CCISO - Zertifizierter Chief Information Security Officer | Videokurs + eCourseware & CCISO-Zertifizierungsprüfungsgutschein + CCISO-Übungstest
Die CCISO-Zertifizierung ist ein branchenführendes Sicherheitszertifizierungsprogramm, das die praktische Erfahrung anerkennt, die erforderlich ist, um auf den höchsten Führungsebenen der Informationssicherheit erfolgreich zu sein. Das CCISO-Programm vereint alle Komponenten, die für eine C-Level-Position erforderlich sind, und kombiniert Auditmanagement, Governance, IS-Kontrollen, Personalmanagement, strategische Programmentwicklung und das Finanzwissen, das für die Leitung eines äußerst erfolgreichen Informationssicherheitsprogramms von entscheidender Bedeutung ist. Der Job des CISO ist viel zu wichtig, um durch Versuch und Irrtum erlernt zu werden. Managementfähigkeiten auf Führungsebene sind keine Bereiche, die im Job erlernt werden sollten. Das Material im CCISO-Programm setzt ein umfassendes Verständnis technischer Themen voraus und verbringt nicht viel Zeit mit streng technischen Informationen, sondern mit der Anwendung technischen Wissens auf die tägliche Arbeit eines Informationssicherheitsmanagers. Das CCISO zielt darauf ab, die Lücke zwischen dem Führungswissen, das CISOs benötigen, und dem technischen Wissen zu schließen, das viele amtierende und angehende CISOs haben. Dies kann eine entscheidende Lücke sein, wenn ein Praktiker versucht, von der mittleren Führungsebene in die obere Führungsebene aufzusteigen. Vieles davon wird traditionell im Rahmen einer Ausbildung am Arbeitsplatz erlernt, aber das CCISO-Schulungsprogramm kann der Schlüssel zu einem erfolgreichen Übergang in die höchsten Ränge des Informationssicherheitsmanagements sein.Übersicht
Bereich 1: Governance und Risikomanagement
1. Definieren, Implementieren, Verwalten und Warten eines Information Security Governance-Programms
- 1.1. Unternehmensform
- 1.2. Industrie
- 1.3. Organisatorische Reife
2. Treiber der Informationssicherheit
3. Aufbau einer Informationssicherheits-Managementstruktur
- 3.1. Organisationsstruktur
- 3.2. Wo passt der CISO in die Organisationsstruktur?
- 3.3. Der leitende CISO
- 3.4. Nicht geschäftsführender CISO
4. Gesetze/Vorschriften/Standards als Treiber organisatorischer Richtlinien/Standards/Verfahren
5. Verwalten eines Compliance-Programms zur Informationssicherheit im Unternehmen
- 5.1. Sicherheitsrichtlinie
- 5.1.1. Notwendigkeit einer Sicherheitsrichtlinie
- 5.1.2. Sicherheitspolitische Herausforderungen
- 5.2. Inhalt der Richtlinie
- 5.2.1. Arten von Richtlinien
- 5.2.2. Umsetzung der Politik
- 5.3. Berichtsstruktur
- 5.4. Normen und bewährte Verfahren
- 5.5. Führung und Ethik
- 5.6. Ethikkodex des EG-Rats
6. Einführung in das Risikomanagement
- 3.1. Organisationsstruktur
- 3.2. Wo passt der CISO in die Organisationsstruktur?
