다.
  • 2.3 조직 정보에 대한 위험을 식별하기 위해 위험 평가, 취약성 평가 및 위협 분석이 정기적이고 일관되게 수행되도록 보장합니다.
  • 2.4 위험을 허용 가능한 수준으로 관리하기 위한 적절한 위험 처리 옵션을 결정하고 구현합니다.
  • 2.5 정보 보안 통제를 평가하여 해당 통제가 적절한지 결정하고 위험을 수용 가능한 수준으로 효과적으로 완화합니다.
  • 2.6 정보 위험 관리를 비즈니스 및 IT 프로세스(예: 개발, 조달, 프로젝트 관리, 인수 합병)에 통합하여 조직 전체에서 일관되고 포괄적인 정보 위험 관리 프로세스를 촉진합니다.
  • 2.7 기존 위험을 모니터링하여 변경 사항이 적절하게 식별되고 관리되는지 확인합니다.
  • 2.8 정보 위험의 비준수 및 기타 변경 사항을 적절한 경영진에게 보고하여 위험 관리 의사 결정 프로세스를 지원합니다.

도메인 3 - 정보 보안 프로그램 개발 및 Management(25%)

정보보안 전략에 맞춰 정보보안 프로그램을 수립, 관리합니다.

  • 3.1 정보 보안 전략에 맞춰 정보 보안 프로그램을 수립하고 유지합니다.
  • 3.2 비즈니스 프로세스와의 통합을 지원하기 위해 정보 보안 프로그램과 기타 비즈니스 기능(예: 인사[HR], 회계, 조달 및 IT) 간의 조정을 보장합니다.
  • 3.3 정보 보안 프로그램을 실행하기 위한 내부 및 외부 자원에 대한 요구 사항을 식별, 획득, 관리 및 정의합니다.
  • 3.4 정보 보안 프로그램을 실행하기 위한 정보 보안 아키텍처(사람, 프로세스, 기술)를 구축하고 유지합니다.
  • 3.5 정보 보안 정책 준수를 지원하고 안내하기 위해 조직의 정보 보안 표준, 절차, 지침 및 기타 문서를 수립, 전달 및 유지합니다.
  • 3.6 보안 환경과 효과적인 보안 문화를 촉진하기 위해 정보 보안 인식 및 교육 프로그램을 수립하고 유지합니다.
  • 3.7 정보 보안 요구 사항을 조직 프로세스(예: 변경 제어, 인수 합병, 개발, 비즈니스 연속성, 재해 복구)에 통합하여 조직의 보안 기준을 유지합니다.
  • 3.8 정보 보안 요구 사항을 제3자(예: 합작 투자, 아웃소싱 공급자, 비즈니스 파트너, 고객)의 계약 및 활동에 통합하여 조직의 보안 기준을 유지합니다.
  • 3.9 정보 보안 프로그램의 효과성과 효율성을 평가하기 위해 프로그램 관리 및 운영 지표를 수립, 모니터링하고 정기적으로 보고합니다.

도메인 4 - 정보 보안 사고 Management (18%)

비즈니스 영향을 최소화하기 위해 정보 보안 사고를 탐지, 조사, 대응 및 복구하는 기능을 계획, 구축 및 관리합니다.

  • 4.1 사고를 정확하게 식별하고 대응할 수 있도록 정보 보안 사고 분류 및 분류 프로세스를 수립하고 유지합니다.
  • 4.2 정보 보안 사고에 대한 효과적이고 시기적절한 대응을 보장하기 위해 사고 대응 계획을 비즈니스 연속성 계획 및 재해 복구 계획과 연계하여 수립, 유지 및 조정합니다.
  • 4.3 정보 보안 사고를 적시에 식별할 수 있는 프로세스를 개발하고 구현합니다.
  • 4.4 법적, 규제적, 조직적 요구 사항을 준수하면서 적절하게 대응하고 원인을 파악할 수 있도록 정보 보안 사고를 조사하고 문서화하는 프로세스를 확립하고 유지합니다.
  • 4.5 적절한 이해관계자가 사고 대응 관리에 참여할 수 있도록 사고 처리 프로세스를 확립하고 유지합니다.
  • 4.6 적시에 정보 보안 사고에 효과적으로 대응할 수 있도록 팀을 구성하고 교육하며 장비를 갖추십시오.
  • 4.7 정보 보안 사고에 대한 효과적인 대응을 보장하고 대응 능력을 향상시키기 위해 사고 관리 계획을 정기적으로 테스트하고 검토합니다.
  • 4.8 내부 및 외부 기관과의 커뮤니케이션을 관리하기 위한 커뮤니케이션 계획 및 프로세스를 수립하고 유지합니다.
  • 4.9 정보 보안 사고의 근본 원인을 파악하고, 시정 조치를 개발하고, 위험을 재평가하고, 대응 효율성을 평가하고, 적절한 시정 조치를 취하기 위해 사고 후 검토를 수행합니다.
  • 4.10 사고 대응 계획, 재해 복구 계획, 비즈니스 연속성 계획 간의 통합을 수립하고 유지합니다.

Requirements

이 과정에는 정해진 전제 조건이 없습니다. ISACA는 전체 인증 자격을 얻으려면 최소 5년의 전문 정보 보안 업무 경험을 요구합니다. ISACA의 경력 요건을 충족하기 전에 CISM 시험에 응시할 수 있지만, CISM 자격은 경력 요건을 충족한 후에 부여됩니다. 그러나 경력 초기 단계에 인증을 받고 전 세계적으로 인정받는 정보 보안 관리 관행을 실천하는 데에는 제한이 없습니다.

 28 Hours

Number of participants



Price per participant

회원 평가 (5)

Related Categories