SZKOLENIE - BEZPIECZEŃSTWO INFORMACJI - ISO 27001
PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ISO

Czas i miejsce szkolenia ISO 27001

Data szkolenia

Ilość dni

Miejsce szkolenia

Karta zgłoszenia 
16-17 listopada 2017 2 dni Kraków
14-15 grudnia 2017 2 dni Kraków

 

UWAGA - Nie odwołujemy terminów szkoleń! 

Wszystkie szkolenia są realizowane niezależnie od ilości Uczestników.

Szkolenie jest realizowane w godzinach 9.00-15.00.

Program szkolenia ISO 27001

Moduł 1 – Wstęp

  1. Cel systemu zarządzania bezpieczeństwem informacji, dokumenty normatywne
  2. Jak uzyskać certyfikat systemu zarządzania bezpieczeństwem informacji?

Moduł 2 – Pełnomocnik ds. Systemu Zarządzania BI

  1. Pełnomocnik ds. Bezpieczeństwa Informacji w firmie
  2. Zadania i uprawnienia Pełnomocnika ds. ISO 27001

Moduł 3 – Zarządzanie procesowe PDCA

  1. Podstawowe zasady zarządzania procesowego
  2. Cyklu PDCA w realizacji konkretnych procesów

Moduł 4 – Omówienie wymagań normy ISO 27001

  1. Zaangażowanie kierownictwa i polityka systemu bezpieczeństwa informacji.
  2. Role, odpowiedzialności i uprawnienia pracowników, zarządzanie zasobami ludzkimi
  3. Identyfikacja aktywów bezpieczeństwa informacji, opis aktywów, określanie poziomu ryzyka
  4. Postępowanie z ryzykiem w odniesieniu do aktywów – cele zabezpieczeń i zabezpieczenia aktywów
  5. Dokumentacja systemu
  6. Sprawdzanie i przeglądy postępowania z ryzykiem. Procedury monitorowania. Audyty wewnętrzne systemu
  7. Przeglądy kierownictwa. Działania korygujące i zapobiegawcze w odniesieniu do niezgodności w systemie
  8. Analiza deklaracji stosowania dla systemu zarządzania bezpieczeństwem informacji

Moduł 5 – Wstęp do audytów systemu bezpieczeństwa informacji

  1. Terminologia i podstawy audytów według ISO 19011
  2. Audytor wewnętrzny w organizacji - jego zadania i uprawnienia

Moduł 6 – Audyty wewnętrzne systemu

  1. Zarządzanie audytem wewnętrznym
  2. Opracowanie programu audytu wewnętrznego oraz dobrej listy kontrolnej
  3. Szukanie dowodów podczas badania audytowego. Ocena sytuacji audytowych na miejscu. Określanie i opis niezgodności
  4. Raport z audytu, działania dokonywane po audycie

Moduł 7 - Podsumowanie i test kompetencji

 

Całe szkolenie jest prowadzone w formie dyskusji. Dzięki małym grupom szkoleniowym możliwe jest poświęcenie czasu na każde pytanie Uczestników. Dyskusja uzupełniona jest o mini-wykłady oraz ćwiczenia praktyczne, które są oparte na rzeczywistych przykładach z pracy Pełnomocnika i Audytora systemu.

 

Zobacz co o naszych szkoleniach mówili Klienci:

OCENA RYZYKA W ISO 27001 - CZĘŚĆ I 

 

Bezpieczeństwo informacji

Ryzyko niepowodzenia, strat finansowych, ludzkich czy materialnych występuje w  każdej organizacji. Aby zminimalizować to ryzyko kierownictwo organizacji decyduje się na wprowadzenie zarządzania bezpieczeństwem.  Elementami składowymi takiego zarządzania są: zarządzanie konfiguracją, zarządzanie zmianami oraz zarządzanie ryzykiem. Etap zarządzania ryzykiem odbywa się poprzez identyfikację zagrożeń w stosunku do każdego aktywu organizacji, następnie oszacowanie ryzyka dla każdego zagrożenia, podjęcie środków minimalizujących ryzyko oraz stały monitoring skuteczności podjętych działań ograniczających ryzyko.

 

Metody szacowania ryzyka bezpieczeństwa informacji - część I

Szacowanie ryzykiem jest jednym z najważniejszych elementów w tworzeniu dobrego zarządzania ryzykiem w każdej firmie. Aby przeprowadzić szacowanie ryzyka w swojej organizacji należy wybrać odpowiednią metodę. Ogólny podział metod szacowania ryzyka obejmuje:

  • metody ilościowe,
  • metody jakościowe,
  • metody mieszane.

