INFOLINIA tel. (22) 300-54-30,31,32
kom. 508 354 544

ABI i Auditor wewnętrzny SZBI wg ISO 27001 – zadania wynikające z nowych przepisów i Polskich Norm

Odbiorcy szkolenia: Szkolenie kierowane jest do pracowników zajmujących się ochroną danych osobowych i wdrożeniem SZBI w swoich organizacjach a chcących podnieść swoje kompetencje oraz tych, którzy maja w niedalekiej przyszłości objąć takie obowiązki (administratorzy bezpieczeństwa informacji, pełnomocnicy ds. SZBI, pracownicy Departamentów/Biur Teleinformatyki zajmujący się innych zabezpieczeniami organizacyjno-proceduralnymi, osób kreujących w organizacji polityki bezpieczeństwa informacji).

Cel szkolenia: Pojawienie się nowych wersji Polskich Norm PN-ISO/IEC 27001:2014 oraz PN-ISO/IEC 27002:2014 powoduje zmianę podejścia do opracowania i wdrożenia Systemów Zarządzania Bezpieczeństwem Informacji. Konieczność wdrożenia SZBI w sektorze publicznym wynika z przepisów Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, a w biznesie z potrzeby utrzymania konkurencyjności. Jednocześnie nowelizacja Ustawy o ochronie danych osobowych i nowe Rozporządzenie MAiC w sprawie trybu i sposobu realizacji zadań stawia nie tylko nowe zadania dla Administratorów Bezpieczeństwa Informacji ale pozwala połączyć te zadania z funkcjonowaniem SZBI. Można założyć, że pozwoli to zoptymalizować obowiązki w tych obu obszarach.

Szkolenie bazuje nie tylko na wykładni przepisów i Polskich Norm ale wskazuje praktyczne podejścia do budowania procesów koniecznych do ochrony danych osobowych i utrzymania SZBI takich jak szacowanie ryzyka, audyty wewnętrzne, monitorowanie i przeglądy zarządzania. 

Podziel się:

Dzień pierwszy

  1. Pojęcie bezpieczeństwa informacji i obszary związane – 1h
    1. Podstawowe pojęcia bezpieczeństwa informacji i systemów ICT,
    2. Rola przepisów, norm
    3. Model architektury bezpieczeństwa dla systemów ICT,
    4. Relacje bezpieczeństwa informacji z zarządzaniem usługami wg ISO/IEC 20000.
  2. Zagrożenia dla bezpieczeństwa informacji -1h
    1. klasyfikacja zagrożeń – zewnętrzne, wewnętrzne, pochodzące od człowieka, związane z degradacją urządzeń i infrastruktury, katastrofy naturalne itp.  
    2. klasyfikacja podatności,
      • przykłady popularnych ataków na systemy operacyjne i aplikacje webowe.
  3. Zabezpieczenia organizacyjne zgodnie z PN-ISO/IEC 27002 -1h
    1. Omówienie zaleceń PN-ISO/IEC 27002 w obszarach
      • Polityki bezpieczeństwa informacji
      • Organizacja bezpieczeństwa informacji
      • Bezpieczeństwo zasobów ludzkich
      • Zarządzanie aktywami
      • Kontrola dostępu
      • Kryptografia
      • Bezpieczeństwo fizyczne i środowiskowe
      • Bezpieczna eksploatacja
      • Bezpieczeństwo łączności
      • Pozyskanie, rozwój i utrzymanie systemów
      • Relacje z dostawcami
      • Zarządzanie incydentami związanymi z bezpieczeństwem informacji
      • Aspekty bezpieczeństwa w zarządzaniu ciągłością działania
    2. Zgodność
  4. Dobór zabezpieczeń technicznych i informatycznych
    1. Funkcje i mechanizmy zabezpieczeń w systemach operacyjnych, bazodanowych, aplikacyjnych i narzędziowych – przykłady,
    2. Dedykowane systemy zabezpieczeń – przykłady,
    3. Systemy zabezpieczeń obejmujące całą organizację – przykłady. 
  5. Zarządzeni ryzykiem zgodnie z PN-ISO/IEC 27005
    1. Analiza ryzyka
      • identyfikacja wartości aktywów informacyjnych,
      •  identyfikacja zagrożeń,
      • identyfikacja podatności,
      • identyfikacja istniejących zabezpieczeń,
      • identyfikacja wpływów,
      • obliczenie ryzyk,
    2. Ocena ryzyka i strategie postępowania z ryzykiem,
    3. Monitorowanie ryzyka,
    4. Różne modele analizy ryzyka,
    5. Prezentacja aplikacji zarządzania ryzykiem

