Temat szkolenia:

"Zarządzanie ryzykiem w odniesieniu do nomy ISO/IEC 27001"

Cel szkolenia:

Celem szkolenia jest przedstawienie słuchaczom podstawowych pojęć dot. zarządzania ryzykiem w odniesieniu do wymagań normy PN-ISO/IEC 27001, a także przekazanie minimum wiedzy praktycznej, potrzebnej do realizacji w firmie postanowień normy zapisanych w pkt. 4.2.1., a odnoszących się także do całej normy. Kolejny cel szkolenia, to podjęcie świadomej decyzji dot. wprowadzenia w swojej firmie procedur wynikających z normy PN-ISO/IEC 27001, a więc wprowadzających systemy zarządzania bezpieczeństwem informacji w oparciu o właściwie przeprowadzoną analizę ryzyka. Ostatecznym celem szkolenia jest przygotowanie w zakresie zarządzania ryzykiem do audytu zgodności z normą PN-ISO/IEC 27001 oraz do certyfikacji.

Uczestnicy szkolenia:

Szkolenie skierowane do: właścicieli, dyrekcji, zarządów firm, a także do administratorów sieci informatycznych.

Przebieg szkolenia. Bloki tematyczne - krótki opis:

a) Wstęp.

Omówienie celu, treści i przebiegu szkolenia, zapoznanie uczestników ze sprawami organizacyjnymi.

b) Zarządzanie ryzykiem w modelu PDCA.

Krótka informacja na temat podejścia procesowego do systemu zarządzania bezpieczeństwem informacji i modelu PDCA.

c) Ryzyko i zarządzanie ryzykiem - podstawy teoretyczne.

Definicja ryzyka i zarządzania ryzykiem. Schemat zarządzania ryzykiem. Szacowanie ryzyka.

d) Ocena ryzyka związanego z bezpieczeństwem informacji.

Przeprowadzenie ćwiczeń interaktywnych identyfikujących zagrożenia i podatności związane z bezpieczeństwem informacji w firmie.

e) Sposoby zabezpieczenia informacji - fizyczne, techniczne, informatyczne, organizacyjne.

Omówienie różnych rozwiązań technicznych i organizacyjnych z praktycznymi przykładami i w odniesieniu do punktu B3.

f) Wytyczne do napisania procedur zarządzania ryzykiem w firmie w odniesieniu do wymagań normy PN-ISO/IEC 27001.

Omówienie punktów 4.2.1. c), d), e), f) normy.

g) Metody analizy i szacowania ryzyka, postępowanie z ryzykiem, ciągłość działania firmy.

Przedstawienie praktycznych metod na przykładzie:

• macierzy ryzyka
• drzewa zdarzeń
• drzewa błędów
• FMEA
• ALARP
• PARETO
• CRAMM

Ćwiczenia interaktywne w trakcie omawiania punktu.

h) Omówienie podstawowych przepisów prawnych i wynikających z nich wymagań dotyczących ochrony informacji, a także norm pozwalających na wprowadzenie jednolitych standardów związanych z bezpieczeństwem informacji w firmach.

Krótkie omówienie przepisów obowiązujących w firmach, w tym:

• ochrona danych osobowych
• tajemnica służbowa
• tajemnica korespondencji
• tajemnica bankowa
• tajemnica ubezpieczeniowa
• informacja niejawna
• tajemnica państwowa
• tajemnica prawna
• tajemnica skarbowa
• inne

Odpowiedź na pytanie, czy tylko przepisy prawne determinują zabezpieczenia informacji w firmie? Czym jest informacja w firmie? Przykłady ryzyk związanych z bezpieczeństwem informacji w Polsce i w świecie. Jakie mamy normy i czy warto się certyfikować?

i) Blok ćwiczeniowy.

Rozwiązywanie zadań dodatkowych w grupach w ilości zależnej od szybkości pracy grupy.

j) Podsumowanie szkolenia.

Przypomnienie najważniejszych pojęć, podkreślenie najistotniejszych wniosków.

Sprawy organizacyjne:

Szkolenie zostanie przeprowadzone metodą mieszaną (prezentacja multimedialna lub z rzutnika folii, moderacja).

Ilość osób: maksymalnie 15 osób

Uwagi:

Szkolenie, jako zewnętrzne na wyłączność dla konkretnego ośrodka szkoleniowego - na życzenie zostanie wskazany ośrodek.
Na potrzeby konkretnej firmy wdrażającej u siebie ISO/IEC 27001 (szkolenie zamknięte) możliwa realizacja bezpośrednia - brak wyłączności.