Big Data - Phänomen im digitalen Universum

IT Governance Berufsbilder CISA, CISM, CGEIT & CRISC

ISACA ist der internationale Verband aller IT Governance Fachspezialisten.

Die ISACA International führt zahlreiche Projekte von globalem Charakter und großer Bedeutung für den IT-Audit und Advisory Bereich durch und ist Vorreiter bei der Entwicklung von IT-Audit Standards. Die derzeit aktuellen Forschungsprojekte umfassen Themen wie Value for IT, CobiT Mapping, IT-Revision, Sarbanes-Oxley und Ähnliches.

Die Hauptprodukte der ISACA sind neben CobiT die Zertifizierungen CISA, CISM, CGEIT und CRISC. Im folgenden möchte ich Ihnen diese neuen Berufsbilder der IT Governance etwas vorstellen:

1. CISA – Certified Information Systems Auditor
Bereits 1977 wurde von ISACA der Certified Information System Auditor (CISA) ins Leben gerufen. Seither haben unzählige Personen diese anspruchsvolle und immer wieder an die aktuellen Bedürfnisse angepasste Prüfung bestanden, die in rund 80 Ländern gleichzeitig in derzeit zwölf Sprachen durchgeführt wird. Durch Nachweis einer ausreichenden Berufspraxis konnten die erfolgreichen Absolventen anschliessend das begehrte CISA-Zertifikat erwerben. CISA ist das einzige weltweit anerkannte Zertifikat im Bereich Revision, Kontrolle und Sicherheit von Informationssystemen und geniesst seit Jahren international ein grosses Ansehen, da die Anforderungen hoch und weltweit identisch sind. Dies wird nicht nur von international tätigen Konzernen, sondern auch von lokal operierenden Unternehmen geschätzt.

Mit dem CISA-Zertifikat erwirbt man einen Leistungsausweis in den Bereichen Revision, Kontrolle und Sicherheit von Informationssystemen. Das CISA-Berufsbild wurde 2010 letztmals aktualisiert und umfasst 5 Domains, 38 Tasks (Aufgaben) und 79 Knowledge Statements (Aussagen zum benötigten Fachwissen). Da die Task Statements auch auf die jeweiligen COBIT-Prozesse referenziert sind, wird COBIT de facto zu einem integrierenden Bestandteil der CISA-Ausbildung und -Zertifizierung.

Die folgende Aufstellung der Aufgaben (Tasks) des CISA Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CISA. Die Prozent-Angaben in Klammern geben die Gewichtung einer Domain an der Prüfung an.

Domain 1, Prüfung von Informationssystemen (14%):

    • Risikobasierte IT-Prüfstrategie (1.1)
    • Prüfungsplanung (1.2)
    • Prüfungsdurchführung (1.3)
    • Berichterstattung (1.4)
    • Follow-up & Statusüberwachung (1.5)

 

Domain 2, Governance und Führung der IT (14%):

    • IT-Governance-Struktur (2.1)
    • Organisation & Personal (2.2)
    • IT-Strategie (2.3)
    • Richtlinien, Standards und Verfahren (2.4)
    • Qualitätsmanagementsystem (2.5)
    • Führung und Überwachung (2.6)
    • Investitionsmanagement (2.7)
    • Vertragsmanagement (2.8)
    • Risikomanagement (2.9)
    • Überwachung durch VR & GL (2.10)
    • Geschäftskontinuitätsplan (2.11)

 

Domain 3: Lebenszyklus von Anwendungen und Infrastruktur (19%):

  • Business Case (3.1)
  • Projektmanagement (3.2)
  • Projekt-Reviews (3.3)
  • Kontrollen in Projektphasen (3.4)
  • Migration und Implementation (3.5)
  • Post-Implementation Reviews (3.6)

Domain 4: Lieferung und Unterstützung von IT-Dienstleistungen (24%):

