Katalog usług na rok 2015

Transkrypt

1 2 Bezpieczeństwo informacji Katalog usług na rok 2015 chroń SERCE Twojej firmy CIS - Twój standard bezpieczeństwa

2 2 Spis treści O firmie Profil jednostki CIS-Certification & Information Security Services Sp. z o. o. 3 Dlaczego warto wybrać CIS-Certification & Information Security Services Sp. z o. o. 4 Akredytacja 5 Polityka CIS-Certification & Information Security Services Sp. z o. o. 6 Usługi i współpraca 7 Systemy certyfikacji 8 Filozofia auditu 9 Droga do certyfikacji 10 Droga do certyfikacji - Zakres zaangażowania Klienta 11 Szkolenia 12 Certyfikacja System zarządzania bezpieczeństwem informacji wg ISO System zarządzania usługami IT wg ISO System zarządzania bezpieczeństwem centrów przetwarzania danych wg ANSI/TIA System zarządzania ryzykiem wg ISO System zarządzania ciągłością działania wg ISO Zintegrowane systemy zarządzania 23 Szkolenia Kontrola Bezpieczeństwa Informacji wynikająca z Krajowych Ram 25 Introperacyjności Audyt zgodności wg PN-ISO/IEC 27001: Manager Bezpieczeństwa Informacji wg ISO szkolenie akredytowane 27 Auditor Bezpieczeństwa Informacji wg ISO szkolenie akredytowane 28 Skuteczny system bezpieczeństwa 29 Zarządzanie usługami w obrębie IT na podstawie ISO Ochrona danych osobowych w świetle zmieniających się przepisów 31 Zarządzanie ciągłością działania BCM na podstawie ISO Pełnomocnik systemu zarządzania ciągłością działania wg ISO szkolenie 32 akredytowane Pełnomocnik systemu zarządzania ryzykiem wg ISO szkolenie akredytowane 32 Zarządzanie ryzykiem w procesach związanych z bezpieczeństwem informacji na 33 podstawie ISO System bezpieczeństwa informacji w ochronie zdrowia zgodny z wymaganiami 33 ISO 27799:2010 Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie na 34 podstawie ISO Zakończenie Terminarz szkoleń 34 Certyfikaty European Organization for Quality (EOQ) 36 Warunki otrzymania certyfikatów EOQ 37 Polityka cenowa 38 Klasyfikacja małych, srednich i dużych organizacji 38 Ogólne Warunki Handlowe firmy CIS - Certification & Information Security 39 Services Sp. z o.o Kontakt 45

