Certified Chief Information Security Officer (CCISO) (EC6155)

Domaine 1: Gouvernance, Risque, Conformité

• Définir, mettre en œuvre, gérer et maintenir un programme de gouvernance de la sécurité de l'information qui comprend le leadership, les structures organisationnelles et les processus.
• Aligner le cadre de gouvernance de la sécurité de l'information sur les objectifs et la gouvernance de l'organisation, c'est-à-dire le style de leadership, la philosophie, les valeurs, les normes et les politiques.
• Établir une structure de gestion de la sécurité de l'information.
• Établir un cadre pour le suivi de la gouvernance de la sécurité de l'information (en tenant compte des analyses coûts/bénéfices des contrôles et du retour sur investissement).
• Comprendre les normes, les procédures, les directives, les politiques, les réglementations et les questions juridiques qui affectent le programme de sécurité de l'information.
• Comprendre le programme de conformité de la sécurité de l'information de l'entreprise
• Créer une politique et une charte de programme de gestion des risques
• Créer une méthodologie et un cadre d'évaluation des risques
• Créer et gérer le registre des risques
• Créer un calendrier d'évaluation des risques et des listes de contrôle
• Créer des métriques et des processus de reporting des risques
• Analyser et comprendre les lois externes communes, les réglementations, les normes, les meilleures pratiques applicables à l'organisation et l'éthique organisationnelle.
• Connaître les normes internationales de sécurité et de risque telles que les séries ISO 27000 et 31000
• Mettre en œuvre et gérer des stratégies, des plans, des politiques et des procédures de sécurité de l'information pour réduire les risques réglementaires
• Comprendre l'importance des organismes de réglementation de la sécurité de l'information et des groupes et parties prenantes appropriés de l'industrie
• Comprendre les changements, les tendances et les meilleures pratiques en matière de sécurité de l'information
• Comprendre et gérer les contrôles du programme de conformité de l'entreprise, les processus et procédures de conformité en matière de sécurité de l'information, les audits de conformité et les programmes de certification
• Comprendre le processus et les procédures de conformité en matière de sécurité de l'information
• Compiler, analyser et rendre compte des programmes de conformité
• Comprendre les programmes d'audit de conformité
• Suivre l'éthique organisationnelle

Domaine 2 : Contrôles de la sécurité de l'information et gestion des audits

• Identifier le processus opérationnel et les objectifs de l'organisation
• Concevoir des contrôles des systèmes d'information en alignement avec les besoins et les objectifs opérationnels et effectuer des tests avant la mise en œuvre pour garantir l'efficacité
• Identifier et sélectionner les ressources nécessaires pour mettre en œuvre et maintenir efficacement les contrôles des systèmes d'information. Ces ressources peuvent inclure le capital humain, l'information, l'infrastructure et l'architecture (par exemple, les plates-formes, les systèmes d'exploitation, les réseaux, les bases de données, les applications)
• Concevoir et mettre en œuvre des contrôles des systèmes d'information pour atténuer les risques. Surveiller et documenter la performance du contrôle des systèmes d'information dans l'atteinte des objectifs organisationnels en identifiant et en mesurant les mesures et les indicateurs de performance clés
• Concevoir et effectuer des tests de contrôles de sécurité de l'information pour assurer l'efficacité, découvrir les lacunes et assurer l'alignement avec le programme de gestion des risques de l'organisation
• Concevoir et mettre en œuvre des processus pour remédier de manière appropriée aux lacunes et évaluer les pratiques de gestion des problèmes afin de s'assurer que les erreurs sont enregistrées, analysées et résolues en temps opportun
• Évaluer et implanter des outils et des techniques pour automatiser les processus de contrôle des systèmes d'information.
• Mesurer, gérer et rendre compte de la mise en œuvre et de l'efficacité des contrôles de sécurité
• Comprendre le processus d'audit informatique et se familiariser avec les normes d'audit informatique
• Appliquer les principes, les compétences et les techniques d'audit des systèmes d'information pour examiner et tester la technologie et les applications des systèmes d'information afin de concevoir et de mettre en œuvre une stratégie d'audit informatique approfondie basée sur les risques.
• Exécuter le processus d'audit conformément aux normes établies et interpréter les résultats par rapport à des critères définis pour s'assurer que les systèmes d'information sont protégés, contrôlés et efficaces pour soutenir les objectifs de l'organisation
• Évaluer les résultats d'audit, en évaluant la pertinence, l'exactitude et la perspective des conclusions par rapport aux preuves d'audit accumulées
• Évaluer les expositions résultant de pratiques de contrôle inefficaces ou manquantes et formuler un plan pratique et rentable pour améliorer ces domaines
• Développer un processus de documentation d'audit informatique et partager les rapports avec les parties prenantes concernées comme base de prise de décision
• Veiller à ce que les changements nécessaires basés sur les conclusions de l'audit soient effectivement mis en œuvre en temps opportun

