?

   Справочник. Образовательные программы

Актуальность программы не подтверждена, но мероприятие всё еще может быть доступно в открытом и корпоративном форматах.
актуальные архив
Тренинг › Безопасность › Информационная безопасность

Разработка и внедрение системы управления информационной безопасностью согласно ISO/IEC 27001:2013. Внутренний аудит


ЦЕЛЬ ТРЕНИНГА: Получение навыков разработки и внедрения системы управления информационной безопасностью в соответствии с требованиями ISO/IEC 27001:2013, получение навыков правильной интерпретации требований ISO/IEC 27001:2013

ЦЕЛЕВАЯ ГРУППА: сотрудники организаций, внедряющих или планирующих внедрять систему управления информационной безопасностью (СУИБ) в соответствии с требованиями ISO/IEC 27001:

  • специалисты по информационной безопасности
  • специалисты по информационным технологиям
  • внутренние аудиторы систем менеджмента информационной безопасности

    ТЕМЫ:

    Блок 1 – Разработка и внедрение системы управления информационной безопасностью в соответствии с требованиями ISO/IEC 27001:2013

  • Международные стандарты в области управления информационной безопасностью
  • Понятие системы управления информационной безопасностью (СУИБ) в терминах ISO/IEC 27001:2013
  • Модель PDCA в системе управления информационной безопасностью
  • Цели и задачи внедрения СУИБ
  • Актуальность СУИБ и сертификации по ISO/IEC 27001:2013 для разных компаний на реальных примерах
  • Место СУИБ в общей системе менеджмента организации
  • Подробный анализ процессов СУИБ и требований ISO/IEC 27001:2013
  • Этапы построения СУИБ
  • Обязательная документация СУИБ
  • Практика построения СУИБ (групповые практические упражнения)
  • Обзор процесса сертификации на соответствие ISO/IEC 27001:2013
  • Интеграция требований по системе управления информационной безопасности с другими требованиями (ISO 9001, ISO/IEC 20000 и др.);

    Практические задания и деловые игры (состав может варьироваться):

    Слушателям будет предложено объединиться в группы. Каждая группа придумывает свое предприятие (отрасль, тип предприятия, размер, окружение, заинтересованные стороны и их требования, бизнес-процессы, организационная структура). Основная цель – в рамках курса разработать СУИБ для выбранного предприятия. Для этого, будут выполняться следующие практические задания:

  • Изучение контекста организации и определение области действия СУИБ. Оценка внешнего и внутреннего контекста организации. Определение возможных вариантов области действия СУИБ. Анализ и обсуждение их преимуществ и недостатков для бизнеса и заинтересованных сторон. Определение целей построения СУИБ и ее сертификации. Определение и документирование границ области действия СУИБ.

    В ходе выполнения задания обсуждаются примеры областей действия СУИБ в сертифицированных на соответствие ISO 27001 организаций по всему миру.

  • Формирование Политики информационной безопасности. Определение целей и принципов обеспечения ИБ в выбранной организации. Соответствие целей ИБ целям бизнеса. Документирование Политики ИБ.
  • Определение требований к формализации СУИБ. Анализ культуры организации, возможных требований к документированию (на примерах реальных организаций). Определение требований по степени детализации и проработки документации СУИБ. Определение перечня необходимой документации СУИБ. Обсуждение преимуществ и недостатков выбранной модели документирования СУИБ.
  • Разработка процесса управления рисками ИБ. Разработка краткой методики анализа и оценки рисков ИБ. Проведение анализа и оценки рисков ИБ в рамках области действия СУИБ выбранной организации. Определение приемлемого уровня риска ИБ. Составление плана обработки рисков. Разработка положения о применимости контролей ИБ.
  • Формирование метрик и оценка эффективности СУИБ. Обсуждение составляющих «хорошей» метрики эффективности СУИБ. Обсуждение примеров. Разработка метрик оценки эффективности СУИБ для выбранной организации.
  • Организация непрерывного улучшения СУИБ. Отличие «коррекции» и «корректирующего действия» - обсуждение на реальных примерах. Определение необходимости внедрения корректирующих действий. Определение процессов, которые передают входные данные процессу непрерывного улучшения СУИБ.
  • Анализ СУИБ руководством. Способы проведения анализа СУИБ руководством. Подготовка материалов для проведения анализа СУИБ руководством. Моделирование анализа СУИБ руководством.

     

    Блок 2 – Внутренний аудит системы управления информационной безопасностью в соответствии с требованиями ISO/IEC 27001:2013

  • Краткий обзор стандарта ISO/IEC 27001:2013;
  • Типы аудитов СУИБ;
  • Основные элементы СУИБ;
  • Интерпретация требований ISO/IEC 27001:2013 с точки зрения внутреннего аудита;
  • Основные этапы проведения внутренних аудитов (программа и планы аудитов, проведение аудитов, формирование отчетной документации, действия после аудита);
  • Основные методы поведения аудитов;
  • Разбор практических кейсов и ситуаций по внутреннему аудиту.

    Практические задания и деловые игры (состав может варьироваться).

  • Разработка программы внутренних аудитов СУИБ. Определение необходимого объема внутренних аудитов СУИБ на год. Формирование программы внутренних аудитов СУИБ для выбранной организации.
  • Планирование внутреннего аудита СУИБ. Разработка плана внутреннего аудита СУИБ. Определение области аудита, критериев аудита, материалов, необходимых для проведения аудита. Тайминг аудита.
  • Индивидуальная работа по формулировке заключений аудита.  Работа на реальных кейсах из опыта ведущих аудиторов СУИБ. Правильная интерпретация аудиторских ситуаций. Формулировка несоответствий.

     

    Блок 3 – Экзамен (включает теоретические вопросы, а также анализ практических кейсов по внедрению и аудиту СУИБ)

  •  



    © 2004-2022 UBO.RU
    Образование и бизнес-образование в России и за рубежом / admin@ubo.ru

    При любом использовании материалов, гиперссылка на UBO.RU обязательна.

    Рейтинг@Mail.ru   Яндекс цитирования
    Группа ВКонтакте