Audyt wewnętrzny bezpieczeństwa informacji według ISO 27001:2007
Warszawa, 12-13 grudnia 2011 r.
Podstawą efektywnego i bezpiecznego działania firm jest wiedza o stanie chroniących ich systemów oraz ocena skuteczności i poprawności ich funkcjonowania w sytuacjach zagrożenia.
Z pomocą przychodzi audyt, który jest również podstawowym wymaganiem normy PN-ISO/IEC 27001:2007. Z reguły wyróżniamy trzy typy audytów: finansowy, zgodności i operacyjny.
W ramach audytu operacyjnego wyróżniamy również audyt informatyczny, czyli niezależną ocenę i przegląd systemów informatycznych wykorzystywanych w procesach biznesowych organizacji.
- pokażemy jak wykorzystać cenioną metodykę LP-A do przeprowadzania audytu bezpieczeństwa względem 127 punktów kontrolnych załącznika A normy PN-ISO/IEC 27001:2007, który odzwierciedla z kolei zawartość normy PN-ISO/IEC 17799:2007,
- uwzględnione będą wymagania normy ISO 27006 w zakresie prowadzenia auditów Systemu Zarządzania Bezpieczeństwem Informacji,
- omówimy czynności, jakie powinny być wykonane podczas takiego audytu (ścieżka formalna i techniczna), jak i listę dokumentacji będącej jej produktem.
Omówione zostaną takie kwestie jak:
- struktura organizacyjna,
- prace przygotowawcze,
- opracowanie listy audytowej,
- wypełnienie listy audytowej na podstawie ankiet, wywiadów,
- badanie systemów ochrony w organizacji (fizycznej, technicznej, sieci i systemów teleinformatycznych),
- testy penetracyjne (tzw. kontrolowane włamania): zewnętrzne, wewnętrzne,
- narzędzia zespołu audytowego, dokumentacja audytowa, najlepsze praktyki
- formalne wymagania dla audytorów.
Będą Państwo mieli również możliwość przystąpienia do egzaminu i uzyskania certyfikatu: Inżyniera Bezpieczeństwa ISecMan oraz Audytora wewnętrznego ISO 27001 wydanego przez szwajcarską jednostkę QS Zurich.