3 3 CIS - Certification & Information Security Services Profil jednostki Nieustannie rosnąca liczba pracowników zajmujących stanowiska kierownicze uświadamia sobie, jak ważna jest ochrona danych firmy i klientów, łącznie z pozostałymi czynnikami ważnymi dla firmy. Również na rynku staje się normą, że świadczące usługi podmioty i dostawcy stale zapewniają swoim klientom wysoki poziom bezpieczeństwa informacji. Dlatego ze względu na stale pojawiające się nowe i coraz bardziej złożone wymogi dotyczące bezpieczeństwa, firmy potrzebują kompleksowo zorientowanego systemu zarządzania bezpieczeństwem informacji (SZBI), przy pomocy którego można nie tylko bezpieczeństwo to osiągnąć, ale również je monitorować i nieustannie doskonalić. W skali międzynarodowej jedną z najbardziej poważanych instytucji w zakresie bezpieczeństwa systemów informacyjnych jest CIS Certification & Information Security Services, mająca główną siedzibę CIS-International w Wiedniu. Firma CIS należy do pięciu najbardziej prestiżowych instytucji tego typu na świecie. Jednostka działa w skali ogólnoświatowej przejawiając szczególną aktywność w krajach Europy Środkowej (Republika Czeska, Słowacja, Polska, Węgry, Szwajcaria i Niemcy). Jest obecna również w Azji (Chiny, Japonia, Katar, Indie), Ameryce Północnej (USA, Kanada) i Ameryce Południowej (Kolumbia). Jako uznana jednostka certyfikująca, CIS - Certification & Information Security GmbH specjalizuje się w certyfikacji systemów zarządzania bezpieczeństwem informacji na zgodność z normą ISO / IEC oraz systemów zarządzania jakością usług IT zgodną z normą ISO/IEC Doskonała reputacja certyfikatów CIS CERT w kraju i za granicą, jest gwarancją doskonalenia Państwa systemów. Nasze certyfikaty są uznawane przez administracje publiczną, jak i przedsiębiorstwa i firmy prywatne. nasze certyfikaty są uważane za prawdziwą przewagę konkurencyjną i wsparcie organizacji w różnych aspektach działalności. wszystkim z posiadanej przez nas akredytacji. CIS CERT posiada akredytację wydawaną przez BMWFJ (Federalne Ministerstwo Gospodarki, Rodziny i Młodzieży AUSTRII - AT). Gwarantuje to Państwu absolutną powtarzalność jakości naszej pracy ale także czytelne zasady i procedury certyfikacji. Certyfikat CIS CERT dostarczy Państwu niezależną ocenę wdrożonego i doskonalonego systemów zarządzania. Auditorzy CIS w trakcie procesu certyfikacji przekażą Państwu swoją dogłębną wiedzę techniczną, Wstępne audyty prowadzone przez CIS są gwarancją doskonałego i optymalnego przygotowane przygotowania Państwa organizacji do procesu certyfikacji. Ważnym aspektem certyfikacji CIS CERT jest stałe motywowanie organizacji do dalszego doskonalenia. Oczywistym dla nas jest, że doskonałym elementem motywacyjnym dla dalszego motywowania pracowników jest możliwość pozytywnego zakończenia certyfikacji w pierwszej próbie. Klient znajdujący się na tych rynkach otrzymuje w ten sposób kompletny zestaw usług w zakresie bezpieczeństwa informacji, takich jak: certyfikacja standardów ISO oraz ISO 20000, audyty nadzorujące i przegląd systemów bezpieczeństwa zarówno od strony technicznej, jak również dokumentacyjnej, programy szkoleniowe itd. Całość jest prowadzona przez renomowaną, międzynarodową instytucję, w lokalnym języku oraz po konkurencyjnych cenach w danym regionie. Ponadto istotnym elementem procesu certyfikacji są oferowane przez naszą jednostkę specjalistyczne szkolenia akredytowane oraz nieakredytowane. Szkolenia oferują Państwu nie tylko wiedzę teoretyczną ale przede wszystkim wiedzę praktyczną, niezbędną do przygotowanie swojej organizacji na proces certyfikacji. Szkolenia, które są dostarczane bezpośrednio przez jednostkę certyfikującą CIS CERT Szkolenia te dają gwarancję, zrozumienia idei wdrażania systemów zarządzania bezpieczeństwem informacji oraz jakości usług IT oraz ich docelowej certyfikacji w naszej jednostce. Rozpoznawalność i ogromna wartość naszych certyfikatów wynikają z lat doświadczeń ale przede

