Ускоренный тренинг (1 день) рассчитан на получение знаний по подготовке и проведению внутреннего аудита СМИБ в соответствии со стандартами ISO 27001 и ISO 19011.
Рассматриваются практические особенности по разработке программы аудита, непосредственного проведения аудитов, способов работы с найденными несоответствиями. Отдельно рассматриваются требования к внутренним аудиторам, в целях прохождения сертификации ИСО 27001. Изучается возможная инструментальная реализация процесса аудита.
По результатам курса, слушатели получат знания как по практическим особенностям аудита, так и по формальным критериям, предъявляемым к процессу аудита и аудиторам со стороны сертифицирующих органов во время сертификации ИСО 27001.
Целевая аудитория
- сотрудники отдела информационной безопасности (ИБ)
- потенциальные аудиторы ИБ (проектные менеджеры, рук-ли отделов).
Программа курса
Модуль 1. Стандарт ISO/IEC 27001, СМИБ
- Термины ИБ и аудита
- Серия стандартов ИСО 2700х
- Структура ИСО 27001 и ИСО 27002 – в контексте аудита
- Связь процесса «Аудит ИБ» с другими процессами СМИБ
Модуль 2. ИСО 19011 и 27007
- Виды аудитов, способы работы
- Стандарты ИСО 19011 и 27007
Модуль 3. Внутренний аудит СМИБ
- Общий процесс управления аудитами СМИБ
- Процедурная и инструментальная поддержка внутреннего аудита ИБ
- Планирование, управление программой и планом аудита
- Проведение аудита: структура встреч, практические особенности взаимодействия
- Пост-аудит активности: отчетность, мониторинг
Модуль 4. Работа с несоответствиями
- Инструменты/подходы анализа причин несоответствий (Root Cause Analysis)
- Метод 5W2H, 5Why, диаграмма Ишикавы и др.
- Мониторинг несоответствий
Модуль 5. Требования к внутренним аудиторам
- Требования к внутренним аудиторам, оформление
- Обучение аудиторов
Модуль 6. Экзамен внутреннего аудитора