آموزش مدیر گواهی شده امنیت اطلاعات ISACA (CISM) - آخرین آپدیت

سرفصل ها و درس ها

تدوین راهبرد امنیت اطلاعات Establishing an Information Security Strategy

• بررسی اجمالی Overview

• حاکمیت امنیت اطلاعات Information Security Governance

• استراتژی امنیت اطلاعات Information Security Strategy

• چارچوب‌های امنیتی Security Frameworks

• شناسایی و مدیریت اهداف استراتژیک Identifying and Managing Strategic Objectives

• مدل کسب و کار برای امنیت اطلاعات (بی‌ام‌آی‌اس) Business Model for Information Security (BMIS)

• مرور بخش Section Review

• نتیجه‌گیری Conclusion

منابع برنامه امنیتی Security Program Resources

• مرور کلی Overview

• سیاست‌ها، فرآیندها و رویه‌ها Policies, Processes, and Procedures

• استانداردها، رهنمودها و معماری Standards, Guidelines, and Architecture

• کنترل‌ها، شاخص‌ها و دارایی‌ها Controls, Metrics, and Assets

• دفاتر ریسک، ارزیابی‌های آسیب‌پذیری، و بیمه؛ ابعادی فراتر از انتظار! Risk Ledgers, Vulnerability Assessments, and Insurance oh my!

• داده‌های حیاتی، تحلیل‌های تأثیر کسب‌وکار و برنامه‌ریزی تداوم کسب‌وکار و بازیابی فاجعه Critical Data, BIA’s, and BC/DR Planning

• گزارش‌های حوادث، ممیزی‌ها و فرهنگ Incident Logs, Audits, & Culture

• آموزش امنیت، ریسک طرف ثالث، و الزامات LCR Security Training, Third Party Risk, & LCR Requirements

• نتیجه‌گیری Conclusion

کلیدهای پیاده‌سازی موفق برنامه امنیتی Keys to a Successful Security Program Implementation

• مرور کلی Overview

• تدوین طرح توجیهی Creating a Business Case

• ارتباطات و گزارش‌دهی Communications & Reporting

• ارتباطات فنی Communicating Technical Information

• تعهد مدیریت Management Commitment

• آموزش آگاهی امنیتی Security Awareness Training

• علل شایع شکست Common Causes of Failure

• نتیجه‌گیری Conclusion

نقش‌ها و معیارهای امنیتی Security Roles and Metrics

• بررسی اجمالی Overview

• نقش‌های سازمانی Organizational Roles

• نقش‌های شغلی داده Data Roles

• شاخص‌ها Metrics

• سنجه‌ها مثال ۱ Metrics Example 1

• مثال ۲ متریک‌ها Metrics Example 2

• کارت امتیازی متوازن امنیت Security Balanced Scorecard

• نتیجه‌گیری Conclusion

پیاده سازی مدیریت ریسک Implementing Risk Management

• مرور کلی Overview

• نقش مدیریت ریسک The Role of Risk Management

• چارچوب‌های مدیریت ریسک Risk Management Frameworks

• استراتژی مدیریت ریسک Risk Management Strategy

• تحلیل ریسک Analyzing Risk

• تکنیک‌های تحلیل ریسک Risk Analysis Techniques

• مدیریت ریسک Treating Risk

• نتیجه‌گیری Conclusion

استانداردهای مدیریت ریسک Risk Management Standards

• مرور کلی Overview

• فعالیت‌های مدیریت ریسک Risk Management Activities

• نشریه ویژه NIST 800-39 NIST SP 800-39

• NIST نشریه ویژه ۸۰۰-۳۰ NIST SP 800-30

• استاندارد ISO/IEC 27005 ISO/IEC 27005

• تحلیل عاملی ریسک اطلاعاتی (FAIR) Factor Analysis of Information Risk (FAIR)

• نتیجه‌گیری Conclusion

فهرست دارایی‌ها و تهدیدها Asset Inventory and Threats

• بررسی اجمالی Overview

• سخت افزار، نرم افزار و دارایی‌های اطلاعاتی Hardware, Software, and Information Assets

• ابر و دارایی‌های مجازی Cloud and Virtual Assets

• طبقه بندی دارایی‌ها، اطلاعات و سیستم‌ها Asset, Information, and System Classification

• ارزش گذاری دارایی Asset Valuation

• شناسایی تهدیدات دارایی‌ها Identifying Threats to Assets

• شناسایی آسیب‌پذیری‌های دارایی Identifying Asset Vulnerabilities

• نتیجه‌گیری Conclusion

مدیریت ریسک عملیاتی Operational Risk Management

• مرور کلی Overview

• اهداف مدیریت ریسک Risk Management Objectives

• مدیریت ریسک شخص ثالث Third-Party Risk Management

• دفتر ثبت ریسک The Risk Register

• یکپارچه سازی مدیریت ریسک در سایر فرآیندها Integrating Risk Management into Other Processes

• پایش و گزارش‌دهی ریسک Risk Monitoring and Reporting

• نتیجه‌گیری Conclusion

تدوین برنامه امنیت اطلاعات Information Security Program Development

• مرور کلی Overview

• طراحی برنامه امنیت اطلاعات Designing an Information Security Program

• جزئیات برنامه امنیت اطلاعات Information Security Program Details

• معماری امنیت اطلاعات Information Security Architecture

• مدیریت برنامه امنیت اطلاعات Information Security Program Management

• سیاست‌های امنیتی Security Policies

• همکاری با منابع داخلی و خارجی Working With Internal and External Resources

• نتیجه‌گیری Conclusion

برنامه‌ریزی حسابرسی سیستم‌های اطلاعاتی IS Audit Planning

• بررسی اجمالی Overview

• بررسی استانداردهای حسابرسی فناوری اطلاعات (IS Audit)، رهنمودها و آیین‌نامه اخلاق Discussing IS Audit Standards, Guidelines, and Code of Ethics

• ارزیابی فرآیندهای کسب‌وکار Evaluating the Business Process

• حسابرسی نرم افزارهای کسب و کار Auditing Business Applications

• تعریف انواع کنترل‌ها Defining Types of Controls

• تحلیل برنامه‌ریزی حسابرسی مبتنی بر ریسک Analyzing Risk Based Audit Planning

• شناسایی انواع حسابرسی Identifying Types of Audits

• نتیجه‌گیری Conclusion

اجرای حسابرسی سیستم اطلاعات IS Audit Execution

• مروری کلی Overview

• مدیریت پروژه حسابرسی Discussing Audit Project Management

• روش‌های نمونه‌گیری Sampling Methodologies

• جمع‌آوری شواهد حسابرسی: تکنیک‌ها و راهکارها Considering Audit Evidence Collection Techniques

• کاوش در تحلیل داده‌ها Exploring Data Analytics

• پیاده‌سازی حسابرسی مداوم آنلاین Implementing Continuous Online Auditing

• بررسی تکنیک‌های گزارش‌دهی و ارتباطات Exploring Reporting and Communication Techniques

• اطمینان از کیفیت و بهبود فرآیند حسابرسی Ensuring Quality and Improvement of the Audit Process

• بررسی حوزه فرآیند حسابرسی فناوری اطلاعات IS Audit Process Domain Review

• نتیجه‌گیری Conclusion

طبقه‌بندی و رمزگذاری داده‌ها Data Classification and Encryption

• مروری بر Overview

• کشف طبقه‌بندی داده‌ها Exploring Data Classification

• پوشش اصول اولیه رمزنگاری Covering Encryption Basics

• بررسی سیستم‌های رمزنگاری Reviewing Encryption Systems

• غواصی در امضاهای دیجیتال Diving into Digital Signatures

• مروری بر کاربردهای رمزنگاری Touring Cryptographic Applications

• بررسی زیرساخت کلید عمومی (PKI) Examining Public Key Infrastructure (PKI)

• نتیجه‌گیری Conclusion

عملیات برنامه امنیتی Security Program Operations

• مرور کلی Overview

• SOC و نظارت بر رویدادها SOCs and Event Monitoring

• مدیریت آسیب‌پذیری و وصله Vulnerability and Patch Management

• محافظت از شبکه Network Protection

• فیلترینگ محتوا Content Filtering

• حفاظت و مدیریت نقطه پایانی Endpoint Protection and Management

• نتیجه‌گیری Conclusion

مدیریت برنامه‌های امنیتی Security Program Management Functions

• مرور کلی Overview

• مهندسی و توسعه ایمن Secure Engineering and Development

• مدیریت هویت و دسترسی Identity and Access Management

• آموزش امنیت و ارائه دهندگان خدمات امنیتی مدیریت شده (MSSP) Security Training and MSSPs

• پشتیبان‌گیری و بازیابی اطلاعات Data Backup and Recovery

• مدیریت مالی و ظرفیت Financial and Capacity Management

• نتیجه‌گیری Conclusion

کنترل‌های امنیتی و چارچوب‌های کنترلی Security Controls and Control Frameworks

• مرور کلی Overview

• کنترل‌های امنیتی Security Controls

• دسته‌های کنترل امنیتی Security Control Categories

• کنترل عملکردهای امنیتی Security Control Functions

• تست کنترل‌های امنیتی Testing Security Controls

• اهداف کنترلی و چارچوب‌ها Control Objectives and Frameworks

• طراحی کنترلرها Designing Controls

• بررسی کنترل امنیتی Security Control Review

• نتیجه‌گیری Conclusion

مراحل پاسخگویی به حوادث Phases of Incident Response

• مرور کلی Overview

• آمادگی برای واکنش به حوادث Incident Response Preparation

• برنامه‌ریزی پاسخ به حادثه Incident Response Planning

• شناسایی، آغاز و ارزیابی Detection, Initiation, and Evaluation

• مهار، ریشه‌کنی و بازیابی Containment, Eradication, and Recovery

• پاکسازی، تعطیلی و بازنگری پس از حادثه Remediation, Closure, and Post-Incident Review

• منابع واکنش به حادثه Incident Response Resources

• نتیجه‌گیری Conclusion

برنامه‌ریزی تداوم کسب و کار و بازیابی از فاجعه Business Continuity and Disaster Recovery Planning

• بررسی اجمالی Overview

• برنامه ریزی تداوم کسب و کار و بازیابی از بحران BC and DR Planning

• فرآیند برنامه‌ریزی تداوم کسب‌وکار و بازیابی از فاجعه (BC/DR) BC/DR Planning Process

• ایجاد برنامه BC Creating a BC Plan

• برنامه‌ریزی DR DR Planning

• فناوری‌های تاب‌آوری Resiliency Technologies

• آزمایش برنامه‌های BC/DR Testing BC/DR Plans

• نتیجه‌گیری Conclusion