Kurs
digicode: CGRC
ISC2 Governance, Risk und Compliance (CGRC)
Kurs-Facts
Als PDF herunterladen- Verstehen der Grundlagen von Governance, Risk & Compliance (GRC) sowie der Integration von Sicherheits-, Risiko- und Compliance-Anforderungen in Unternehmensprozesse
- Wissen über nationale und internationale Security- und Privacy-Frameworks wie NIST, ISO/IEC, COBIT, PCI-DSS, FedRAMP oder GDPR und deren Anwendung im Compliance-Kontext
- Definieren und Abgrenzen von Systemen, Informationswerten und Sicherheitsanforderungen unter Berücksichtigung von Risiko- und Datenschutzanforderungen
- Eigenverantwortliches Auswählen, Bewerten und Anpassen von Sicherheits- und Datenschutzkontrollen auf Basis etablierter Frameworks und regulatorischer Vorgaben
- Wissen über die Implementierung technischer und organisatorischer Sicherheitsmassnahmen innerhalb von IT- und Compliance-Architekturen
- Anwenden von Methoden zur Auditierung, Bewertung und Wirksamkeitsprüfung von Sicherheits- und Datenschutzkontrollen
- Verstehen des Umgangs mit Risiken, Schwachstellen und Abweichungen sowie der Definition geeigneter Risk-Response-Strategien
- Wissen über die Erstellung, Pflege und Nachweisführung von Compliance-Dokumentationen und Audit-Reports
- Anwenden von Prozessen für kontinuierliche Compliance, Change Management, Monitoring und Security Maintenance über den gesamten Systemlebenszyklus hinweg
- Wissen über die Bedeutung von Security Governance, kontinuierlicher Überwachung und resilienzorientierter Compliance-Strategien im Unternehmenskontext
1 Governance, Risk und Compliance (GRC)
Grundlagen von Governance, Risiko- und Compliance-Programmen im Bereich Informationssicherheit und Datenschutz: regulatorische Anforderungen, Risikomanagement, Sicherheitsrichtlinien sowie die organisatorische Steuerung von Security- und Compliance-Initiativen.
2 Systemumfang und Systemabgrenzung
Definition und Abgrenzung von Systemen und deren Sicherheitsumfang: Identifikation kritischer Assets, Geschäftsprozesse, Datenflüsse sowie Einordnung von Sicherheits- und Datenschutzanforderungen innerhalb des organisatorischen Kontexts.
3 Auswahl und Genehmigung von Frameworks sowie Sicherheits- und Datenschutzkontrollen
Auswahl und Freigabe von Sicherheits- und Datenschutzkontrollen auf Basis etablierter Frameworks und Standards: Bewertung geeigneter Massnahmen zur Risikominimierung sowie Abstimmung mit regulatorischen und geschäftlichen Anforderungen.
4 Implementation of Security and Privacy Controls
Implementierung technischer und organisatorischer Sicherheits- und Datenschutzmassnahmen: Umsetzung von Controls innerhalb von Prozessen, Systemen und Architekturen zur Sicherstellung von Schutz, Resilienz und Compliance.
5 Bewertung und Auditierung von Sicherheits- und Datenschutzkontrollen
Bewertung und Auditierung von Sicherheits- und Datenschutzkontrollen: Durchführung von Assessments, Audits und Wirksamkeitsprüfungen zur Identifikation von Schwachstellen, Compliance-Lücken und Optimierungspotenzialen.
6 System Compliance
Sicherstellung der System-Compliance gegenüber internen Richtlinien sowie externen regulatorischen und gesetzlichen Anforderungen: Überwachung, Nachweisführung und Reporting von Compliance-Status und Sicherheitsmassnahmen.
7 Aufrechterhaltung der Compliance
Kontinuierliche Aufrechterhaltung von Compliance und Sicherheitsniveau: laufende Überprüfung, Anpassung und Verbesserung von Kontrollen, Prozessen und Governance-Strukturen im Hinblick auf neue Risiken, Bedrohungen und regulatorische Veränderungen.