Dzień drugi

  1. Opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji /SZBI/ zgodnie z PN-ISO/IEC 27001 – 2h
    1. Ostatnie zmiany w PN-ISO/IEC 27001:2014 w stosunku do wersji z 2007 roku (zgodność z Aneksem SL, oparcie na ISO 31000),
    2. Etapy  opracowania i wdrożenia SZBI,
    3. Rola szacowania ryzyka, przeglądów, audytów i pomiarów skuteczności.,
    4. Dokumentacja wymagana  dla  certyfikacji ,
    5. Wdrażanie SZBi w podmiotach publicznych zgodnie z przepisami  Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 poz. 526),
      • Krytyczne czynniki sukcesu wdrożenia SZBI.
  2. Ochrona danych osobowych – 3h
    1. istotne przepisy ustawy z dnia 29.08.1997 o ochronie danych osobowych (tj. Dz.U. z 2014 poz. 1662),
    2. model dokumentacji wymagany przez  Rozporządzenie Ministra SWiA z 29.04.2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024),
    3. funkcje i model danych aplikacji przetwarzającej dane osobowe wymagane przez przepisy o ochronie danych osobowych,
    4. nowa rola ABI zgodnie z przepisami nowego Rozporządzenia Ministra AiC w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych  -  nowe relacje obszaru SZBI i ochrony danych osobowych.     

Koszt: 1850 zł + 23% VAT – za udział 1 osoby.

Ilość godzin:​ Szkolenie trwa 2 dni, w godzinach: 10.00 – 17.00  (w trakcie: 2 przerwy kawowe i obiad).

Cena zawiera:

  • udział w szkoleniu
  • materiały szkoleniowe i 2 certyfikaty ukończenia szkolenia
  • przerwy kawowe i obiady

UWAGA ! Liczba uczestników szkolenia nie większa niż 10 osób.

dr inż. Janusz Cendrowski

Doktor nauk technicznych w dziedzinie informatyki. Do roku 2001 pracownik Biura Bezpieczeństwa Łączności i Informatyki UOP, od roku 1994 członek Komitetu Technicznego 182 „Ochrona informacji w systemach teleinformatycznych” przy Polskim Komitecie Normalizacyjnym. Współautor wielu polskich norm w dziedzinie technik zabezpieczeń (m.in. opracował w 2014 roku normę PN-ISO/IEC 27002). Aktualne pracownik dużej polskiej firmy w obszaru IT. W zakres jego obowiązków wchodzą projekty w zakresie architektury bezpieczeństwa systemów teleinformatycznych, wdrożenia polityk bezpieczeństwa, systemów ISMS oraz audyty bezpieczeństwa.

W kręgu jego zainteresowań znajdują się zagadnienia oceny poziomu bezpieczeństwa systemów informacyjnych, kreowania polityki bezpieczeństwa i związane z tym aspekty prawne i normalizacyjne, kryteria oceny produktów zabezpieczeń, w szczególności urządzeń i oprogramowania kryptograficznego oraz praktyczne aspekty implementacji systemów kryptograficznych.

Od wielu lat publikuje artykuły i występuje na konferencjach poświęconych bezpieczeństwu teleinformatycznemu, jest wykładowcą podyplomowych studiów na Politechnice Warszawskiej. Członek ISACA Warsaw Chapter. Posiada certyfikaty CISA, CRISC, CEH, audytora wiodącego ISO 27001, audytora wewnętrznego ISO 20000 i BS 25999.

Prowadził wiele szkoleń w zakresie przepisów i norm dotyczących bezpieczeństwa informacji, środków ochrony kryptograficznej, kryteriów oceny zabezpieczeń.

Proszę przysłać mi szczegółową ofertę na wybrane szkolenia

* - pola wymagane
-
* - pola wymagane