A tanfolyamról
Tanfolyamunkkal azon rendszergazdáknak, szoftverfejlesztőknek, biztonsági szakembereknek, adatvédelmi tisztviselőknek nyújtunk részleteiben kidolgozott oktatást, akik munkájuk miatt a téma speciális kérdéseire várnak választ. Továbbá, ha cégük tervezi az ISO/IEC 27001-es szabvány bevezetését, akkor ők lesznek azok, akik e folyamatot koordinálni tudják.
A képzés alapját az ISO/IEC 27001:2022 szabvány jelenti, mely az információbiztonsági irányítási rendszerek követelményeit írja le: szervezeti változások kezelése az IT rendszerben, emberi erőforrások kezelése, munkaköri leírások, hozzáférések kezelése, fizikai biztonság kezelése, ki- és beléptetési rendszerek, kommunikációs hálózatok, mobil informatikai eszköz biztonsága, elektronikus levelezés, incidensek, betörések észlelése, kezelése. A résztvevők képessé válnak arra, hogy saját cégük informatikai auditját lefolytassák, illetve úgynevezett beszállítói auditokat tudjanak lebonyolítani. A gyakorlatokon a képzésben résztvevőkkel közösen szoftverfejlesztési, biztonságirányítási kérdéslistát, eltérés lapokat állítunk össze. A szabványon kívül az információbiztonsághoz kapcsolódó egyéb ajánlások, útmutatók kiegészítéseként szintén ismertetésre kerülnek.
Olyan konszernek, mint az ABB, az Ericsson, a Deutsche Telekom, az UNISYS vagy a Siemens biztonsági rendszerüket ehhez a szabványhoz igazították, és kiváló tapasztalatokat gyűjtöttek ezidáig.
Tematika
1. nap
- Az ISO/IEC 27001:2022 szabvány ismertetése
- Az ISO/IEC 27001:2022 változásai az ISO/IEC 27001:2013-hoz képest
- Kapcsolatok más irányítási rendszer szabványokkal – MSZ EN ISO 9001:2015, ISO/IEC 20000-1
- A szabvány felépítése
- Az információbiztonság fogalomkészlete
- A szabvány fő fejezetének követelményei, ezek auditálása
2. nap
- A szabvány “A” mellékletében meghatározott követelmények ismertetése, gyakorlati megvalósításuk módjai, módszerei
-
Az új ISO/IEC 27001:2022 megváltozott követelményeinek hangsúlyozásával
Változtatott (összevont, finomított) követelmények
Új követelmények részletesebb bemutatása (pl.: Threat intelligence, cloud computing, konfigurációmenedzsment)
3. nap
- Az auditálás alapfogalmai
- Az auditálás célja, alapfogalmai, fajtái
- Az auditorokkal szemben támasztott követelmények
- Az igazolhatóság jelentősége
- A helyesbítési folyamat lényege
- A tanúsítás folyamata
- A tanúsítás lépései, belső audit megszervezése
- Felkészülés auditra
- Auditterv, auditprogram
-
Az audit indítása
- Gyakorlat: Nyitóértekezlet lebonyolítása
- A tanúsító auditorokkal szembeni követelmények (az MSZ EN ISO 19011:2018 szabvány ismertetése)
- Auditterv és -program
- A tanúsítási folyamat lezárása
- Az audit befejezése
4. nap
- Auditálás a gyakorlatban
- Gyakorlat: esettanulmányok
- Szervezet környezetének azonosítása és auditja
-
Vezetés auditálása
- Gyakorlat: Politika és Célok auditálása
-
Szerepkörök azonosítása (RACI modell)
- Gyakorlat: Szerepkörök azonosítása egy folyamatban
- Kockázatelemzés és -kezelés tervezésének és dokumentációjának auditálása
-
Támogatás auditálása
- Dokumentált információk ellenőrzése
- Információbiztonsági szerepkörök és felkészültség
- Információbiztonság kommunikációja a szervezeten belül
- A nemmegfelelőségek dokumentálása
5. nap
- Auditálás a gyakorlatban
- Gyakorlat: esettanulmányok
- A helyszíni bizonyítékok, evidenciák gyűjtése
- A helyszíni audit nemmegfelelőségi jelentés elkészítése
- Audit-feltárás előkészítés
- Helyesbítő intézkedés meghatározása
- Összefoglalás
- Vizsga: írásbeli vizsgadolgozat