    • Reviews von Informationssystemen (4.1)
    • Dienstleistungsmanagement (4.2)
    • Management von Drittparteien (4.3)
    • Betriebsverfahren (4.4)
    • Unterhaltsprozess (4.5)
    • Datenbank-Verwaltung (4.6)
    • Kapazitäts- und Performanceüberwachung (4.7)
    • Problem- und Ereignismanagement (4.8)
    • Änderungs-, Konfigurations- und Release-Management (4.9)
    • Backup & Wiederherstellung (4.10)
    • Katastrophenwiederanlaufplan (4.11)

 

Domain 5: Schutz von Informationswerten (30%):

  • Informationssicherheits-Richtlinien (5.1)
  • System- und Zugriffskontrollen (5.2)
  • Datenklassifizierung (5.3)
  • Physische Sicherheit (5.4)
  • Speicherung, Abruf, Transport, Entsorgung (5.5)

2. CISM – Certified Information Security Manager (ISACA)
Seit Herbst 2002 bietet die ISACA den Certified Information Security Manager (CISM) an. Nach dem riesigen Erfolg mit dem Certified Information Systems Auditor (CISA) ist zu erwarten, dass das neue CISM-Zertifikat relativ schnell einen ähnliche Bedeutung erlangen wird. CISA geniesst seit Jahren international ein grosses Ansehen, weil die Anforderungen hoch und weltweit identisch sind. Dies wird nicht nur von international tätigen Konzernen, sondern auch von lokal operierenden Unternehmen geschätzt.

Das neue CISM-Zertifikat ist eine Reaktion auf die Bedürfnisse des Marktes und richtet sich vorwiegend an Personen, die für das Management der Informationssicherheit verantwortlich sind. Ein CISM beschäftigt sich mit Sicherheitsstrategien, Risikoanalysen, Riskikomanagement und ähnlichen übergeordneten Themen. ISACA möchte mit ihrem neuen Certified Information Security Manager dem Wildwuchs im Bereich von “Certified … Security …” ein breit abgestütztes Zertifikat mit gleich bleibend hohem Qualitätsstandard entgegensetzen, das nicht auf spezifische Technologien oder (Hardware-) Plattformen beschränkt ist. Zum heutigen Zeitpunkt sind bereits über 7’000 Personen im Besitz des CISM-Zertifikates.

CISM-Domains
Die folgende Aufstellung der Aufgaben (Tasks) des CISM-Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CISM. Die Prozent-Angaben in Klammern geben die Gewichtung eines Domains an der Prüfung an.

Domain 1, Governance der Informationssicherheit (23%):

  • Informationssicherheitsstrategie (1.1)
  • Unterstützung der Geschäftsleitung (1.2)
  • Governance-Tätigkeiten (1.3)
  • Berichterstattung und Kommunikation (1.4)
  • rechtliche und regulatorische Sachverhalte (1.5)
  • Sicherheitsrichtlinien (1.6)
  • Sicherheitsverfahren (1.7)
  • Nutzenanalyse (1.8)

Domain 2, Risikomanagement (22%):

    • Risikomanagementprozesse (2.1)
    • Integration in Prozesslebenszyklus (2.2)
    • Risikoidentifikation/-analyse (2.3)
    • Risikominderung (2.4)
    • Risikoberichterstattung (2.5)

 

Domain 3, Informationssicherheits-Programm (17%):

  • Implementation des Governance-Rahmens (3.1)
  • Grundschutz (3.2)
  • Sicherheit von Geschäftsprozessen (3.3)
  • Sicherheit der IT-Infrastruktur (3.4)
  • Integration in Unternehmens-Lebenszyklus (3.5)
  • Umsetzung der Sicherheitskonzepte (3.6)
  • Ownership (3.7)
  • Metriken für Informationssicherheit (3.8)
  • Ressourcen (3.9)

Domain 4, Management der Informationssicherheit (24%):

    • Sichere Verwendung der Informationssysteme (4.1)
    • Sichere Administration der Informationssysteme (4.2)
    • Sicherheit bei Outsourcing (4.3)
    • Sicherheitsmetriken (4.4)
    • Änderungsprozesse (4.5)
    • Verletzbarkeitsanalysen (4.6)
    • Handhabung von Verstössen (4.7)
    • Training und Awareness (4.8)