Domaine 3: Gestion et opérations du programme de sécurité

• Pour chaque projet de systèmes d'information, développer un énoncé clair de la portée du projet en alignement avec les objectifs organisationnels
• Définir les activités nécessaires pour exécuter avec succès le programme de systèmes d'information, estimer la durée des activités et élaborer un calendrier et un plan de dotation en personnel
• Élaborer, gérer et surveiller le budget du programme des systèmes d'information, estimer et contrôler les coûts des projets individuels
• Identifier, négocier, acquérir et gérer les ressources nécessaires à la réussite de la conception et de la mise en œuvre du programme de systèmes d'information (par exemple, les personnes, l'infrastructure et l'architecture)
• Acquérir, développer et gérer l'équipe de projet de sécurité de l'information
• Attribuer des fonctions claires au personnel de sécurité de l'information et fournir une formation continue pour assurer une performance et une responsabilité efficaces
• Diriger le personnel de sécurité de l'information et établir des communications et des activités d'équipe entre l'équipe des systèmes d'information et d'autres personnels liés à la sécurité (par exemple, le support technique, la gestion des incidents, l'ingénierie de la sécurité)
• Résoudre les problèmes de personnel et de travail d'équipe dans les délais, les coûts et les contraintes de qualité
• Identifier, négocier et gérer l'accord des fournisseurs et la communauté
• Participer avec les fournisseurs et les parties prenantes pour examiner/évaluer les solutions recommandées ; identifier les incompatibilités, les défis ou les problèmes avec les solutions proposées
• Évaluer les pratiques et les contrôles de gestion de projet pour déterminer si les exigences opérationnelles sont satisfaites de manière rentable tout en gérant les risques pour l'organisation
• Élaborer un plan pour mesurer en continu l'efficacité des projets de systèmes d'information afin d'assurer une performance optimale du système
• Identifier les parties prenantes, gérer les attentes des parties prenantes et communiquer efficacement pour rendre compte des progrès et des performances
• S'assurer que les changements et améliorations nécessaires aux processus des systèmes d'information sont mis en œuvre au besoin

