Внутрішній аудитор системи менеджменту інформаційної безпеки (ISO 27001, ISO 19011)
Цей онлайн курс дозволяє здобути необхідні знання та навики для проведення внутрішнього аудиту системи менеджменту інформаційної безпеки (СМІБ) на основі стандартів ISO/IEC 27001:2022, ISO 19011:2018.
Учасники тренінгу отримають знання про різні компоненти СМІБ, включаючи наступне: лідерство, управління ризиками, необхідні процедури та засоби управління інформаційною безпекою, документування, вимір ефективності, аналіз з боку керівництва і постійний розвиток, а також завдання та ролі внутрішніх аудиторів у процесі планування та проведення аудитів, складання звітності, планування та моніторингу заходів та дій за результатами аудитів.
Тривалість
40 годин
Мова
Англійська/Українська
Формат
100% онлайн
Цілі
- Розуміти принципи впровадження СМІБ відповідно до вимог ISO/IEC 27001:2022
- Отримати повне уявлення про концепції, підходи, методи і прийоми, необхідні для ефективного управління СМІБ
- Отримати знання в області виявлення ризиків і можливостей, пов’язаних зі СМІБ
- Розуміти взаємозв’язок між СМІБ і дотриманням вимог різних зацікавлених сторін організації
- Поліпшити здатність аналізувати внутрішнє та зовнішнє середовище організації та прийняття рішень у контексті системи менеджменту інформаційної безпеки
- Визначити, які саме з 93 засобів управління інформаційною безпекою застосовні саме до Вашої організації
- Ознайомитися з усіма етапами підготовки та проведення внутрішнього аудиту
- Набути необхідних знань для управління командою аудиту СМІБ
- Ознайомитися з усіма етапами підготовки та проведення внутрішнього аудиту
- Набути необхідних знань для управління командою аудиту СМІБ
Цільова аудиторія
- Внутрішні аудитори
- Менеджери проектів та консультанти, які бажають освоїти процес аудиту системи менеджменту інформаційної безпеки
- Керівники та фахівці підрозділів, що відповідають за інформаційну безпеку
- Члени команди з впровадження СМІБ на підприємстві
- Професіонали, які бажають отримати глибокі знання про СМІБ
- Фахівці, задіяні у повсякденній підтримці процесів СМІБ
- Студенти профільних факультетів
Документ після закінчення
Сертифікат внутрішнього аудитора СМІБ, занесений у міжнародний реєстр SIC
Оцінювальна шкала
60.0-100.0
0.0-59.9
Відповідає
Не відповідає
Тематичний план
Програма курсу включає:
1 Модуль «Системи менеджменту інформаційної безпеки (ISO/IEC 27001)»
2 Внутрішній аудит (ISO 19011)
Програма розрахована на 40 годин, включаючи час на вивчення теоретичного матеріалу та проходження тестування.
ПРОГРАМА
Модуль 1 Система менеджменту інформаційної безпеки (ISO 27001)
Кількість годин
|
1 |
Вступна частина |
1,5 |
|
2 |
Загальні положення стандарту |
2,5 |
|
3 |
Контекст організації |
2 |
|
4 |
Лідерство |
2 |
|
5 |
Планування |
2,5 |
|
6 |
Забезпечення (ресурси) |
2,5 |
|
7 |
Функціонування |
1 |
|
8 |
Оцінка результатів діяльності |
3 |
|
9 |
Вдосконалення |
1 |
|
10 |
Цілі заходів безпеки та заходи безпеки |
5 |
|
|
Тестування |
1 |
Модуль 2 Внутрішній аудит (ISO 19011)
Кількість годин
| 2.1 | Вступна частина | 1 |
| 2.2 | Загальні положення стандарту | 1,5 |
| 2.3 | Управління програмою аудиту | 5 |
| 2.4 | Проведення аудиту | 5 |
| 2.5 | Компетентність аудитора | 2 |
| Тестування | 1 |
Модуль 1. Детальний зміст
|
1 |
Вступна частина: – Вступ – Найпопулярніші загрози кібербезпеці – Системи менеджменту інформаційної безпеки: переваги – Стандарти СМІБ: історія – Зміни в останній редакції ISO/IEC 27001 |
|
2 |
Загальні положення стандарту: – Структура стандарту – Сфера застосування стандарту – Термінологія |
|
3 |
Контекст організації: – Розуміння організації та її контексту, приклади – Розуміння потреб та очікувань зацікавлених сторін, приклади – Визначення сфери застосування СМІБ – СМІБ та її процеси |
|
.4 |
Лідерство: – Лідерство та зобов’язання – Політика у сфері інформаційної безпеки, тематичні політики ІБ – Функції, відповідальність та повноваження |
|
5
|
Планування: – Дії щодо ризиків та можливостей – Цілі у сфері інформаційної безпеки – Планування змін |
|
6 |
Забезпечення: – Ресурси, приклади – Компетентність – Обізнаність – Комунікації, приклади – Документована інформація, перелік обов’язкової документації |
|
7 |
Функціонування: – Оперативне планування та контроль – Оцінка ризиків ІБ – Оброблення ризиків ІБ |
|
.8 |
Оцінка результатів діяльності: – Моніторинг, вимірювання, аналіз та оцінка – Внутрішній аудит – Аналіз з боку керівництва |
|
9 |
Вдосконалення: – Невідповідності та коригувальні дії – Постійні поліпшення |
|
10 |
Цілі та засоби управління ІБ: – Організаційні засоби – Засоби, пов’язані з персоналом – Засоби, пов’язані з фізичним доступом – Технологічні засоби |
Модуль 2. Детальний зміст
| 2.1 |
Вступна частина: – Визначення аудиту – Класифікація аудитів – Критерії аудиту – Історія стандарту |
| 2.2 |
Загальні положення: – Структура стандарту – Сфера застосування стандарту – Термінологія – Принципи – Кодекс етики аудитора |
| 2.3 |
Управління програмою аудиту (ПА): – PDCA – Загальні положення – Схема процесів управління ПА – Планування ПА – Визначення і оцінка ризиків і можливостей – Особа, що управляє ПА – Визначення обсягу ПА – Ресурси ПА – Виконання ПА – Визначення цілей, області та критерії для конкретного аудиту – Вибір та визначення методів аудиту – Вибір членів групи з аудиту – Управління записами ПА – Моніторинг ПА – Перегляд і покращення програми аудиту – Позапланові аудити |
| 2.4 |
Проведення аудиту: – Ініціювання аудиту – Підготовка до проведення аудиту, приклад Плану аудита – Розподіл завдань у групі з аудиту – Підготовка робочих документів, приклад Чек-листа – Вступна нарада – Обмін інформацією у ході аудиту – Збір та перевірка інформації: приклади питань, вибіркова перевірка – Підготовка Звіту з аудиту – Підготовка висновків аудиту, приклад Акту про невідповідності – Заключна нарада – Підготовка та розсилання Звіту з аудиту |
| 2.5 |
Компетентність аудиторів: – Етапи оцінки компетентності – Особисті якості – Загальні знання та навички – Загальна компетентність керівника групи з аудиту – Підтримка та підвищення компетентності аудитора |