 

Domain 5, Management der Reaktion (14%):

  • Sicherheitsrelevante Ereignisse (5.1)
  • Reaktions- und Wiederanlaufpläne (5.2)
  • Testen der Reaktions- und Wiederanlaufpläne (5.3)
  • Ausführung der Reaktions- und Wiederanlaufpläne (5.4)
  • Dokumentation von Ereignissen (5.5)
  • Follow-up von Ereignissen (5.6)

3. CGEIT – Certified in the Governance of Enterprise IT (ISACA)
Das 2008 veröffentlichte Berufsbild des CGEIT (Certified in the Governance of Enterprise IT) ist die konsequente Weiterentwicklung der bereits 1998 gestarteten Initiative im Bereich IT-Governance: Damals wurde das IT Governance Institute gegründet sowie die erste COBIT-Version als Synthese von über 30 nationalen und internationalen Standards herausgegeben. Die seitdem veröffentlichten unzähligen ITGI-Dokumente zu allen Anspekten von IT-Governance sowie die stolze Anzahl von über 4‘000 CGEIT-zertifizierten Personen bereits im zweiten Jahr zeigen die Bedeutung der konsequenten Erweiterung von Governance auf die Informationstechnologie (IT).

CGEIT- Domains
Mit dem CGEIT-Zertifikat erwirbt man einen Leistungsausweis in IT-Governance, also Themenbereichen wie strategische Ausrichtung, Wertschöpfung, Risikomanagement, Ressourcenmanagement und Leistungsmessung in der Informationstechnologie (IT). Das CGEIT-Berufsbild wurde 2008 erstmals veröffentlicht und umfasst sechs Domains, 59 Tasks (Aufgaben) und 78 Knowledge Statements (Aussagen zum benötigten Fachwissen).

Die folgende Aufstellung der Aufgaben (Tasks) des CGEIT Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CGEIT. Die Prozent-Angaben in Klammern geben die Gewichtung eines Domains an der Prüfung an.

Domain 1, IT-Governance Framework (25%):

    • Entwicklung IT-Governance Framework (1.1)
    • Anforderungen und Ziele an IT-Governance (1.2)
    • Basis und Ausrichtung des IT-Governance Framework (1.3)
    • Management Governance-Strukturen (1.4)
    • Optimale Werterreichung (1.5)
    • Einhaltung externer Anforderungen und ethischer Deklarationen (1.6)
    • Unabhabhängige Bestätigung der Compliance (1.7)
    • Bewährte IT-Praktiken für Werteauslieferung (1.8)
    • Überwachung von IT-Governance (1.9)
    • Rollen, Aufgaben und Verantwortlichkeiten (1.10)
    • Berichterstattung Status IT-Governance (1.11)
    • Kommunikation für IT-Govenrance (1.12)

 

Domain 2, Strategische Ausrichtung (15%):

    • Entwicklung IT-Strategie (2.1)
    • Strategische Planung (2.2)
    • ITT-Management-Planung (2.3)
    • Richtlinien und Verfahren für strategische Ausrichtung (2.4)
    • Hemmnisse gegen strategische Ausrichtung (2.5)
    • Kommunikation zwischen Fachbereichen und Informatik (2.6)
    • Kaskadierung von Geschäfts- und IT-Zielsetzungen (2.7)
    • Ausrichtung von IT-Initiativen auf Geschäftsziele (2.8)
    • Wechselbeziehungen strategischer Initiativen (2.9)
    • Strategischer Planungsprozess (2.10)
    • Unterhalt von IT-Managementplänen (2.11)
    • Wirksamkeit der Ausrichtung strategischer Initiativen (2.12)
    • Analyse zukünftiger Technologien (2.13)

 

Domain 3, Werte-Auslieferung (15%):

