CISM认证四大领域的课程目标和内容是什么？艾威中国培训学院（AVTECH）CISM培训是为期4天的密集式课程，以CISM Review Manual为指导，每天系统深入讲解一个章节。通过案例分析，以生动互动的方式，帮助学员深入理解关键概念，便于学员培训之后更好的落地。越来越多大型组织对于信息安全管理的重视，对于信息安全与业务都精通的复合型人才的渴求，CSIM近两年来成为国际上最受用人单位欢迎的信息安全三大认证之一。从2002年开始全球已有33000多位管理精英获得CISM，其中有超过600名CEO， 超过2000名CIO或CISO，超过8000个安全总监或安全经理，2000个咨询顾问。那么，CISM认证四大领域的课程目标和内容是什么？艾威CISM培训机构来具体为大家讲解。

　　领域1—信息安全治理--Information Security Governance (24%)

　　课程目标--建立和维护信息安全的监管框架和支持流程，以确保信息安全战略与组织目标相一致，并恰当合理地管理信息风险及项目资源；

　　培训内容：

　　建立和维护与组织目标相一致的信息安全战略，用于指导信息安全项目的建立和持续管理。

　　建立和维护信息安全管理框架，用于指导支持信息安全战略的相关活动。

　　将信息安全治理与公司治理进行整合，以确保信息安全方案可以有效支撑组织的目标和战略。

　　建立和维护与高级管理层进行沟通的信息安全战略，并给后续的标准，程序和准则的制定提供指南。

　　开发和建立业务案例用于对信息安全的投资。

　　确定会对组织产生影响的内外部因素（例如：技术，商业环境，风险承受能力，地理位置，法律和监管要求），确保这些因素在信息安全战略中进行了全面考虑。

　　获得高级管理层的承诺和其他股东的支持，确保信息安全战略的成功实施。

　　确定整个组织的信息安全角色和责任，并进行沟通以建立明确的组织结构和权力界限。

　　建立，监测，评价和报告指标（例如：关键目标指标[ KGIs ]，关键绩效指标[KPIs ]，关键风险指标[KRIs ]），向管理层提供关于信息安全战略有效性的准确信息。

　　领域2—信息风险管理与合规性--Information Risk Management and Compliance (33%)

　　课程目标--管理信息风险，使其达到可接受的水平，以满足业务及组织的要求；

　　培训内容：

　　建立并维护一个信息资产分类的流程以确保对资产的保护措施与资产的业务价值成正比；

　　了解各类法律法规、组织及相关的要求，从而将不合规的风险管理在可接受的范围内；

　　确保周期性地进行风险评估、脆弱性评估和威胁分析，并于所识别的信息风险相对应；

　　确定适当的风险应对措施来管理风险到可接受的范围内；

　　评估信息安全控制措施以评估是否适当且有效地将风险降低到可接受的范围内；

　　识别当前与预期的风险水平之间的差距；

　　将信息风险管理集成到业务与I流程中（例如：开发、采购、项目管理、企业兼并重组等），从而促进在组织内建立一个一致并全面的信息风险管理流程；

　　对所存在的风险进行监控以确保掌握风险的变化并进行适当的管理；

　　向不同层面的管理层汇报信息风险方面的不合规情况及其他变化情况，从而有助于风险管理决策的制定。

　　领域3—信息安全计划开发与管理--Information Security Program Development and Management (25%)

　　课程目标--建立和管理信息安全方案，使其与信息安全策略相一致；

　　培训内容：

　　建立和维护与信息安全策略相符的信息安全程序。

　　确保信息安全程序和其他业务功能（如人力资源[HR]，财务，采购和IT）相同步，以支持与业务流程的相容性。

　　识别、获取、管理、定义用于实施信息安全程序的内外部资源的要求。

　　建立和维护实施信息安全程序的信息安全架构（人员，流程，技术）。

　　建立，沟通，维护组织的信息安全标准、流程、指南和其他文件，用于支持信息安全政策，并与其相符。

　　建立和维护一个强化信息安全意识和人员培训的流程，从而促进和提升组织的安全环境和有效的信息安全文化。

　　将信息安全要求整合到组织的流程中去（如变更管理，兼并和收购，发展，业务连续性，灾难恢复），从而维护组织的安全基线。

　　将信息安全要求与第三方合同及相关活动进行整合（如合资企业、外包供应商、商业伙伴、客户），从而维护组织的安全基线。

　　建立，监控并周期性的报告程序管理和运行指标，从而评估信息安全程序的有效性及其效率。

　　领域4—信息安全事故管理--Information Security Incident Management (18%)

　　课程目标--对信息安全事故进行侦查，调查，应对及恢复，将其对业务的影响减到最小化；

　　培训内容：

　　在组织层面上建立并维护一个对信息安全事件进行定义和严重性分级的机制，从而可以对发生的各类事件进行准确的识别和响应。

　　建立并维护一个事件响应计划来确保对信息安全事件做出有效且及时的响应。

　　建立并实施相应的流程来确保对信息安全事件进行及时的识别。

　　建立并维护对信息安全事件进行调查和记录的流程，从而可以依据法律法规和组织的要求进行适当的响应并确定事件的根源。

　　建立并维护事件升级和通知的流程，从而确保在事件响应管理中适当层级的利益关系人的及时参与。

　　对响应团队的组织、培训和资源部署，从而可以及时有效地对信息安全事件做出响应。

　　对事件响应计划进行周期性的测试和检查，从而确保可以对发生的信息安全事件做出有效的响应，以及可以对响应能力进行不断的优化和改进。

　　建立并维护沟通的计划和流程，用于对内外部各方的沟通进行全面管理。

　　进行事后检查用于确定引发信息安全事件的根源，从而确定纠正性的措施、对风险进行再评估、评估响应措施的有效性即采取适当的补救行为。

　　建立和维护确保事件响应计划、灾难恢复计划、业务连续性计划三者一致性的机制。。

　　CISM认证四大领域的课程目标和内容是什么？经过艾威CISM培训的讲解，大家对CISM认证培训内容已经有所了解。如果您对CISM培训感兴趣，可以拨打400-888-5228，也可以在线咨询CISM课程顾问。