- 3.3. Der leitende CISO
- 3.4. Nicht geschäftsführender CISO
Bereich 2: Informationssicherheitskontrollen, Compliance und Auditmanagement
1. Kontrollen der Informationssicherheit
- 1.1. Ermittlung der Informationssicherheitsanforderungen der Organisation
- 1.1.1. Ermittlung des optimalen Rahmens für die Informationssicherheit
- 1.1.2. Entwerfen von Sicherheitskontrollen
- 1.1.3. Lebenszyklusmanagement der Kontrolle
- 1.1.4. Kontrollklassifizierung
- 1.1.5. Auswahl und Implementierung von Kontrollen
- 1.1.6. Kontrollkatalog
- 1.1.7. Kontrollreife
- 1.1.8. Überwachung der Sicherheitskontrollen
- 1.1.9. Behebung von Kontrollmängeln
- 1.1.10. Aufrechterhaltung der Sicherheitskontrollen
- 1.1.11. Meldekontrollen
- 1.1.12. Katalog der Informationssicherheitsdienste
2. Compliance-Management
- 2.1. Gesetze, Verordnungen und Statuten
- 2.1.1. FISMA
- 2.2. Vorschriften
- 2.2.1. DSGVO
- 2.3. Normen
- 2.3.1. ASD – Handbuch zur Informationssicherheit
- 2.3.2. Basel III
- 2.3.3. FFIEC
- 2.3.4. Normenfamilie ISO 00
- 2.3.5. NERC-CIP
- 2.3.6. PCI-DSS
- 2.3.7. Sonderveröffentlichungen des NIST
- 2.3.8. Erklärung zu Standards für Bescheinigungsaufträge Nr. 16 (SSAE 16)
3. Richtlinien, bewährte Verfahren
- 3.1. GUS
- 3.1.1. OWASP
4. Prüfungsmanagement
- 4.1. Erwartungen und Ergebnisse der Prüfung
- 4.2. IS-Prüfungspraktiken
- 4.2.1. ISO/IEC-Auditleitfaden
- 4.2.2. Interne versus externe Audits
- 4.2.3. Partnerschaft mit der Prüforganisation
- 4.2.4. Auditprozess
- 4.2.5. Allgemeine Prüfungsstandards
- 4.2.6. Compliance-basierte Audits
- 4.2.7. Risikobasierte Prüfungen
- 4.2.8. Verwalten und Schützen der Auditdokumentation
- 4.2.9. Durchführen eines Audits
- 4.2.10. Auswertung der Auditergebnisse und des Auditberichts
- 4.2.11. Behebung von Auditfeststellungen
- 4.2.12. Nutzen Sie GRC-Software zur Unterstützung von Audits
5. Zusammenfassung
Bereich 3: Sicherheitsprogrammverwaltung und -betrieb
1. Programmmanagement
- 1.1. Definieren einer Sicherheitscharta, Ziele, Anforderungen, Interessengruppen und Strategien
- 1.1.1. Charta des Sicherheitsprogramms
- 1.1.2. Ziele des Sicherheitsprogramms
- 1.1.3. Anforderungen an das Sicherheitsprogramm
- 1.1.4. Beteiligte am Sicherheitsprogramm
- 1.1.5. Entwicklung einer Sicherheitsprogrammstrategie
- 1.2. Durchführung eines Informationssicherheitsprogramms
- 1.3. Definition, Entwicklung, Verwaltung und Überwachung des Informationssicherheitsprogramms
- 1.3.1. Festlegen eines Budgets für ein Informationssicherheitsprogramm
- 1.3.2. Entwicklung eines Budgets für ein Informationssicherheitsprogramm
- 1.3.3. Verwalten des Budgets eines Informationssicherheitsprogramms
- 1.3.4. Überwachung des Budgets eines Informationssicherheitsprogramms
- 1.4. Definieren und Entwickeln von Personalanforderungen für Informationssicherheitsprogramme
- 1.5. Die Mitarbeiter eines Sicherheitsprogramms verwalten
- 1.5.1. Personal- und Teamwork-Probleme lösen
- 1.5.2. Schulung und Zertifizierung von Sicherheitsteammitgliedern verwalten
- 1.5.3. Klar definierter Karriereweg
- 1.5.4. Entwerfen und Implementieren eines Benutzer-Sensibilisierungsprogramms
- 1.6. Verwaltung der Architektur und Roadmap des Sicherheitsprogramms
- 1.6.1. Architektur des Informationssicherheitsprogramms
- 1.6.2. Fahrplan für das Informationssicherheitsprogramm
- 1.7. Programmmanagement und Governance
- 1.7.1. Projektmanagementpraktiken verstehen