    • Governance-Prozess für Werte-Auslieferung (3.1)
    • Ownership und Verantwortlichkeit (3.2)
    • Management von IT-gestützten Investionen als Portfolio (3.3)
    • Management von IT-gestützten Investionen zur Geschäftswertoptimierung (3.4)
    • Management von IT-gestützten Investionen im gesamten Lebenszyklus (3.5)
    • Kategorien von Investitionen (3.6)
    • Entwicklung und Unterhalt von IT-Lösungen im gesamten Lebenszyklus (3.7)
    • Auslieferung von IT-Dienstleistungen im richtigen Dienstleistungsgrad (3.8)
    • Generierung von Geschäftswerten (3.9)
    • Metriken für die Messung von Lösungen und Diensteauslieferung (3.10)
    • Engagement der Stakeholder (3.11)
    • Ausrichtung auf Unternehmens-Strategien und Architektur (3.12)

 

Domain 4, Risikomanagement (20%):

    • Integration in Geschäftsstrategieund taktische Planungsprozesse (4.1)
    • Ausrichtung auf das Unternehmens-Risikomanagement-Framework (4.2)
    • Konsistente Anwendung in der gesamten Unternehmensinformatik (4.3)
    • Integration in Informations-Lebenszyklus (4.4)
    • Risikomanagementstrategien und Priorisierung von Risikoantworten (4.5)
    • Risikomanagementstrategien zur Mitigation auf akzeptable Niveaus (4.6)
    • Berichterstattung über Risikoereignisse und -antworten (4.7)
    • Überwachungsprozesse und -praktiken (4.8)

 

Domain 5, Ressourcen-Management (13%):

    • Sytematisches und kontinuierliche Ressourcen-Planungs-, Management- und Evaluationsprozesse (5.1)
    • Anforderungen an ausgebildete Ressourcen (5.2)
    • Geeignete Richtlinien für Ausbildung und Entwicklung der Mitarbeiter (5.3)
    • Systeme zur Aufzeichnung von verfügbaren Ressourcen (5.4)
    • Gap-Analysen zur Aufdeckung von Defiziten (5.5)
    • Wirksame und wirtschaftliche Allokation von Ressourcen zu Investitionsprogrammen und Services (5.6)
    • Basierung von Sourcing-Strategien auf verfügbaren Ressourcen (5.7)
    • Einkaufsrichtlinien für Personen, Hardware, Software und Infrastruktur (5.8)
    • Periodische Beurteilung der Ausbildungsanforderungen (5.9)
    • Integration von Ressourcing-Prozessen in strategische und taktische Planung und den Betrieb (5.10)
    • Standardisierung der IT-Infrastruktur (5.11)
    • Management von IT-Werten im gesamten Lebenszyklus (5.12)

 

Domain 6, Leistungsmessung (12%):

  • Systematisches und kontinuierliches Leistungsmanagement (6.1)
  • Errichtung von strategischen IT-Zielen (6.2)
  • Ergebnis- und Lesitungsmetriken (6.3)
  • Leistungsmessung bei IT-Prozessen, IT-Investitionsportfolio, IT-Service-Delivery (6.4)
  • Maturitätsmodelle und andere Beurteilungstechniken (6.5)
  • Kontinuierliche Messung (6.6)
  • Berichterstattung an relevante Stakeholder (6.7)

4. CRISC – Certified in Risk and Information Systems Control (ISACA)
Anfangs 2010 wurde von ISACA das neue Zertifikat Certifed in Risk and Information Systems Control(CRISC) ins Leben gerufen. Die Mischung von (viel) Enterprise- und IT-Risikomanagement mit zwei Blöcken zur Implementation und Überwachung von internen Informatik-Kontrollen ist weltweit auf sehr grosses Interesse gestossen.

CRISC-Domains
Mit dem CRISC-Zertifikat erwirbt man einen Leistungsausweis in den Bereichen Revision, Kontrolle und Sicherheit von Informationssystemen. Das brandneue CRISC-Berufsbild umfasst 5 Domains, 39 Tasks (Aufgaben) und 72 Knowledge Statements (Aussagen zum benötigten Fachwissen).

Die folgende Aufstellung der Aufgaben (Tasks) des CRISC Berufsbildes vermitteln einen Eindruck vom breiten Wissensspektrum eines CRISC. Die Prozent-Angaben in Klammern geben die Gewichtung eines Domains an der Prüfung an.