4 Dlaczego warto wybrać CIS - Certification & Information Security Services Sp. z o. o.? 4 CIS CERT jako Państwa Partner, rozpoznawany na lokalnej i międzynarodowej scenie certyfikacji oferuje szereg korzyści, wzmacniających Państwa siłę i wartość Państwa organizacji: Impuls dla firmy dalszego rozwoju organizacji: audity CIS zapewniają rzetelną analizę mocnych/słabych stron organizacji Oszczędność wynikająca z synergii: wspólne audity CIS CERT wyspecjalizowanej w certyfikacji systemów zarządzania bezpieczeństwem informacji oraz systemów zarządzania jakością usług IT, z jednostką Quality Austria z innymi systemami zarządzania, takimi jak system zarządzania jakością zgodny z ISO 9001 (aby zapoznać się z ofertą Quality Austria wejdź na stronę może przynieść oszczędność na poziomie 20-30% Tworzenie wartości: CIS CERT posiada niewątpliwą przewagę konkurencyjną oferując Państwu wyspecjalizowane usługi w zakresie certyfikacji jedynie dwóch systemów, związanych z normami ISO oraz ISO Wysoka reputacja certyfikatów CIS CERT: Zaufali nam najwięksi, doceniając wartość wąskiej specjalizacji nastawionej na bezpieczeństwo informacji i jakości IT Informacja: Partnerzy biznesowi CIS - Certification & Information Security Services mają możliwość korzystania z zasobów wiedzy udostępnionych poprzez tworzoną "bazę wiedzy". Poprzez dostęp do intranetowej platformy znajdującej się na stronie. Umożliwia ona zapoznanie się z nowościami i ciekawostkami w systemach zarządzania, certyfikacji, akredytacji, nowościach w standaryzacji. Wiedza: Klienci certyfikowani przez CIS - Certification & Information Security Services w ramach trzyletniego cyklu certyfikacyjnego mają możliwość skorzystania z bezpłatnej formy szkolenia. Proponujemy udział/ organizację szkolenia w ustalonej tematyce związanej z systemami zarządzania które znajdują się w zakresie akredytacji Quality Austria. Partnerstwo: FORUM wymiany doświadczeń to doskonałe miejsce dla spotkań Pełnomocników firm, by wymienić doświadczenia, skorzystać z informacji podczas konferencji, wziąć udział w warsztatach, zapoznać się z procedurami akredytacyjnymi oraz nowościami w normalizacji. Fachowa wiedza świadczone przez jednostkę certyfikującą: nasza jednostka cechuje się ogromną wiedzą w zakresie bezpieczeństwa informacji oraz bezpieczeństwa IT. Nasi audytorzy i trenerzy to wysokiej klasy specjaliści, eksperci oraz inżynierowie systemów IT. Doświadczenie audytorów: Auditorzy CIS gwarantują nieporównanie wysoką jakość swoich prac poprzez znajomość nowoczesnych technologii informatycznych Rozpoznawalność naszych certyfikatów Międzynarodowe doświadczenie daje nam pewność, iż polskie certyfikacje są tak samo wartościowe jak w ponad 30 krajów świata. Naszym hasłem jest "jedna twarz wobec klienta".

5 5 Akredytacja Każda organizacja posiadająca certyfikat wydany przez CIS CERT, ma gwarancję, że znalazła się po bezpiecznej stronie. CIS CERT jest akredytowaną jednostką rządu federalnego Austrii. To daje Państwu gwarancję, iż nasza jednostka podlega bardzo surowym ocenom i dyrektywom rządu Austrii. CIS CERT jest poddawany okresowym przeglądom, zgodnie z prawnie ustalonymi normami dla organów certyfikacji. Ocena ta jest prowadzona przez austriackie Ministerstwo Gospodarki, Rodziny i Młodzieży. Daje to Państwu gwarancje, że spełniamy najbardziej rygorystyczne wymagania. Spełniamy wymagania stawiane nie tylko przez międzynarodowe i obowiązujące wszystkie firmy certyfikacyjne normy ISO ale także normy dotyczące certyfikacji osób wchodzących w skład zespołu CIS CERT. Certyfikacja w CIS CERT daje znaczne korzyści dla certyfikowanych organizacji. Certyfikaty CIS CERT są dokumentami uznawanymi przez władze publiczne, jak i klientów indywidualnych w skali międzynarodowej. Akredytacja CIS obejmuje systemy zarządzania bezpieczeństwem informacji na zgodność z normą ISO/IEC oraz systemy zarządzania jakością usług IT zgodnych z ISO/IEC Dzięki akredytacji, Certyfikaty CIS są: dokumentami uznawanymi przez rząd federalny i inne kraje europejskie ważnymi dowodami należytej staranności sądem zabezpieczeniach bezpieczeństwa informacji rozpoznawane i szanowane na arenie międzynarodowej