- 1.7.2. Identifizierung und Verwaltung der Projektbeteiligten
- 1.7.3. Messung der Effektivität von Projekten
- 1.8. Business Continuity Management (BCM) und Disaster Recovery Planning (DRP)
- 1.9. Datensicherung und -wiederherstellung
- 1.10. Backup-Strategie
- 1.11. ISO-BCM-Normen
- 1.11.1. Geschäftskontinuitätsmanagement (BCM)
- 1.11.2. Notfallwiederherstellungsplanung (DRP)
- 1.12. Kontinuität der Sicherheitsoperationen
- 1.12.1. Integration des Vertraulichkeits-, Integritäts- und Verfügbarkeitsmodells (CIA)
- 1.13. BCM-Plan-Test
- 1.14. DRP-Test
- 1.15. Notfallplanung, Betriebs- und Testprogramme zur Risikominderung und Einhaltung von Service Level Agreements (SLAs)
- 1.16. Reaktion auf Computervorfälle
- 1.16.1. Tools zur Reaktion auf Vorfälle
- 1.16.2. Vorfallreaktionsmanagement
- 1.16.3. Kommunikation bei Vorfällen
- 1.16.4. Analyse nach dem Vorfall
- 1.16.5. Testen von Vorfallreaktionsverfahren
- 1.17. Digitale Forensik
- 1.17.1. Krisenmanagement
- 1.17.2. Lebenszyklus der digitalen Forensik
2. Betriebsführung
- 2.1. Aufbau und Betrieb einer Security Operations (SecOps)-Fähigkeit
- 2.2. Sicherheitsüberwachung und Security Information and Event Management (SIEM)
- 2.3. Veranstaltungsmanagement
- 2.4. Vorfallreaktionsmodell
- 2.4.1. Entwicklung spezifischer Szenarien für die Reaktion auf Vorfälle
- 2.5. Bedrohungsmanagement
- 2.6. Bedrohungsinformationen
- 2.6.1. Zentren für Informationsaustausch und -analyse (ISAC)
- 2.7. Schwachstellenmanagement
- 2.7.1. Schwachstellenanalysen
- 2.7.2. Schwachstellenmanagement in der Praxis
- 2.7.3. Penetrationstests
- 2.7.4. Sicherheitstestteams
- 2.7.5. Sanierung
- 2.8. Bedrohungssuche
3. Zusammenfassung
Bereich 4: Kernkompetenzen der Informationssicherheit
1. Zugangskontrolle
- 1.1. Authentifizierung, Autorisierung und Auditing
- 1.2. Authentifizierung
- 1.3. Autorisierung
- 1.4. Wirtschaftsprüfung
- 1.5. Beschränkungen der Benutzerzugriffskontrolle
- 1.6. Verwaltung des Benutzerzugriffsverhaltens
- 1.7. Arten von Zugriffskontrollmodellen
- 1.8. Einen Zugangskontrollplan entwerfen
- 1.9. Zugriffsverwaltung
2. Physische Sicherheit
- 2.1. Entwurf, Implementierung und Verwaltung eines physischen Sicherheitsprogramms
- 2.1.1. Physische Risikobewertung
- 2.2. Überlegungen zum physischen Standort
- 2.3. Hindernisse und Prävention
- 2.4. Sicheres Anlagendesign
- 2.4.1. Sicherheits-Operationszentrum
- 2.4.2. Einrichtung für vertrauliche, unterteilte Informationen
- 2.4.3. Labor für digitale Forensik
- 2.4.4. Rechenzentrum
- 2.5. Vorbereitung auf physische Sicherheitsprüfungen
3. Netzwerksicherheit
- 3.1. Netzwerksicherheitsbewertungen und -planung
- 3.2. Herausforderungen der Netzwerksicherheitsarchitektur
- 3.3. Netzwerksicherheitsdesign
- 3.4. Netzwerkstandards, -protokolle und -kontrollen
- 3.4.1. Netzwerksicherheitsstandards
- 3.4.2. Protokolle
4. Zertifizierter Chef
- 4.1.1. Netzwerksicherheitskontrollen
- 4.2. Drahtlose (Wi-Fi) Sicherheit
- 4.2.1. Drahtlose Risiken
- 4.2.2. Drahtlose Steuerung
- 4.3. Sicherheit bei Voice over IP
5. Endgeräteschutz
- 5.1. Endgerätebedrohungen
- 5.2. Endgeräte-Schwachstellen
- 5.3. Sicherheitsbewusstsein der Endbenutzer
- 5.4. Härtung von Endgeräten
- 5.5. Endgeräteprotokollierung
- 5.6. Sicherheit mobiler Geräte
- 5.6.1. Risiken im Zusammenhang mit Mobilgeräten
- 5.6.2. Sicherheitskontrollen für Mobilgeräte
- 5.7. Sicherheit im Internet der Dinge (IoT)