 

Norma ISO 27001:2005 System zarządzania bezpieczeństwem informacji nie wskazuje konkretnej metody szacowania ryzyka, którą organizacja musi zastosować.  Wyboru metodologii szacowania ryzyka  dokonać musi zespół powołany w firmie do wdrożenia wymagań normy ISO 27001.  Należy jednak pamiętać, że podczas wyboru metody powinno brać się pod uwagę specyfikę działalności organizacji, jak i również wymagania i oczekiwania kierownictwa dotyczące bezpieczeństwa.

 

Metody ilościowe:

Są to metody badawcze, w których określa się parametry liczbowe (w odpowiednich jednostkach), charakteryzujące badane zjawisko lub obiekt badań.
W tej grupie metod szacowania ryzyka najważniejsze jest, aby określić dwa podstawowe parametry opisujące ryzyko: wartość skutku zagrożenia powodującego ryzyko i prawdopodobieństwo wystąpienia zagrożenia.  Określenie skutków odbywa się przez ocenę wyników zdarzeń i wniosków wyciągniętych z sytuacji niebezpiecznych z przeszłości. Konsekwencje wystąpienia zagrożenia można odnieść do różnych kategorii: pieniężnych, technicznych, operacyjnych oraz zasobów ludzkich. Skutek wystąpienia zagrożenia można określić jako:

  • Krytyczny - wystąpienie zagrożenia na pewno powoduje wystąpienie niekorzystnego efektu biznesowego, wysoki koszt, utratę wizerunku firmy, brak możliwości realizacji zadań,
  • Średni - wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy,
  • Pomijalny - wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny,
  • Nie dotyczy - wystąpienie zagrożenia nie ma wpływu na aktywa firmy.


Natomiast prawdopodobieństwo wystąpienia ryzyka określamy jako:

  • Wysokie - występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością,
  • Średnie - wystąpiło w ostatnim roku lub zdarza się nieregularnie,
  • Pomijalne - nie wystąpiło ani razu w ciągu ostatniego roku.

Podstawowa zależność wykorzystywana w tej metodzie to:

 

R = P × W

gdzie:

R – wartość ryzyka,

P – prawdopodobieństwo lub przewidywana liczba wystąpień incydentu powodującego utratę wartości aktywów w przyjętym okresie,

W – wartość straty – przewidywana średnia utrata wartości aktywów, w wyniku wystąpienia pojedynczego incydentu.

W środowisku informatycznym wykorzystuje się metodologię oceny ryzyka uzupełnioną o parametr podatności systemu informatycznego (lub jego elementu) na zagrożenie.

 

Przykładami metod ilościowych są:

- metoda Courtneya

- metoda Fishera

- metoda Parkera

 

Metody jakościowe:

W metodach jakościowych określanie ryzyka zachodzi w oparciu o wiedzę ekspercką oraz doświadczenie wykonujących je osób. Ryzyko przedstawiane jest w sposób opisowy, bez wykorzystania charakterystyki liczbowej. Jednak opis ryzyka może być bardzo szczegółowy, co umożliwia dokładniejsze jego oszacowanie. W metodach jakościowych zwykle wyróżnia się trzy poziomy ryzyka: niskie, średnie i wysokie lub bardziej precyzyjnie: nieistotne, niskie, średnie, wysokie, bardzo wysokie. Metody jakościowe są ogólne, ale dzięki temu bardzo elastyczne i w łatwy sposób można dostosować je do warunków występujących w badanej organizacji. Inną zaletami metod jakościowych jest brak konieczności wyrażania parametrów ryzyka w liczbach co czyni te metody tanimi i przystępnymi dla każdej firmy.

 

Przykładami metod jakościowych są:

- The Microsoft Corporate Security Group Risk Management Framework

- NIST SP 800-30

- Simple Technique for Illustrating Risk – STIR

- Facilitated Risk Analysis Process – FRAP

 

Metody mieszane:

Metody mieszane są kombinacją metod jakościowych z ilościowymi. W metodach mieszanych zagrożenia opisywane są podobnie jak w metodach jakościowych, lecz każde ryzyko jest następnie szacowane w sposób właściwy dla metod ilościowych, poprzez określenie kosztów strat poniesionych w wyniku określonych zagrożeń.

Więcej informacji na temat ISO bezpieczeństwo informacji...