Domaine 4: Compétences essentielles en sécurité de l'information

• Identifier les critères de contrôle d'accès obligatoire et discrétionnaire, comprendre les différents facteurs qui aident à la mise en œuvre des contrôles d'accès et concevoir un plan de contrôle d'accès
• Mettre en œuvre et gérer un plan de contrôle d'accès en conformité avec les principes de base qui régissent les systèmes de contrôle d'accès tels que le besoin de savoir
• Identifier différents systèmes de contrôle d'accès tels que les cartes d'identité et la biométrie
• Comprendre l'importance des bannières d'avertissement pour la mise en œuvre des règles d'accès
• Élaborer des procédures pour s'assurer que les utilisateurs du système sont conscients de leurs responsabilités en matière d'IA avant d'accorder l'accès aux systèmes d'information
• Ingénierie sociale, attaques de phishing, vol d'identité
• Comprendre divers concepts d'ingénierie sociale et leur rôle dans les attaques d'initiés et développer les meilleures pratiques pour contrer les attaques d'ingénierie sociale
• Concevoir un plan de réponse aux incidents de vol d'identité
• Identifier et concevoir un plan pour surmonter les attaques de phishing
• Identifier les normes, procédures, directives, politiques, réglementations et lois pour la sécurité physique
• Déterminer la valeur des actifs physiques et l'impact en cas d'indisponibilité
• Concevoir, mettre en œuvre et gérer un plan de sécurité physique complet, coordonné et holistique pour assurer la sécurité globale de l'organisation, y compris un calendrier d'audit et des mesures de performance
• Élaborer, mettre en œuvre et surveiller la continuité des activités, la reprise des activités, la planification d'urgence et les plans de reprise après sinistre en cas d'événements perturbateurs et assurer l'alignement avec les buts et objectifs de l'organisation
• Processus de documentation de conception dans le cadre du programme de continuité des opérations
• Concevoir et exécuter un plan de test et de mise à jour pour le programme de continuité des opérations
• Comprendre l'importance de l'intégration des exigences d'IA dans le plan de continuité des opérations (COOP).
• Comprendre et gérer la sécurité cloud du réseau
• Identifier les systèmes de détection et de prévention des intrusions appropriés pour la sécurité de l'information organisationnelle
• Concevoir et développer un programme pour surveiller les pare-feux et identifier les problèmes de configuration des pare-feu
• Comprendre les systèmes de défense périmétrique tels que les capteurs de grille et les listes de contrôle d'accès sur les routeurs, les pare-feu et d'autres périphériques réseau
• Identifier l'architecture réseau de base, les modèles, les protocoles et les composants tels que les routeurs et les concentrateurs qui jouent un rôle dans la sécurité du réseau
• Comprendre le concept de segmentation du réseau
• Gérer les DMZ, les VPN et les technologies de télécommunication telles que PBX et VoIP
• Identifier les vulnérabilités du réseau et explorer les contrôles de sécurité du réseau tels que l'utilisation de SSL et TLS pour la sécurité de transmission
• Assistance, surveillance, test et dépannage des problèmes matériels et logiciels
• Gérer les comptes, les droits de réseau et l'accès aux systèmes et équipements
• Identifier les vulnérabilités et les attaques associées aux réseaux sans fil et gérer différents outils de sécurité des réseaux sans fil
• Évaluer la menace des virus, chevaux de Troie et logiciels malveillants pour la sécurité de l'organisation et identifier les sources et les supports d'infection par les logiciels malveillants
• Déployer et gérer des systèmes antivirus
• Développer un processus pour contrer les virus, les chevaux de Troie et les logiciels malveillants, y compris la formation des équipes de sécurité et des équipes non liées à la sécurité sur les processus de développement sécurisés
• Développer et maintenir des programmes d'assurance logicielle conformément aux principes de codage sécurisé et à chaque phase du cycle de vie du développement du système (SDLC)
• Comprendre diverses pratiques d'ingénierie système
• Configurer et exécuter des outils qui aident à développer des programmes sécurisés
• Comprendre les techniques d'analyse des vulnérabilités logicielles, y compris le code statique, le code dynamique et l'analyse de la composition logicielle.
• Installer et exploiter les systèmes informatiques d'une manière de test de configuration qui ne modifie pas le code du programme ou ne compromet pas les mesures de sécurité
• Identifier les vulnérabilités et les attaques des applications Web et les outils de sécurité des applications Web pour contrer les attaques
• Durcissement du système d'exploitation
• Identifier diverses vulnérabilités et attaques du système d'exploitation et élaborer un plan de renforcement des systèmes d'exploitation
• Comprendre les journaux système, le processus de gestion des correctifs et la gestion de la configuration pour la sécurité du système d'information
• Comprendre le concept de chiffrement et de déchiffrement, les certificats numériques, l'infrastructure à clé publique et les principales différences entre la cryptographie et la stéganographie
• Identifier les différents composants d'un cryptosystème
• Élaborer un plan pour les techniques de cryptage de sécurité de l'information
• Évaluation de la vulnérabilité et tests de pénétration
• Concevoir, développer et mettre en œuvre un programme de tests d'intrusion basé sur la méthodologie des tests d'intrusion pour assurer la sécurité de l'organisation
• Identifier les différentes vulnérabilités associées aux systèmes d'information et les problèmes juridiques liés aux tests d'intrusion
• Élaborer des procédures de test avant et après
• Élaborer un plan pour la création de rapports sur les tests d'intrusion et la mise en œuvre de corrections de vulnérabilités techniques
• Développer des systèmes de gestion des vulnérabilités
• Créer et gérer un programme de gestion des menaces comprenant des informations sur les menaces, les menaces tierces et des bulletins de sécurité concernant le matériel et les logiciels, en particulier les logiciels open source
• Élaborer un plan pour identifier une violation potentielle de la sécurité et prendre les mesures appropriées pour signaler l'incident
• Se conformer aux procédures de résiliation du système et aux exigences de signalement d'incidents liés à des incidents de sécurité potentiels ou à des violations réelles
• Évaluer les violations de sécurité potentielles pour déterminer si les politiques de sécurité du réseau ont été enfreintes, évaluer l'impact et conserver les preuves
• Diagnostiquer et résoudre les problèmes d'IA en réponse aux incidents signalés
• Concevoir des procédures de réponse aux incidents, y compris des tests, des exercices sur table et des playbooks
• Élaborer des lignes directrices pour déterminer si un incident de sécurité est révélateur d'une violation de la loi qui nécessite une action en justice spéciale
• Identifier les informations système volatiles et persistantes
• Mettre en place et gérer des laboratoires et des programmes médico-légaux
• Comprendre divers dispositifs multimédias numériques, principes et pratiques de découverte électronique et différents systèmes de fichiers
• Développer et gérer un programme organisationnel d'investigation numérique
• Établir, développer et gérer des équipes d'enquête médico-légale
• Concevoir des processus d'enquête tels que la collecte de preuves, l'imagerie, l'acquisition de données et l'analyse
• Identifier les meilleures pratiques pour acquérir, stocker et traiter les preuves numériques
• Configurer et utiliser divers outils d'investigation médico-légale
• Concevoir des techniques anti-forensic

