Security and Risk Management
"Security and Risk Management" richt zich op het begrijpen en beheren van beveiligingsrisico's binnen een organisatie. Dit domein behandelt een breed scala aan onderwerpen, waaronder:
- Vertrouwelijkheid, integriteit en beschikbaarheid (CIA): De drie fundamentele principes van informatiebeveiliging, die als basis dienen voor het beschermen van gegevens en systemen.
- Beveiligingsgovernance: Het creëren en onderhouden van een raamwerk voor het beheren van de beveiliging van informatie, in overeenstemming met de organisatiedoelstellingen, wet- en regelgeving, en industriestandaarden.
- Risicomanagement: Het identificeren, evalueren en beheren van risico's voor informatiebeveiliging, met inbegrip van het uitvoeren van risicoanalyses en het ontwikkelen van risicobeperkende strategieën.
- Compliance: Het waarborgen van de naleving van wet- en regelgeving, contractuele vereisten en industriestandaarden, zoals GDPR, HIPAA en ISO 27001.
- Beveiligingsbeleid, procedures en richtlijnen: Het ontwikkelen en onderhouden van schriftelijke documentatie die de beveiligingseisen en -praktijken van een organisatie vastlegt, inclusief beveiligingsbeleid, procedures, richtlijnen en standaarden.
- Bedrijfscontinuïteitsplanning (BCP) en disaster recovery (DR): Het plannen voor en reageren op incidenten die de bedrijfsvoering en informatiebeveiliging kunnen verstoren, zoals natuurrampen, cyberaanvallen of technische storingen.
- Juridische, ethische en professionele overwegingen: Het begrijpen van de juridische en ethische verantwoordelijkheden van een beveiligingsprofessional, evenals het naleven van professionele gedragscodes en normen.
Domein 1 van CISSP legt de basis voor het begrijpen en managen van beveiligingsrisico's in een organisatie en is essentieel voor het succes van een beveiligingsprofessional. Het vereist een grondige kennis van beveiligingsprincipes, best practices, en de vaardigheid om deze toe te passen in een organisatorische context.