Besteht aus folgenden Modulen
- ISC2 Governance, Risk and Compliance (CGRC)
- Exam Voucher für CGRC (CGRCP)
Die CGRC-Zertifizierung ist ideal für dich, wenn du Security-, Risiko- und Compliance-Anforderungen nicht nur operativ umsetzen, sondern Governance, Cyberrisiken und regulatorische Vorgaben strategisch steuern möchtest. Sie ist besonders relevant für:
- Governance-, Risk- und Compliance-Verantwortliche (GRC), die Security- und Compliance-Programme strukturiert aufbauen oder weiterentwickeln möchten
- IT-Sicherheitsverantwortliche und Security Manager, die regulatorische Anforderungen mit technischen Sicherheitsmassnahmen verbinden müssen
- Risk Manager und Internal Auditors, die Cyberrisiken bewerten, Audits durchführen und Compliance-Anforderungen überwachen
- IT- und Security-Consultants, die Kunden bei Governance-, Risiko- und Compliance-Themen beraten und auf Audits oder Zertifizierungen vorbereiten
- Compliance Officers und Datenschutzverantwortliche, die Security-, Datenschutz- und regulatorische Anforderungen integrieren und nachweisen müssen
- IT-Manager, Systemverantwortliche und Projektleitende, die Verantwortung für sichere und compliant betriebene Systeme tragen
- Fachpersonen aus regulierten Branchen wie Finanzdienstleistung, Gesundheitswesen, öffentliche Verwaltung oder kritische Infrastrukturen, die Sicherheits- und Compliance-Anforderungen umsetzen müssen
- CISSP® -, CISM® -, CISA® - oder ISO-27001-zertifizierte Fachpersonen, die ihr Profil gezielt um Governance-, Risk- und Compliance-Kompetenzen erweitern möchten
Um die CGRC-Zertifizierung zu erlangen, benötigst du eine gültige CGRC®-Zertifizierung sowie mindestens zwei Jahre kumulierte Berufserfahrung in Vollzeit in einem oder mehreren der Bereiche des aktuellen CGRC-Prüfungsschemas.
Alternativ gilt:
Du verfügst über mindestens zwei Jahre kumulierte Berufserfahrung in Vollzeit in einem oder mehreren Bereichen des aktuellen CGRC-Prüfungsschemas. Ein Bachelor- oder Masterabschluss in Informatik, Informationstechnologie oder einem verwandten Fachgebiet oder eine von ISC2 anerkannte Zertifizierung können bis zu einem Jahr der erforderlichen Berufserfahrung ersetzen. Teilzeitbeschäftigungen und Praktika können ebenfalls angerechnet werden.
Noch nicht genug Erfahrung? Werde «Associate of ISC2»
Wenn du die nötige Praxis noch nicht vorweisen kannst, ist das kein Hindernis für deine Karriere:
- Du absolvierst die CGRC-Prüfung erfolgreich
- Du erhältst den Status «Associate of ISC2»
- Du hast danach drei Jahre Zeit, um die fehlende Berufserfahrung zu sammeln und dein CGRC-Zertifikat zu finalisieren
Prüfungsformat
- Prüfungsdauer: 3 Stunden
- Anzahl der Fragen: 125
- Format: Multiple Choice & erweiterte Fragetypen
- Bestehensquote: 70% (700/1'000 Punkten)
- Sprache: Englisch
- Inhalt der Prüfung: Die 7 Domains
- Domain 1: Governance, Risk und Compliance - 16%
- Domain 2: Systemumfang und Systemabgrenzung - 10%
- Domain 3: Auswahl und Freigabe von Frameworks sowie Sicherheits- und Datenschutzkontrollen - 14%
- Domain 4: Implementierung von Sicherheits- und Datenschutzkontrollen - 17`%
- Domain 5: Bewertung & Auditierung von Sicherheits- & Datenschutzkontrollen - 16%
- Domain 6: System Compliance - 14%
- Domain 7: Aufrechterhaltung der Compliance - 13%
Beantragung der Zertifizierung
Wenn du die CGRC-Prüfung bestanden hast, kannst du die offizielle ISC2 CGRC-Zertifizierung beantragen. Dafür musst du den ISC2-Ethikkodex anerkennen und deine relevante Berufserfahrung im Rahmen des Endorsement-Prozesses bestätigen lassen. Die Bestätigung erfolgt in der Regel durch eine aktiv zertifizierte ISC2-Fachperson. Falls du keine geeignete Person findest, kann ISC2 die Validierung deines Antrags übernehmen. Der Zertifizierungsprozess muss innerhalb von neun Monaten nach Bestehen der Prüfung abgeschlossen werden.
Re-Zertifizierung
Die CGRC-Zertifizierung ist jeweils drei Jahre gültig. Um deinen Zertifizierungsstatus aufrechtzuerhalten, musst du während dieses Zeitraums Continuing Professional Education (CPE)-Punkte sammeln und die jährliche Wartungsgebühr (Annual Maintenance Fee, AMF) an ISC2 entrichten. Dadurch stellst du sicher, dass dein Wissen aktuell bleibt und du den Status als zertifizierte ISC2-Fachperson behältst.