Менеджер ISO/IEC 27001:2022
- 15 годин
- Після закінчення видається Міжнародний сертифікат спеціаліста ISO/IEC 27001
- Проскурня Кирило Сергійович, ПП
- k.proskurnya.com
- Проскурня Кирило
-
Щоб зв'язатися із закладом, відкрийте телефон і ел. пошту.
Цільова аудиторія
- Керівники проєктів та консультанти, які беруть участь у впровадженні СУІБ.
- Аудитори ISO 27001, які хочуть повністю розуміти процес впровадження СУІБ.
- Старші менеджери, відповідальні за ІТ-управління та управління ризиками підприємства.
- Фахівці з інформаційної безпеки.
- Технічні спеціалісти, які беруть участь у процесах, пов'язаних із СУІБ.
- Експерти у галузі інформаційних технологій.
Ціль заходу
Цей курс дозволить учасникам отримати необхідний досвід для організації та впровадження системи управління інформаційною безпекою (СУІБ) на основі ISO/IEC 27001:2022. Учасники також отримають повне розуміння кращих практик, що використовуються для реалізації управління інформаційною безпекою для всіх розділів ISO 27001.
Програма
День 1
Модуль №1:
- Розгляд сім'ї стандарту ISO/IEC 27000: Загальні питання з інформаційної безпеки, серія стандартів ISO/IEC 27000;
- Нова версія ISO/IEC 27001 версії 2022 року (аналіз основних змін);
- Розбір і трактування вимог ISO/IEC 27001:2022, з урахуванням рекомендацій забезпечення інформаційної безпеки відповідно до положень ISO/IEC 27002:2022; Етапи розробки та впровадження СМІБ за ISO/IEC 27001:2022;
- Контекст організації: фактори, що впливають на інформаційну безпеку організації. Система управління інформаційною безпекою;
- Практичні приклади виявлення факторів, які впливають на ІБ організації;
Модуль №2:
- Методологія оцінки ризиків інформаційної безпеки (на базі IS0/IEC 27005):
- методи ідентифікації, аналізу та оцінки ризиків; поняття «ризик ІБ»;
- опис ризику у формі ланцюга «актив-загроза-вразливість»;
- оцінка ризиків ІБ; обробка ризиків ІБ; засоби управління ІБ (controls);
- моніторинг управління ризиками ІБ;
- формування Statement of Applicability (SoA);
- практичні приклади оцінки та обробки ризиків ІБ;
Модуль №3:
- Обов'язкова та допоміжна документована інформація СМІБ;
- Розподіл обов'язків у межах функціонування СМІБ;
- Вимоги до сертифікації за ISO 27001;
- Проведення внутрішніх аудитів СМІБ організації: кваліфікація внутрішніх аудиторів; робота з відхиленнями;
- Процедура управління інцидентами ІБ;
День 2.
Модуль №4:
- Принципи внутрішнього аудиту системи управління інформаційною безпекою.
- Формування команди з внутрішнього аудиту.
- Звітність за внутрішнім аудитом. Принципи проведення. Аналіз системи з боку керівництва. Формування звіту за аналізом. Додаток стандарту A - Аналіз інформаційної безпеки.
Модуль №5:
A5. Організаційні контролі:
- Політики інформаційної безпеки: Розробка та впровадження політик, що регулюють захист інформації. Ролі та відповідальність у інформаційній безпеці: Визначення обов'язків і ролей у забезпеченні безпеки інформації.
- Розділення обов'язків: Визначення та впровадження системи розділення обов'язків для зниження ризиків. Відповідальність керівництва: Встановлення відповідальності вищого керівництва за забезпечення інформаційної безпеки.
- Зв'язок з владою: Встановлення процедур взаємодії з владою по питаннях інформаційної безпеки.
- Зв'язок з групами особливого інтересу: Встановлення механізмів співпраці з особливими інтересами для поліпшення безпеки.
A6. Управління персоналом:
- Скринінг: Проведення перевірки працівників перед прийомом на роботу.
- Умови працевлаштування: Визначення та контроль умов праці в контексті інформаційної безпеки.
- Усвідомлення, освіта та навчання у галузі інформаційної безпеки: Організація навчання та інформаційного просвітлення для персоналу.
- Дисциплінарний процес: Визначення процедур інформаційної безпеки для дисциплінарних випадків.
A7. Фізичні контролі:
- Фізичні периметри безпеки: Захист фізичних кордонів приміщень та зон.
- Фізичний вхід: Контроль та моніторинг фізичного доступу до об'єктів.
- Захист офісів, кімнат та споруд: Заходи забезпечення безпеки офісів та приміщень.
- Моніторинг фізичної безпеки: Використання систем моніторингу для виявлення аномалій.
- Захист від фізичних та природних загроз: Заходи безпеки від фізичних та природних загроз.
A8. Технологічні контролі:
- Кінцеві пристрої користувачів: Захист комп'ютерів та інших пристроїв, що використовуються користувачами.
- Привілейований доступ: Управління та контроль привілейованим доступом до інформації.
- Обмеження доступу до інформації: Контроль доступу до інформації та ресурсів.
- Захист від шкідливих програм: Заходи для виявлення та захисту від шкідливих програм.
- Управління технічними вразливостями: Процеси виявлення та управління технічними вразливостями. Управління конфігурацією: Контроль конфігурації систем та програм.
- Резервне копіювання інформації: Заходи щодо регулярного резервного копіювання та відновлення інформації. Моніторинг і ведення логів: Використання систем моніторингу та збору логів для виявлення подій.
- Безпека мереж: Заходи для захисту мережевої інфраструктури.
- Розробка програмного забезпечення з безпекою: Впровадження принципів безпечної розробки програмного забезпечення. Вимоги до захисту даних: Визначення та застосування вимог до захисту даних на протязі їх життєвого циклу.
- Тестування безпеки при розробці та прийомці: Використання тестування безпеки у процесах розробки та тестування. Розділення середовищ розробки, тестування та виробництва: Заходи для розділення різних середовищ розробки.
- Управління змінами: Процеси управління та контролю змін в інформаційних системах.
- Захист інформаційних систем під час аудиту: Заходи для захисту інформаційних систем під час аудиту.
Додаткова інформація
Після завершення курсу учасникам потрібно пройти тестування. При успішному проходженні тесту учасники отримують міжнародний сертифікат від сертифікаційного органу Baltum Bureau.
Інші тренінги у категоріях:Аудит, стандартизація, ISO
Дивіться також усі тренінги в Києві, ЗВО/ВНЗ в Києві, коледжі в Києві, курси в Києві, репетиторів в Києві, роботу в Києві.
Коментарі
Невірно заповнені поля відзначені червоним.
Будь ласка, перевірте форму ще раз.
Ваш коментар відправлений і буде доступний на сайті після перевірки адміністратором.