Vrednotenje uspešnosti ISMS

VSEBINA  

PRVI DAN

• Uvod v osnovne koncepte ISMS in poudarjanje pomembnosti merjenja učinkovitosti.
• Razlaga osnovnih zahtev standarda ISO/IEC 27001:2022, poglavje 9.1 (a primer, standard zahteva od organizacij, da določijo, kaj je treba nadzirati in meriti, vključno z varnostnimi procesi in kontrolami, da bi zagotovili veljavnost rezultatov (ISO/IEC 27001:2022, 9.1).

• Identifikacija ključnih procesov in kontrol, ki jih je treba nadzorovati (kot so implementacija procesov ISMS, upravljanje incidentov, upravljanje ranljivosti in varnostna usposabljanja (ISO/IEC 27004:2016, 6.2).
• Razprava o metodah in orodjih za merjenje ter osnovnih značilnostih procesov nadzora in merjenja (na primer, za merjenje učinkovitosti usposabljanja se lahko uporabi odstotek zaposlenih, ki so opravili varnostno usposabljanje (ISO/IEC 27004:2016, B.11).
• Zagotavljanje praktičnih primerov in orodij, ki pomagajo razumeti, kako izbrati in uporabiti ustrezne metode nadzora in merjenja v lastnih organizacijah (na primer, uporaba statističnih analiz za evalvacijo rezultatov merjenja lahko pomaga pri določanju učinkovitosti varnostnih kontrol (ISO/IEC 27004:2016, 8.6).

DRUGI DAN

• Razlaga razlik med ukrepi zmogljivosti in ukrepi učinkovitosti.
• Prikaz praktičnih primerov zmogljivosti, kot je stopnja implementacije kontrol (ISO/IEC 27004:2016, 7.2), ter učinkovitosti, kot je vpliv na varnostne cilje (ISO/IEC 27004:2016, 7.3).
• Izbira in uporaba različnih vrst ukrepov v svoji praksi (na primer, merjenje zmogljivosti lahko vključuje spremljanje števila opravljenih presoj v primerjavi s planiranimi presojami (ISO/IEC 27004:2016, B.6), medtem ko merjenje učinkovitosti lahko vključuje analizo stroškov, povezanih z varnostnimi incidenti (ISO/IEC 27004:2016, B.8).

• Razlaga, kako razviti model za oceno učinkovitosti ISMS ter kako uporabljati podatke iz nadzora in merjenja za analizo in ocenjevanje.
• Praktični del izobraževanja bo temeljil na modelu merjenja, določenem v Aneksu A, primeri pa bodo povzeti iz Aneksa B.
• Učenje, kako ustvariti in vzdrževati ukrepe ter analizirati rezultate skozi praktične vaje, ki vključujejo analizo študij primerov in uporabo obrazcev za določanje organizacijskih metrik.
• Primeri meritev, kot so pregled pravic dostopa uporabnikov, ocena sistemov fizičnih kontrol vstopa, zaščita pred zlonamerno kodo, pregled dnevniških zapisov in »anti-malware«, bodo podrobno obdelani.
• Uporabo naučenih konceptov v simuliranih situacijah, s čimer se spodbuja praktično razumevanje in sposobnost uporabe pridobljenih znanj v dejanskih poslovnih okoljih.

Program uporablja kombinacijo predavanj in interaktivnih delavnic, skupinskih diskusij in izmenjave izkušenj ter praktičnih vaj in analize študij primerov. Udeleženci bodo uporabljali obrazce in orodja za merjenje in ocenjevanje ISMS, kar jim bo omogočilo, da pridobljena znanja in veščine takoj uporabijo v svoji praksi.
Po zaključku izobraževanja boste prejeli potrdilo o udeležbi. 

√ vodjem in članom tima ISMS,
√ osebam, odgovornim za upravljanje informacijske varnosti znotraj organizacije ter
√ notranjim in zunanjim presojevalcem ISMS.