Внутренний аудитор системы менеджмента информационной безопасности
(ISO 27001, ISO 19011)
Этот онлайн курс позволяет получить необходимые знания и навыки для проведения внутреннего аудита системы менеджмента информационной безопасности на основе стандартов ISO 27001:2013, ISO 19011:2018.
Участники тренинга получат знания о различных компонентах системы менеджмента информационной безопасности (СМИБ), включая следующее: лидерство, управление рисками, необходимые процедуры, документирование, измерение эффективности, анализ со стороны руководства и постоянное развитие, а также задачи и роли внутренних аудиторов в процессе планирования и проведения аудитов, составление отчетности, планирование и мониторинг мероприятий и действий по результатам аудитов.
Длительность
36 часов
Язык
Украинский/Английский/Русский
Формат
100% онлайн
Цели
• Понимать принципы внедрения СМИБ в соответствии с требованиями ISO 27001
• Получить полное представление о концепциях, подходах, методах и приемах, необходимых для эффективного управления СМИБ
• Получить знания в области выявления рисков и возможностей, связанных с СМИБ
• Понимать взаимосвязь между СМИБ и соблюдением требований разных заинтересованных сторон организации
• Развивать знания и навыки, необходимые для консультирования организаций по лучшей практике менеджмента информационной безопасности и внутреннего аудита
• Ознакомиться со всеми этапами подготовки и проведения внутреннего аудита
• Приобрести необходимые знания для управления командой аудита СМИБ
• Понимать работу СМИБ на соответствие ISO 27001
• Улучшить способность анализировать внутреннюю и внешнюю среду организации и принятия решений в контексте системы менеджмента информационной безопасности
Целевая аудитория
• Внутренние аудиторы
• Менеджеры проектов и консультанты, желающие освоить процесс аудита системы менеджмента непрерывности бизнеса
• Члены команды по внедрению СМИБ на предприятии
• Профессионалы, желающие получить глубокие знания о СМИБ
• Специалисты, задействованные в повседневной поддержке процессов СМИБ
• Студенты профильных факультетов
Документ по окончанию
Сертификат внутреннего аудитора СМИБ, занесенный в международный реестр SIC
Оценочная шкала
60.0-100.0
0.0-59.9
Соответствует
Не соответствует
Тематичиский план
Программа курса включает 2 модуля:
1. Системы управления информационной безопасности (ISO 27001)
2. Внутренний аудит (ISO 19011)
Программа рассчитана на 36 часов, включая время для изучения теоретического материала и прохождения тестирования.
ПРОГРАММА
Модуль 1 Система управления информационной безопасностью (ISO 27001)
Количество часов
1.1 |
Вводная часть |
1,5 |
1.2 |
Общие положения стандарта |
2,5 |
1.3 |
Контекст организации |
2 |
1.4 |
Лидерство |
2 |
1.5 |
Планирование |
2,5 |
1.6 |
Обеспечение (ресурсы) |
2,5 |
1.7 |
Функционирование |
1 |
1.8 |
Оценка результатов деятельности |
2,5 |
1.9 |
Улучшение |
1 |
1.10 |
Связь целей (задач) управления и средств их реализации |
2 |
|
Тестирование |
1 |
Модуль 2 Внутренний аудит (ISO 19011)
Количество часов
2.1 | Вводная часть | 1 |
2.2 | Общие положения стандарта | 1,5 |
2.3 | Управление программой аудита | 5 |
2.4 | Проведение аудита | 5 |
2.5 | Компетентность аудитора | 2 |
Тестирование | 1 |
Модуль 1. Подробное содержание
1.1 |
Вводная часть: — Вступление — Компоненты решений безопасности — Основные способы передачи информации — История системы менеджмента информационной безопасности: стандарты — Преимущества от внедрения СМИБ — Базовая схема СМИБ |
1.2 |
Общие положения стандарта: — Структура стандарта — Область применения стандарта — Терминология |
1.3 |
Контекст организации: — Понимание организации и ее контекста, примеры — Понимание потребностей и ожиданий заинтересованных сторон, примеры — Определение сферы применения СМИБ, примеры — СМИБ и ее процессы |
1.4 |
Лидерство: — Лидерство и обязательства — Политика в области информационной безопасности, примеры тезисов — Функции, ответственность и полномочия |
1.5
|
Планирование: — Действия в отношении рисков и возможностей, примеры — Цели в области информационной безопасности и планирование их достижения — Планирование изменений |
1.6 |
Обеспечение: — Компетентность — Осведомленность — Коммуникации — Документированная информация |
1.7 |
Функционирование: — Оперативное планирование и управление — Оценка рисков ИБ — Обработка рисков ИБ |
1.8 |
Оценка результатов деятельности: — Мониторинг, измерение, анализ и оценка — Внутренний аудит — Анализ со стороны руководства |
1.9 |
Улучшение: — Несоответствия и корректирующие действия — Постоянные улучшения — Связь целей (задач) управления и средств их реализации |
1.10 | Связь целей (задач) управления и средств их реализации |
Модуль 2. Подробное содержание
2.1 |
Вводная часть: — Определение аудита — Классификация аудитов — Критерии аудита — История стандарта |
2.2 |
Общие положения: — Структура стандарта — Сфера применения стандарта — Терминология — Принципы — Кодекс этики аудитора |
2.3 |
Управление программой аудита (ПА): — PDCA — Общие положения — Схема процесса управления ПА — Планирование ПА — Определение и оценка рисков и возможностей — Лицо, управляющее ПА — Определение объема ПА — Ресурсы ПА — Выполнение ПА — Определение целей, области и критерии для конкретного аудита — Выбор и определение методов аудита — Выбор членов группы по аудиту — Управление записями ПА — Мониторинг ПА — Просмотр и улучшение программы аудита — Внеплановые аудиты |
2.4 |
Проведение аудита: — Инициирование аудита — Подготовка к проведению аудита, пример Плана аудита. — Распределение задач в группе по аудиту — Подготовка рабочих документов, пример Чек-листа — Вступительное совещание — Обмен информацией в ходе аудита — Сбор и проверка информации: примеры вопросов, выборочная проверка — Подготовка Отчета по аудиту — Подготовка выводов аудита, пример Акта о несоответствиях — Заключительное совещание — Подготовка и рассылка Отчета по аудиту |
2.5 |
Компетентность аудиторов: — Этапы оценки компетентности — Личные качества — Общие знания и навыки — Общая компетентность руководителя группы по аудиту — Поддержка и повышение компетентности аудитора |