6 Polityka CIS - Certification & Information Security Services Sp. z o. o Ogólne CIS jest dostawcą usług w zakresie certyfikacji systemów zarządzania i certyfikacji osób. W przypadku dwóch obszarów usług: bezpieczeństwa informacji i jakości usług IT, Jako jednostka certyfikująca CIS posiada akredytację, wydaną przez Austriackie Ministerstwo Gospodarki i Pracy. Certyfikacja oferowana przez CIS dotyczy systemów zarządzania funkcjonujących w zgodzie z normami międzynarodowymi (ISO). W zakresie certyfikacji osób, nasze certyfikaty są traktowane jako podstawa do certyfikacji. CIS CERT uważa, że wartość certyfikacji charakteryzują następujące czynniki: stosowania zasad uznanych w skali międzynarodowej, np. Normy ISO akredytację przyznaną przez właściwy organ akredytacyjny poniższymi zasadami 2. Bezstronność CIS CERT jest niezależną spółką Dzięki temu CIS może swobodnie kształtować swoją politykę, misję oraz cele. Jako niezależna jednostka certyfikacyjna jako jedyna ma wpływ na swój sposób działania i decyzje. Zobowiązaniem nadrzędnym jest zobowiązanie wobec klientów. CIS świadczy usługi dla swoich klientów bez ulegania jakimkolwiek wpływom, niezależnie od działania firm konsultingowych, konkurentów lub innych zainteresowanych stron. CIS posiada akredytację zakresie certyfikacji osób, ponieważ jest przekonany, iż przekazywanie wiedzy dla osób działających w organizacjach pozwala poświadczyć ich kompetencje, które będą miały zasadnicze znaczenie i wpływ na zrównoważone ustanowienie i utrzymywanie systemów zarządzania bezpieczeństwem informacji oraz jakości usług IT. które wykraczają poza to zakres certyfikacji i szkoleń, nie będą przez CIS nigdy oferowane, ze względu na zapewnienie bezstronność bezstronności prac CIS. 4. Odpowiedzialność CIS jest świadoma faktu, że każdy audit może mieć tylko charakter próby. W celu umożliwienia niezależnej decyzji o zgodności systemów zarządzania wdrożonych u naszych Klientów, będąc w zgodzie z wymaganiami norm, akredytacji oraz jakości procesu certyfikacji, oferujemy wszechstronną wiedzę audytorów. 5. Otwartość CIS przekazuje wszystkie niezbędne informacje, które są zgodne z posiadaną akredytacją oraz są przydatne do certyfikacji. Wszystkie elementy związane z otwartością nie lamią stosowanych zasad poufności informacji. 6. Poufność Pracownicy, audytorzy i trenerzy CIS CERT stosują się do wdrożonych w CIS umów i klauzul poufności. Wszystkie osoby działające w ramach organizacji CIS oraz w imieniu CIS, są zobowiązane do przechowywania i zabezpieczania dowodów oraz faktów, które pochodzą z dokumentów Klientów oraz z prowadzonego procesu certyfikacji. Wszystkie informacje pozyskane przez osoby związane z CIS CERT w ramach realizowanych dla naszych Klientów i Partnerów usług, są objęte klauzula poufności. 3. Kompetencje CIS koncentruje się na świadczeniu usług w zakresie certyfikacji osób i systemów zarządzania bezpieczeństwa informacji oraz zarządzania usługami IT. Wiedza techniczna i doświadczenie są wartością dodaną przez dla organizacji wnoszoną przez auditorów i trenerów CIS. Dodatkowe usługi w zakresie doradztwa i konsultingu,

7 7 Usługi i współpraca CIS - Certification & Information Security Services oraz jej organ akredytacyjny, austriackie Ministerstwo Gospodarki i Pracy (BMWA), są członkami i sygnatariuszami EA (European Cooperation for Accreditation), IAF (International Accreditation Forum) oraz wielu innych gremiów międzynarodowych. Uznanie na rynku światowym jednostka zyskała przede wszystkim poprzez skupienie sie wyłącznie na zagadnieniach SZBI (systemach zarządzania bezpieczeństwem informacji łącznie z ICT), ponieważ zdaje sobie sprawę z wagi i wysokiego wyspecjalizowania tej tematyki. Swoim klientom zapewnia najwyższą fachowość usług. Quality Austria jest partnerem Narodowej Polityki Jakości w RCz, a także członkiem IQNet, IATF, EOQ, VDA,QMC, EA, IAF i wielu innych stowarzyszeń międzynarodowych. Pozostałe usługi w zakresie certyfikacji i szkoleń, które dotyczą innych standardów, firma CIS oferuje swoim klientom w oparciu o współpracę ze swoimi renomowanymi partnerami. Klient może korzystać również z pożądanego efektu synergicznego w postaci szerokiej oferty szkoleń lub kompleksowej certyfikacji według norm ISO 9001, ISO 14001, EMAS, VDA 6.x, ISO/TS 16949, OHSAS i innych. Jednym z głównych partnerów w ramach ogólnoświatowej działalności spółki CIS jest międzynarodowa jednostka certyfikująca, szkoleniowa i opiniodawcza Quality Austria, posiadająca ponad 650 audytorów, reprezentowana w ponad 60 krajach świata. Raiffeisen Informatik, 800 pracowników Michael Ausmann, menadżer bezpieczeństwa IT: Dzięki orientacji normy ISO na bezpieczeństwo informacji zagadnienie rozpatrywane jest całościowo: Pod uwagę są brane wszystkie czynniki, mające zasadnicze znaczenie w cyklu informacyjnym, a nie tylko pojedyncze elementy IT. Certyfikacja wg ISO to czerpanie z doświadczeń innych firm - takich jak ABB, Canon, Ericsson, Unisys

