Zarządzanie ryzykiem w IT

Transkrypt

1 Global Information Security sp. z o.o. bezpieczeństwo informacji zarządzanie ryzykiem ochrona danych osobowych optymalizacja procesów biznesowych Zarządzanie ryzykiem w IT Co osiągniesz przez udziałów szkoleniu? (cele szkoleniowe) Poznasz: o COSO ERM standard zarządzania ryzykiem w skali firmy, o COSO standard szeroko rozumianej kontroli wewnętrznej o COBITv4.1 sprawdzoną platformę i język współpracy między obszarem technologii, biznesu, kontroli i zarządzania. Zaznajomisz się z przejrzystymi sposobami przedstawiania procesów w obszarze IT, ich oceny i odpowiedzialności za poszczególne jej aspekty. Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru: o Pomiaru ryzyka, (skale oceny ryzyka, mapy ryzyka, apetyt na ryzyko) o Metody szacowania ryzyka, o Procesowe podejście do Zarządzania IT, o Zarządzania ryzykiem IT, Poznasz w praktyce ocenę ryzyka związaną z: o Celami jednostek, procesów, podprocesów, usług biznesowych i usług IT, o Modelem oceny dojrzałości procesów IT do oceny ryzyka w obszarach IT. o Mapowaniem ryzyka na procesy, serwisy, usługi, jednostki organizacyjne, o konsolidacja ryzyka z mniejszych jednostek (np. zespołów) na większe (np. departamenty), konsolidacją ryzyka w grupy obszarowe np. ryzyka prawne, zgodności z wymogami zewnętrznymi, o Raportowaniem ryzyka, o Praktyczne struktury zapewniające efektywne zarządzanie ryzykiem i utrzymanie aktualności informacji o ryzyku. Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru zastosowania ryzyka w: o procesie audytu systemów informatycznych, o Zarządzaniu IT, o Zarządzaniu biznesem uzaleŝnionym od IT, o Zarządzaniu cyklem Ŝycia infrastruktury i systemów informatycznych, o Dostarczaniu usług i wsparcia biznesu przez IT, o Ochronie zasobów informacyjnych, o We właściwym przygotowaniu Planów Ciągłości działania biznesu oraz odtwarzania biznesu i IT po katastrofie.

2 Komu polecamy szkolenie? (grupa celowa, wymagania wstępne) Kadrze kierowniczej i analitykom IT, Specjalistom i osobom nadzorującym obszar kontroli wewnętrznej IT MenadŜerom odpowiedzialnym za operacyjne zarządzanie obszarem technologii informatycznej, Audytorom (w szczególności audytorom systemów informatycznych), Osobom zaangaŝowanym w zapewnienie bezpieczeństwa informacji i ciągłości działania biznesu Wymagania wstępne: Podstawowa wiedza z obszaru działania technologii informatycznej, wsparcia biznesu przez technologie informatyczną i kontroli wewnętrznej. Jak długo trwa? (liczba dni, godzin dydaktycznych) 3 dni (24 godz. dydaktycznych) Jak przebiegają zajęcia? Zajęcia mają formę warsztatowo- szkoleniową. Odbywają się one w oparciu o uznane metodologie i standardy takie jak COSO ERM (standard zarządzania ryzkiem), COBIT (sprawdzoną platformę i język współpracy między obszarem technologii, biznesu, kontroli i zarządzania), COSO (standard szeroko rozumianej kontroli wewnętrznej oraz w oparciu o wytyczne IT Governance Institute. Zajęcia będą poświęcone usystematyzowaniu wiedzy (część szkoleniowo- wykładowa) oraz rozpatrywaniu poszczególnym studium przypadku i przedyskutowaniu w grupie poszczególnych zagadnień. Na Ŝyczenie strony zlecającej na zakończenie szkolenia moŝe odbyć się egzamin testowy, na podstawie wyników którego zostaną wydane zaświadczenia (certyfikaty) świadomych zarządców ryzyka IT. Jaki jest zakres tematyczny szkolenia? Wstęp Co to jest ryzyko i dlaczego do ryzyka IT potrzebne są jeszcze inne normy i standardy Zarządzanie ryzykiem, o Proces Zarządzania Ryzykiem, o Metody analizy ryzyka, o Standardy zarządzania ryzykiem, o Analiza Ryzyka podstawą zarządzania firmy (finansowego, usługami, operacyjnego, bezpieczeństwa informacji, polityki bezpieczeństwa, ciągłości działania biznesu itp.) Część I standard COSO jako podstawa ładu Corporate Governance, Kontrola wewnętrzna Audyt funkcja i rola w firmie, Planowanie audytu, zarządzanie zasobami, Standardy i podręczniki audytu informatycznego ISACA, Analiza ryzyka i szeroko rozumiana kontrola wewnętrzna w audycie Praktyki i techniki audytu informatycznego o Planowanie, o przeprowadzanie audytu, o próbkowanie