Domaine 5: Planification stratégique, finances, achats et gestion par des tiers

• Concevoir, développer et maintenir l'architecture de sécurité de l'information d'entreprise (EISA) en alignant les processus commerciaux, les logiciels et le matériel informatique, les réseaux locaux et étendus, les personnes, les opérations et les projets avec la stratégie de sécurité globale de l'organisation
• Effectuer une analyse externe de l'organisation (par exemple, une analyse des clients, des concurrents, des marchés et de l'environnement de l'industrie) et une analyse interne (gestion des risques, capacités organisationnelles, mesure de la performance, etc.) et les utiliser pour aligner le programme de sécurité de l'information sur les objectifs de l'organisation
• Identifier et consulter les principales parties prenantes pour assurer la compréhension des objectifs de l'organisation
• Définir un plan stratégique tourné vers l'avenir, visionnaire et innovant pour le rôle du programme de sécurité de l'information avec des buts, des objectifs et des cibles clairs qui soutiennent les besoins opérationnels de l'organisation
• Définir des indicateurs de performance clés et mesurer l'efficacité en continu
• Évaluer et ajuster les ressources de sécurité pour s'assurer qu'elles soutiennent les objectifs stratégiques de l'organisation
• Surveiller et mettre à jour les activités pour assurer la responsabilisation et les progrès
• Analyser, prévoir et développer le budget opérationnel du service de sécurité
• Acquérir et gérer les ressources nécessaires à la mise en œuvre et à la gestion du plan de sécurité de l'information
• Allouer des ressources financières aux projets, processus et unités au sein du programme de sécurité de l'information
• Surveiller et superviser la gestion des coûts des projets de sécurité de l'information, le retour sur investissement (ROI) des achats clés liés à l'infrastructure et à la sécurité informatiques et assurer l'alignement avec le plan stratégique
• Identifier et rapporter les mesures financières aux parties prenantes
• Équilibrer le portefeuille d'investissements en sécurité informatique en fonction des considérations EISA et des priorités de sécurité de l'entreprise
• Comprendre le cycle de vie de l'acquisition et déterminer l'importance de l'approvisionnement en effectuant une analyse d'impact sur l'entreprise
• Identifier différentes stratégies d'approvisionnement et comprendre l'importance de l'analyse coûts-avantages lors de l'achat d'un système d'information
• Comprendre les concepts d'approvisionnement de base tels que l'énoncé des objectifs (SOO), l'énoncé des travaux (SOW) et le coût total de possession (TCO)
• Collaborer avec diverses parties prenantes (qui peuvent inclure des clients internes, des avocats, des professionnels de la sécurité informatique, des professionnels de la confidentialité, des ingénieurs en sécurité, des fournisseurs et autres) sur l'achat de produits et services de sécurité informatique
• Inclure les exigences de sécurité basées sur les risques dans les plans d'acquisition, les estimations de coûts, les énoncés de travail, les contrats et les facteurs d'évaluation pour l'attribution, les accords de niveau de service et d'autres documents d'approvisionnement pertinents
• Concevoir le processus de sélection des fournisseurs et la politique de gestion
• Élaborer des politiques d'administration des contrats qui orientent l'évaluation et l'acceptation des produits et services de sécurité informatique livrés dans le cadre d'un contrat, ainsi que l'évaluation de la sécurité de l'informatique et des logiciels achetés
• Élaborer des mesures et des normes de rapport pour mesurer et rendre compte des objectifs clés des achats alignés sur les politiques et procédures de sécurité informatique
• Comprendre les exigences de sécurité IA à inclure dans les énoncés de travail et autres documents d'approvisionnement appropriés
• Concevoir le processus de sélection des tiers
• Concevoir une politique, des métriques et des processus de gestion tiers
• Concevoir et gérer le processus d'évaluation par des tiers, y compris la gestion continue de la conformité
• Élaborer des mesures et des normes de rapport pour mesurer et rendre compte des objectifs clés des achats alignés sur les politiques et procédures de sécurité informatique
• Inclure les exigences de sécurité basées sur les risques dans les plans d'acquisition, les estimations de coûts, les énoncés de travail, les contrats et les facteurs d'évaluation pour l'attribution, les accords de niveau de service et d'autres documents d'approvisionnement pertinents
• Comprendre les exigences de sécurité, de confidentialité et de conformité à inclure dans les énoncés de travail (SOW), les accords-cadres de service (MSA) et d'autres documents d'approvisionnement appropriés