- 5.7.1. Schutz von IoT-Geräten
6. Anwendungssicherheit
- 6.1. Sicheres SDLC-Modell
- 6.2. Trennung von Entwicklungs-, Test- und Produktionsumgebungen
- 6.3. Ansätze für das Testen der Anwendungssicherheit
- 6.4. DevSecOps
- 6.5. Wasserfallmethode und Sicherheit
- 6.6. Agile Methodik und Sicherheit
- 6.7. Andere Ansätze der Anwendungsentwicklung
- 6.8. Anwendungshärtung
- 6.9. Anwendungssicherheitstechnologien
- 6.10. Versionskontrolle und Patch-Management
- 6.11. Datenbanksicherheit
- 6.12. Datenbankhärtung
- 6.13. Sichere Kodierungspraktiken
7. Verschlüsselungstechnologien
- 7.1. Verschlüsselung und Entschlüsselung
- 7.2. Kryptosysteme
- 7.2.1. Blockchain
- 7.2.2. Digitale Signaturen und Zertifikate
- 7.2.3. PKI
- 7.2.4. Schlüsselverwaltung
- 7.3. Hashen
- 7.4. Verschlüsselungsalgorithmen
- 7.5. Entwicklung einer Verschlüsselungsstrategie
- 7.5.1. Bestimmen des Speicherorts und Typs kritischer Daten
- 7.5.2. Entscheiden, was verschlüsselt werden soll
- 7.5.3. Festlegen der Verschlüsselungsanforderungen
- 7.5.4. Auswählen, Integrieren und Verwalten von Verschlüsselungstechnologien
8. Virtualisierungssicherheit
- 8.1. Virtualisierungsübersicht
- 8.2. Virtualisierungsrisiken
- 8.3. Sicherheitsbedenken bei der Virtualisierung
- 8.4. Sicherheitskontrollen für die Virtualisierung
- 8.5. Referenzmodell für Virtualisierungssicherheit
9. Cloud Computing-Sicherheit
- 9.1. Überblick über Cloud Computing
- 9.2. Sicherheit und Ausfallsicherheit von Cloud-Diensten
- 9.3. Bedenken hinsichtlich der Cloud-Sicherheit
- 9.4. Cloud-Sicherheitskontrollen
- 9.5. Überlegungen zum Schutz von Cloud Computing
10. Transformative Technologien
- 10.1. Künstliche Intelligenz
- 10.2. Erweiterte Realität
- 10.3. Autonomes SOC
- 10.4. Dynamische Täuschung
- 10.5. Softwaredefinierte Cybersicherheit
11. Zusammenfassung
1. Strategische Planung
- 1.1. Die Organisation verstehen
- 1.1.1. Die Geschäftsstruktur verstehen
- 1.1.2. Festlegen und Anpassen von Geschäfts- und Informationssicherheitszielen
- 1.1.3. Identifizierung wichtiger Sponsoren, Stakeholder und Influencer
- 1.1.4. Finanzielle Aspekte einer Organisation verstehen
- 1.2. Erstellen eines strategischen Plans zur Informationssicherheit
- 1.2.1. Grundlagen der strategischen Planung
- 1.2.2. Ausrichtung an der Strategie und den Zielen der Organisation
- 1.2.3. Definition taktischer kurz-, mittel- und langfristiger Informationssicherheitsziele
- 1.2.4. Kommunikation der Informationssicherheitsstrategie
- 1.2.5. Eine Kultur der Sicherheit schaffen
2. Entwurf, Entwicklung und Pflege eines unternehmensweiten Informationssicherheitsprogramms
- 2.1. Sicherstellung einer soliden Programmgrundlage
- 2.2. Architekturansichten
- 2.3. Erstellen von Messungen und Metriken
- 2.4. Balanced Scorecard
- 2.5. Kontinuierliche Überwachung und Berichterstattung der Ergebnisse
- 2.6. Kontinuierliche Verbesserung
- 2.7. Bibliothek für die Informationstechnologie-Infrastruktur (ITIL) Kontinuierliche Serviceverbesserung (CSI)
3. Die Unternehmensarchitektur (EA) verstehen
- 3.1. EA-Typen
- 3.1.1. Das Zachman-Framework
- 3.1.2. Das Open Group Architecture Framework (TOGAF)
- 3.1.3. Angewandte Geschäftssicherheitsarchitektur von Sherwood (SABSA)
- 3.1.4. Rahmenwerk für die bundesstaatliche Unternehmensarchitektur (FEAF)
4. Finanzen
- 4.1. Grundlagen zur Finanzierung von Sicherheitsprogrammen