Domain 1, Risikoidentifikation, -bewertung und Beurteilung (31%):

    • Sammlung von Informationen und Durchsicht von Dokumenten (1.1)
    • Rechtliche, regulatorische, vertragliche -Anforderungen, Richtlinien und Standards (1.2)
    • Identifikation von Bedrohungen und -Verwundbarkeiten (1.3)
    • Erstellung und Unterhalt eines Risiko-Registers (1.4)
    • Sammlung von Risikoszenarien (1.6)
    • Risiken, Ereignisse und -Abhängigkeiten (1.6)
    • Risiko-Awarenessprogramm (1.7)
    • Korrelation von Risiken zu relevanten -Geschäftsprozessen (1.8)
    • Validierung von Risikoappetit und -toleranz (1.9)

 

Domain 2, Risikoantwort (17%):

    • Risikoantworts-Optionen und -Entscheidungen (2.1)
    • Validierung von Risikoantworten mit -Stakeholdern (2.2)
    • Entwicklung von Risikoprofilen basierend auf Risikokriterien (2.3)
    • Risikoantwort-Aktionspläne (2.4)
    • Business Case-Entwicklung für Risikoantworten (2.5)

 

Domain 3: Risikoüberwachung (17%):

    • Sammlung und Validierung von Risiko-Schlüssel-indikatoren (3.1)
    • Überwachung und Kommunikation von Risiko-Schlüsselindikatoren (3.2)
    • Ermöglichung unabhängiger Reviews für Risikobewertungen und Prozesse (3.3)
    • Identifikation und Berichterstattung von Compliance-Risiken (3.4)

 

Domain 4: Entwurf und Implementation von Informatik-Kontrollen (17%):

    • Verständnis über Geschäftsprozess-Ziele (4.1)
    • Notwendige Informatik-Kontrollen (4.2)
    • Entwurf von Informatik-Kontrollen (4.3)
    • Für Kontroll-Betrieb notwendige Ressourcen (4.4)
    • Überwachung von Entwurf und Implementation (4.4)
    • Fortschrittsberichte über Implementierung (4.6)
    • Testen von Informatik-Kontrollen (4.7)
    • Implementierung zur Risikominderung (4.9)
    • Identifikation von Metriken und KPIs für die Leistung von Informatik-Kontrollen (4.0)
    • Werkzeuge für Automatisierung von Informatik-Kontrollprozessen (4.10)
    • Wirksamer Betrieb von Informatik-Kontrollen (4.11)
    • Owner für Informatik-Kontrollen (4.12)
    • Kriterien für Lebenszyklus-Management für Informatik-Kontrollen (4.13)

 

Domain 5: Überwachung und Unterhalt von Informatik-Kontrollen (18%):

  • Kontinuierliche Wirtschaftlichkeit & Wirksamkeit (5.1)
  • Identifikation von Mängeln (5.2)
  • Überprüfung von Richtlinien, Standards und Verfahren der Informatik (5.3)
  • Automatische Verifikationsprozesse (5.4)
  • Verwendung von Maturitätsmodellen für -Prozessbewertungen (5.5)
  • Bestimmung des Vorgehens für Behebung von Mängeln und Lücken (5.6)
  • Beweismittel für Existenz und Wirksamkeit von Informatik-Kontrollen (5.7)
  • Berichterstattung an Stakeholder (5.8)

Interesse an diesen Ausbildungen? Unser Partner ITACS führt diese Trainings teilweise in Zusammenarbeit mit der Glenfis AG durch. Kontaktieren Sie mich, wenn Sie weitere Informationen benötigen.

Eine gute Grundlage für diese Ausbildungen bietet eine vertiefte Kenntnis des COBIT-Frameworks. Die Glenfis AG bietet hierzu ideale Vorbereitungs-Seminare:

COBIT Foundation
Implementing Governance of Enterprise IT using COBIT
RISK IT
Val IT
COBIT für ITIL Service Manager

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert