Управление информационной безопасностью (Information Security Governance)
Код курса КП42, 2 дня
Статус
Авторский курс Хендрика Колеманса (Hendrik Ceulemans)
Аннотация
Рост и успех бизнеса прямо зависит от того, насколько компании эффективно осваивают и используют информационные технологии. По мере усиления зависимости от информационных систем возрастает значимость обеспечения их безопасности и потребность в эффективном управлении информационной безопасностью организации. Компаниям приходится выбирать наилучшие пути, чтобы, с одной стороны, обеспечить максимальные возможности для потребителей и партнеров, с другой стороны, обеспечить безопасность критичной информации. Недооценка важности информационной безопасности и нарушения политики безопасности, как показывает опыт не только отечественных, но и зарубежных компаний, может нанести серьезный материальный ущерб бизнесу, привести к снижению доверия потребителей и партнеров, к потерям клиентуры и искам со стороны пострадавших клиентов.
В условиях глобального экономического кризиса угрозы инцидентов в области информационной безопасности становятся более значимыми. Сложная ситуация в экономике побуждает руководителей большинства компаний уделять приоритетное внимание оптимизации управления бизнесом. Нередко менеджеры, прежде всего, пытаются сократить операционные расходы на IT и безопасность. Однако более целесообразный подход заключается в анализе рисков функционирования организации и корректировке предоставляемых ИТ-сервисов в сторону реальных нужд компании, что, в свою очередь, приводит к качественным изменениям в обеспечении ее информационной безопасности.
Цель данного курса – освоение специалистами лучших мировых практик по внедрению и совершенствованию управления информационной безопасностью. В рамках курса рассматриваются вопросы управления рисками и их связь с управлением информационной безопасностью, дается обзор структур контроля и стандартов управления безопасностью, предлагаются рекомендации по разработке и внедрению структуры управления информационной безопасностью в организации, укреплению связи информационной безопасности с целями бизнеса.
В курсе обобщен и систематизирован многолетний опыт Хендрика Колеманса, консультировавшего крупнейшие компании мира и межгосударственные структуры по вопросам создания и управления системами информационной безопасности. Особое внимание в курсе уделяется опыту международных компаний: как ведущие банки, частные и государственные предприятия улучшают управление информационной безопасностью, как вовлекают руководителей бизнеса в управление информационной безопасностью, как используют управление информационной безопасностью для реализации основных целей бизнеса и снижения затрат, как организация выигрывает от применения целостного и всеобъемлющего подхода к управлению рисками, безопасности и контролю.
На примерах инцидентов в крупных международных финансовых структурах будет рассмотрено, как и почему это стало возможным, а также будет показано, как адекватный подход к управлению информационной безопасностью мог бы предотвратить серьезные последствия.
Слушатели будут иметь возможность поучаствовать в разборе ряда конкретных ситуаций, в групповых дискуссиях и обсудить проблемы с ведущим курса, который также является действующим консультантом по управлению информационной безопасностью.
Аудитория
- Руководители и специалисты служб информационной безопасности, управления рисками, внутреннего контроля и аудита, служб ИТ и другие специалисты в области управления, в чьи обязанности входит совершенствование управления рисками в ИТ, обеспечение защищенности информационных систем и их управляемости.
- Специалисты, заинтересованные в подготовке к сертификационным экзаменам: CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of Enterprise IT), CISSP.
Преподаватель
Хендрик Колеманс (Hendrik Ceulemans) - один из известнейших в мире консультантов в области создания и управления системами информационной безопасности. Профессиональные сертификации - CISA, MBA, MCA (Master in Computer Auditing). Директор компании InfoGovernance (Бельгия), предлагающей консультации и обучение в области корпоративного управления ИТ и ИТ-безопасности. До 2003 года – Президент ISACA Belux, Генеральный директор InfoSecure Belgium, имеет многолетний опыт работы в Fortis AG Insurances, опыт создания концепции информационной безопасности Банка Швейцарии.
Провел 11 семинаров по управлению системами информационной безопасностью для IT-менеджмента в Европейской комиссии, более 100 тренингов для профессионалов в области информационной безопасности в Великобритании, Германии, Италии, США, Франции, ЮАР и др. государствах, в которых приняли участие свыше 1500 участников.
По окончании обучения:
Несмотря на сложность и важность темы, а также возможные трудности на пути внедрения прогрессивных политик и практик в этой области, специалисты смогут быстро получить положительные результаты. После двух дней обучения у специалистов формируется лучшее понимание:
- Каковы возможные негативные последствия неэффективного управления информационной безопасностью для организаций.
- Каковы основные причины для того, чтобы совершенствовать управление информационной безопасностью.
- Как улучшенное управление информационной безопасностью может помочь вашей организации расширить возможности для реализации основных целей и снижения затрат.
- Как подготовить и запустить программу по управлению информационной безопасностью, которая будет принята и поддержана руководством.
- Как получить поддержку руководства для реализации программы управления информационной безопасностью.
- Какие инструменты и техники могут быть использованы для совершенствования управления информационной безопасностью.
Предварительная подготовка
Участники должны иметь представление об организации управления информационными технологиями.
Продолжительность курса
Продолжительность курса – 16 часов (2 учебных дня).
Обучение проводится с 10.00 – 18.00.
Дополнительно
Обучение проводится на английском языке с переводом на русский язык. Повышению эффективности обучения будет способствовать участие слушателей в разборе конкретных примеров применения методик управления рисками и обмене мнениями.
Слушатели получают фирменные учебные материалы, предоставленные Хендриком Колемансом, свидетельство об обучении.
Программа учебного курса
День 1: Управление информационной безопасностью
- Корпоративное управление и потребность в управлении информационной безопасностью.
- Взгляд сверху: как высшее руководство и члены советов директоров смотрят на информационную безопасность и что они ожидают от руководителей по информационной безопасности и директоров по информации.
- Управление рисками в управлении информационной безопасностью.
- Как их идентифицировать, оценивать и классифицировать?
- Как организация может использовать такой подход для расширения возможностей реализации своих задач с меньшими затратами?
- Обзор структур контроля и стандартов управления безопасностью.
- Редакция директив по информационной безопасности CobiT® 4.1.
- Преимущества ISO 27002 для управления информационной безопасностью, и как его использовать с практической точки зрения?
- Что может означать стандарт ISO 27001 Information Security Management System для вашей организации?
- Применение ISO 27002 и ISO 27001.
- Использование ISO 27005 (бывшего BS 7799-3) для управления рисками в информационной безопасности.
- Как улучшить связь информационной безопасности с целями бизнеса организации.
- Форум (совет) по информационной безопасности как практичный и незаменимый инструмент по заданию направления развития в организации.
- Как связать корпоративное управление и управление информационной безопасностью с целями бизнеса и ИТ. Как сделать это на практике и добиться участия бизнеса.
- Мониторинг результативности и доведение до руководства информации об управлении информационной безопасностью.
- Другие мощные средства для улучшения связи информационной безопасности с целями бизнеса.
- Разбор ситуаций по оценке рисков и установке приоритетов в информационной безопасности. Практическое использование методик оценки рисков для определения наиболее критичных процессов, которые необходимо улучшить в конкретной организации.
День 2: Внедрение и совершенствование управления информационной безопасностью
- Разработка и внедрение структуры управления информационной безопасностью.
- Разработка политики. Использование целей безопасности и ключевых принципов для запуска процесса.
- Роли, ответственность и полномочия: необходимость четкости изложения и понимания всеми участниками процесса.
- Разработка структуры безопасности и контроля, включающей стандарты, меры, практики и процедуры.
- Внедрение и его поддержка.
- Мониторинг и введение изменений для обнаружения и своевременного устранения нарушений безопасности, соответствия законодательству. Упреждающее информирование руководства о текущем состоянии управления информационной безопасности и его соответствии требуемому .
- Обучение персонала с целью повышения осведомленности в вопросах информационной безопасности, тренировка умений и практических навыков, необходимых для безопасного использования информационных систем.
- Использование модели зрелости для самостоятельной оценки контроля (Control Self Assessment - CSA). Как оценить реальный уровень управления безопасностью и определить уровень, который нужен вашей организации.
- Разбор практических ситуаций. Убеждение руководства в преимуществах совершенствования управления информационной безопасностью и практического подхода к улучшению состояния дел на конкретном предприятии.
Регистрация на обучение
Для регистрации на курс необходимо подать заявку. В связи с ограниченным количеством учебных мест мы рекомендуем сделать это заблаговременно. Места бронируются в учебной группе только при условии полной оплаты.
Подать заявку на обучение можно здесь.
С вопросами можно обращаться по электронной почте edu@itsecurity.ru или по телефону +7 (495) 980-2345, доб. 7, с 9:30 до 18:00 по московскому времени в будние дни.
|