- 4.2. Analyse, Prognose und Entwicklung eines Sicherheitsbudgets
- 4.2.1. Ressourcenbedarf
- 4.2.2. Finanzielle Kennzahlen definieren
- 4.2.3. Technologie-Aktualisierung
- 4.2.4. Neue Projektförderung
- 4.2.5. Notfallfinanzierung
- 4.3. Verwaltung des Informationssicherheitsbudgets
- 4.3.1. Finanzielle Mittel beschaffen
- 4.3.2. Finanzielle Ressourcen zuweisen
- 4.3.3. Überwachung und Kontrolle des Informationssicherheitsbudgets
- 4.3.4. Berichten Sie den Sponsoren und Stakeholdern über Kennzahlen
- 4.3.5. Ausgleich des Informationssicherheitsbudgets
5. Beschaffung
- 5.1. Begriffe und Konzepte des Beschaffungsprogramms
- 5.1.1. Zielsetzung
- 5.1.2. Leistungsbeschreibung (SOW)
- 5.1.3. Gesamtbetriebskosten (TCO)
- 5.1.4. Informationsanfrage (RFI)
- 5.1.5. Angebotsanfrage (RFP)
- 5.1.6. Master-Service-Vereinbarung (MSA)
- 5.1.7. Service Level Agreement (SLA)
- 5.1.8. Allgemeine Geschäftsbedingungen (AGB)
- 5.2. Das Beschaffungsprogramm der Organisation verstehen
- 5.2.1. Interne Richtlinien, Prozesse und Anforderungen
- 5.2.2. Externe oder behördliche Anforderungen
- 5.2.3. Lokale versus globale Anforderungen
- 5.3. Risikomanagement bei der Beschaffung
- 5.3.1. Standardvertragssprache
6. Lieferantenmanagement
- 6.1. Verständnis der Beschaffungsrichtlinien und -verfahren der Organisation
- 6.1.1. Beschaffungslebenszyklus
- 6.2. Anwendung der Kosten-Nutzen-Analyse (CBA) im Beschaffungsprozess5
- 6.3. Richtlinien für das Lieferantenmanagement
- 6.4. Richtlinien zur Vertragsverwaltung
- 6.4.1. Leistungs- und Vertragserfüllungsmetriken
- 6.4.2. Berichterstattung über Vertragserfüllung
- 6.4.3. Änderungsanträge
- 6.4.4. Vertragsverlängerung
- 6.4.5. Vertragsabschluss
- 6.5. Liefergarantie
- 6.5.1. Nachweis der Erfüllung vertraglicher Anforderungen
- 6.5.2. Formale Lieferaudits
- 6.5.3. Regelmäßige zufällige Lieferprüfungen
- 6.5.4. Bestätigungsdienste von Drittanbietern (TPRM)
7. Zusammenfassung
Zur Demo: https://www.youtube.com/watch?v=5rUiOk1vyyw
https://www.youtube.com/watch?v=JF7DhYYAePg
Über die Prüfung
In der CCISO-Prüfung werden drei kognitive Ebenen geprüft.- Stufe 1 – Wissen: Diese kognitive Stufe dient zum Abrufen auswendig gelernter Fakten. Dies ist die grundlegendste kognitive Stufe, die bei Zertifizierungen nur selten akzeptiert wird, da sie lediglich die Fähigkeit des Kandidaten zum Auswendiglernen von Informationen prüft. Sie kann effektiv eingesetzt werden, wenn nach grundlegenden Definitionen, Standards oder konkreten Fakten gefragt wird.
- Ebene 2 – Anwendung: Diese kognitive Frageebene dient dazu, die Fähigkeit des Kandidaten zu ermitteln, die Anwendung eines bestimmten Konzepts zu verstehen. Sie unterscheidet sich von wissensbasierten Fragen insofern, als sie das Verständnis und die korrekte Anwendbarkeit eines bestimmten Konzepts erfordert – nicht nur das Konzept selbst. Diese Art von Frage erfordert oft zusätzlichen Kontext, bevor die eigentliche Frage im Stamm gestellt wird.
- Stufe 3 – Analyse: Diese kognitive Stufe der Fragen dient dazu, die Fähigkeit des Kandidaten zu ermitteln, ein Problem anhand einer Reihe von Variablen und Kontexten zu erkennen und zu lösen. Analysefragen unterscheiden sich stark von anwendungsbezogenen Fragen, da sie nicht nur die Anwendbarkeit eines Konzepts erfordern, sondern auch, wie ein Konzept unter bestimmten Einschränkungen zur Lösung eines Problems verwendet werden kann.
