A tanfolyamról
A képzés elsődleges célja, hogy a résztvevők megszerezzék mindazokat az ismereteket, amelyek munkahelyük információbiztonsági rendszerének auditálásához szükségesek. Tartalmazza azokat az alapvető ismereteket, amelyekkel képessé válnak belső, külső auditálási program készítésére, és az auditálási eljárás (megújítási, felülvizsgálati audit) lefolytatására az ÚJ MSZ ISO/IEC 27001:2023-as rendszerszabvány követelményeinek megfelelően.
Képzésünk részletesen foglalkozik az új szabvány változtatásaival, bemutatja azokat az auditálási (és bevezetési) sajátosságokat, melyeket a szabvány változtatások vonnak maguk után. Ilyen kiemelt terület többek között a cloud szolgáltatások, a hangsúlyosabbá vált monitoring tevékenységek illetve a konfigurációmenedzsment auditálása.
Tanfolyamunkkal azon rendszergazdáknak, szoftverfejlesztőknek, biztonsági szakembereknek, adatvédelmi tisztviselőknek nyújtunk részleteiben kidolgozott oktatást, akik munkájuk miatt a téma speciális kérdéseire várnak választ. Továbbá, ha cégük tervezi az ISO/IEC 27001-es szabvány bevezetését, akkor ők lesznek azok, akik e folyamatot koordinálni tudják.
A képzés alapját az MSZ ISO/IEC 27001:2023 szabvány jelenti, mely az információbiztonsági irányítási rendszerek követelményeit írja le: szervezeti változások kezelése az IT rendszerben, emberi erőforrások kezelése, munkaköri leírások, hozzáférések kezelése, fizikai biztonság kezelése, ki- és beléptetési rendszerek, kommunikációs hálózatok, mobil informatikai eszköz biztonsága, elektronikus levelezés, incidensek, betörések észlelése, kezelése. A résztvevők képessé válnak arra, hogy saját cégük informatikai auditját lefolytassák, illetve úgynevezett beszállítói auditokat tudjanak lebonyolítani. A gyakorlatokon a képzésben résztvevőkkel közösen szoftverfejlesztési, biztonságirányítási kérdéslistát, eltérés lapokat állítunk össze. A szabványon kívül az információbiztonsághoz kapcsolódó egyéb ajánlások, útmutatók kiegészítéseként szintén ismertetésre kerülnek.
Olyan konszernek, mint az ABB, az Ericsson, a Deutsche Telekom, az UNISYS vagy a Siemens biztonsági rendszerüket ehhez a szabványhoz igazították, és kiváló tapasztalatokat gyűjtöttek ezidáig.
Tematika
1. nap
- Az MSZ ISO/IEC 27001:2023 szabvány ismertetése
- Az MSZ ISO/IEC 27001:2023 változásai az MSZ ISO/IEC 27001:2013-hoz képest
- Kapcsolatok más irányítási rendszer szabványokkal – MSZ EN ISO 9001:2015, ISO/IEC 20000-1
- A szabvány felépítése
- Az információbiztonság fogalomkészlete
- A szabvány fő fejezetének követelményei, ezek auditálása
2. nap
- A szabvány „A” mellékletében meghatározott követelmények ismertetése, gyakorlati megvalósításuk módjai, módszerei
- Az új MSZ ISO/IEC 27001:2023 megváltozott követelményeinek hangsúlyozásával változtatott (összevont, finomított) követelmények
- Új követelmények részletesebb bemutatása (pl.: Threat intelligence, cloud computing, konfigurációmenedzsment)
3. nap
- Az auditálás alapfogalmai
- Az auditálás célja, alapfogalmai, fajtái
- Az auditorokkal szemben támasztott követelmények
- Az igazolhatóság jelentősége
- A helyesbítési folyamat lényege
- A tanúsítás folyamata
- A tanúsítás lépései, belső audit megszervezése
- Felkészülés auditra
- Auditterv, auditprogram
- Az audit indítása
- Gyakorlat: Nyitóértekezlet lebonyolítása
- A tanúsító auditorokkal szembeni követelmények (az MSZ EN ISO 19011:2018 szabvány ismertetése)
- Auditterv és -program
- A tanúsítási folyamat lezárása
- Az audit befejezése
4. nap
- Folyamatok auditálása
- Folyamat definíciója, folyamatok érettségi modellje
- Szervezet környezetének azonosítása és auditja
- Vezetés auditálása
- Gyakorlat: Politika és Célok auditálása
- Szerepkörök azonosítása (RACI modell)
- Gyakorlat: Szerepkörök azonosítása egy folyamatban
- Kockázatelemzés és -kezelés tervezésének és dokumentációjának auditálása
- Támogatás auditálása
- Dokumentált információk ellenőrzése
- Információbiztonsági szerepkörök és felkészültség
- Információbiztonság kommunikációja a szervezeten belül
- A nemmegfelelőségek dokumentálása
5. nap
- Auditálás a gyakorlatban
- Gyakorlat: esettanulmányok
- A helyszíni bizonyítékok, evidenciák gyűjtése
- A helyszíni audit nemmegfelelőségi jelentés elkészítése
- Audit-feltárás előkészítés
- Helyesbítő intézkedés meghatározása
- Összefoglalás
- Vizsga: írásbeli vizsgadolgozat