3 o spotkania udytowi, o obserwacja wydajności personelu o Gromadzenie informacji i zabezpieczenie dowodów. o Ryzyka. Technika CSA (Control Self Assesment),. Zmiany w procesie I w planie audytu Część II COSO ERM Co to jest ryzyko, MoŜliwości i zagroŝenia Jednostki operacyjne, cele ryzyka, Procesy biznesowe, cele i ich ryzyka, Zarządzanie usługami, portfel usług, usługi IT, Role i odpowiedzialności za zarządzanie ryzykiem, Środowisko działania firmy, a zarządzanie ryzykiem firmy, Technika CSA (Control Self Assesment), Mapy ryzyka. Część III standard COBIT - Koncepcja Zarządzania procesowego IT Informacje zarządcza IT o Bechmarking porównywanie dojrzałości procesów (skala, wyznaczniki poziomów, ocena naszej firmy, potrzeba biznesowa), o Obszary, cele i miary procesów IT, o Cele działań zapewniających sprawowanie kontroli nad procesami IT Obszary IT Governance o Spójne działanie (włączenie celów biznesu w cele IT) o Dostarczanie wartości, o Zarządzania zasobami, o Zarządzanie ryzykiem o Zarządzanie wydajnością. Komponenty COBIT o Domeny i procesy IT, o Cele i składniki procesów (wejścia, wyjścia, czynności), o Kluczowe aktywności (działania) i mechanizmy kontrolno zabezpieczające, o Odpowiedzialności wskaźniki wydajności, przychodu, poziomy dojrzałości procesów, Dlaczego i jak COBIT nastawiony jest na: o Biznes, o Zarządzanie procesowe, o Spójność biznesu i Iloraz o Rozliczalność IT. Ocena dojrzałości procesów IT Sposób opisu procesu IT i jego znaczenie kostka COBIT Część IV Wybrane procesy domeny Planowanie i organizowanie - do wyboru 4 procesy z poniŝszych (proponujemy PO1, PO5, PO8, PO9) PO1 Define a Strategic IT Plan PO2 Define the Information Architecture

4 PO3 Determine Technological Direction PO4 Define the IT Processes, Organisation and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources PO8 Manage Quality PO9 Assess and Manage IT Risks PO10 Manage Projects Część V Wybrane procesy i ryzyka domeny Nabywanie i Implementowanie - do wyboru 3 procesy z poniŝszych (proponujemy AI2, AI4, AI6) AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use AI5 Procure IT Resources AI6 Manage Changes AI7 Install and Accredit Solutions and Changes Część VI Wybrane procesy i ryzyka domeny Dostarczanie i wsparcie - do wyboru 5 procesów z poniŝszych (proponujemy DS1, DS3, DS4, DS6, DS8) DS1 Define and Manage Service Levels DS2 Manage Third-party Services DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations Część VII Wybrane procesy i ryzyka domeny Monitorowanie i ocena - do wyboru 2 procesy z poniŝszych (proponujemy ME1, ME2) ME1 Monitor and Evaluate IT Performance ME2 Monitor and Evaluate Internal Control ME3 Ensure Compliance With External Requirements ME4 Provide IT Governance Kto będzie prowadził zajęcia? Marek Pióro, CISA, CISM audytor praktyk z 10 letnim doświadczeniem zawodowym z obszaru IT i telekomunikacji oraz wiedzą z zakresu: 1. Audytu obszaru technologii (IT i Techniki) 2. Zarządzania Bezpieczeństwem informacji, 3. Zarządzania Technologią Informatyczną, 4. Ochrony Zasobów Informatycznych i informacyjnych, 5. Utrzymania Ciągłości biznesu i odtwarzania po katastrofie,

5 6. Zarządzania Ryzykiem W/w doświadczenie zdobył pracując w jednego z integratorów IT oraz u operatora telekomunikacyjnego, współpracując z czołowymi dostawcami z obszaru IT i bezpieczeństwa oraz prowadząc własna firmę (Global Information Security Sp. z o. o) i wykładając na uczelniach (SGH). Posiada certyfikaty Certified Information Systems Auditor (CISA) oraz Certified Information Security Manager (CISM), wydane przez ISACA (Information Systems Audit and Control Association - Stowarzyszenie ds. Audytu i Kontroli Systemów Informatycznych). Ile wynosi odpłatność? Liczebność grupy 2700 zł + VAT od 1 osoby Grupy 6-8 osób. Przy zamawianiu szkolenia dla grupy cena do negocjacji Materiały, pomoce dydaktyczne, sprzęt Dla uczestników: o podręcznik w formie wydrukowanej prezentacji, pojedyncze kartki ze scenariuszami ćwiczeń, o COBIT (Control Objectives for IT and realated Technology) v. 4.1 UŜywane przez trenera: prezentacja PP wyświetlana podczas zajęć Sprzęt: laptop, projektor LCD Kiedy odbędzie się szkolenie? października 2008r.