Аудит информационной безопасности ISO/IEC 27001-2022

Программа курса включает в себя материалы по разработке и проведению аудита СУИБ на базе нового международного стандарта ИСО 27001-2022, принципов проведения аудитов систем управления ИСО 19011 и требований для компаний на право сертификации ИСО 17021-1

Аудит – это ключевой момент любой Системы Менеджмента, на котором лежит ответственность за преодоление любых препятствий на всех этапах жизненного цикла Системы Менеджмента.

Настоящий курс является очередным шагом на пути практического изучения деятельности аудитора информационной безопасности по стандарту ИСО/МЭК 27001-2022 и применением принципов проведения аудитов систем управления ИСО 19011 и требований для компаний на право сертификации ИСО 17021-1

Стандарт ИСО/МЭК 27001-2022 является обобщением мирового опыта в организации управления информационной безопасностью и определяет общую организацию, направления планирования, использование оценки риска, оценки эффективности, контроля улучшений и так далее в контексте информационной безопасности.

Предварительные требования:

Опыт работы в подразделениях информационных технологий или информационной безопасности. Знания в объеме курса «Система Управления Информационной Безопасностью. ИСО 27001».

Цель курса:

По окончании курса слушатели смогут:

• Сформировать план разработки и внедрения у себя на предприятии системы контроля эффективности информационной безопасности

• Определить механизмы и подходы к проведению оценки соответствия применимым требованиям ИБ

• Оценить качество выполнения работ внутренними и внешними аудиторами ИБ

• Приобрести определенные знания для получения удостоверения «Сертифицированный аудитор ISO/IEC 27001», имеющего мировое признание

Аудитория курса:

Курс предназначен для руководителей структурных подразделений организаций, руководителей и специалистов ИТ-подразделений, отвечающих за обеспечение безопасности и/или техническую поддержку в области ИТ, сотрудников подразделений информационной безопасности, представителей аналитических служб, риск-менеджеров и сотрудников служб внутреннего аудита

Основные понятия СУИБ

• Информационная безопасность. Подходы, принципы, организация

• Термины и определения

• Комплексность и системность при  управлении ИБ

• Ключевые практики ИБ

• Риски ИБ и примеры рисков

• Источники угроз

• Значимость аудита ИБ

• назначение стандартов ИСО 27001, ИСО 27002, ИСО 19011, ИСО 27007 и ИСО 17021-1

Аудит и аудит безопасности, процессы СУИБ.

Международный стандарт ИСО 27001, требования

• Аудит и типы аудитов

• Цели аудитов, карта процессов

• Принципы аудита и виды аудитов

Аудиторское предложение, этапы аудита

Свидетельства аудита и критерии аудита

Типы аудиторских доказательств и их надежность

Аудиторы

Реализация аудита: организация и проведение

• Основные этапы Аудита

• Подготовка и планирование Аудита

• Аудиторские процедуры, инструменты и методы аудита

• Шаги в процессе Аудита, выборки, риск ориентированный подход и облачные вычисления, план Аудита

• Аудит управления рисками, СУИБ и матрицы применимости

• Действия в процессе проведения Аудита

• «Check-листы» и интервью, тесты аудиторских доказательств

• Несоответствия, их сортировка, отчет и заключительное совещание

• Корректирующие действия и сертификация, ответственность за ошибки

• Внутренний аудит, особенности нового стандарта ИСО/МЭК 27001-2023

• Тесты. Экзамен.