8 8 Systemy certyfikacji Optymalizacja procesów bezpieczeństwa, ograniczenie ryzyka, zwiększenie wydajności, redukcja kosztów to zadania i cele krytyczne dla sukcesu Państwa organizacji. Można je osiągnąć o wiele bardziej skutecznie i trwale w oparciu o certyfikowane systemy zarządzania zgodne ze standardami ISO oraz ISO Certyfikacja tych systemów daje gwarancje skuteczniejszego zarządzania firmą, niż przy podejmowanych sporadycznie akcjach. ISO 27001: Bezpieczeństwo się opłaca Cały zakres nadzorowanego systemu bezpieczeństwa informacji pozwala nam usiąść spokojnie i jednocześnie dynamicznie się rozwijać. Przypadki naruszenia bezpieczeństwa informacji, które wahają się od globalnych ataków wirusów po utratę danych wpływające negatywnie na wizerunek organizacji. Uświadamiają jednocześnie konieczność kontrolowania systemów zarządzania bezpieczeństwem informacji (ISMS). Erich Scheiber, Menedżer CIS podkreśla, "Coraz więcej liderów i menedżerów, profesjonalne zajmujących się bezpieczeństwem informacji zgodnych z ISO / IEC 27001, określa wdrożenie niniejszego standardu, jako kluczową "potrzebę biznesową." -niezbędną dla ochrony istnienia organizacji. Certyfikat naszej jednostki nie jest prezentem, za który sie płaci, ale nagrodą za profesjonalny wynik w zakresie systemów zarządzania. Korzyści związane z certyfikacją ISO: Odzwierciedlenie struktury informacyjnej firmy, włącznie z infrastrukturą, budynkami, otoczeniem i wszelkimi aspektami praktycznymi, od systemu alarmowego, poprzez ochronę przeciwpożarową aż po kontrolę dostępu Bardziej efektywne procesy i stworzenie brakujących procesów nie tylko w zakresie bezpieczeństwa informacji Uświadomienie sobie ryzyka dla bezpieczeństwa Wprowadzenie aktywnej i efektywnej ochrony przed czynnikami ryzyka Ochrona wartości firmowych istoty firmy Stała optymalizacja systemu regularnie przeprowadzane audyty Niższe koszty i większa produkcja Certyfikat o reprezentacyjnym wyglądzie i wysokim standardzie, wydany w dowolnej wersji językowej przez uznaną jednostkę Przewaga nad konkurencją Poszerzenie kręgu klientów Zaufanie rynku ISO 20000: Zwiększenie jakością usług IT Prawdziwa produktywność usług IT jest trudna do śledzenia dla organizacji nie związanych ściśle z technologiami IT. Jest to istotne, ponieważ każda organizacja przetwarzająca swoje dane w środowisku teleinformatycznym zdaje sobie sprawę z rozbieżności w postrzeganiu aspektów bezpieczeństwa informacji, efektywności zabezpieczeń i kosztów związanych z bezpieczeństwem. ISO / IEC jako certyfikowany standard związany z jakością usług IT, jest rozpoznawalny na całym świecie. Przyczynia się to do znacznego zwiększenia efektywności i jakości usług IT oraz czyni je wymiernymi i transparentnymi. Maksimum transparentności dla optymalnego bezpieczeństwa

9 9 Filozofia auditu Proces przeprowadzania auditu przez CIS - Certification & Information Security Services jest od dawien dawna zorientowany na wartość dodatnią oraz na przynoszenie wymiernych korzyści dla naszych Klientów. Następuje obiektywna i solidna ewaluacja w odniesieniu do stopnia spełnienia określonej normy. Postępowanie auditowe oraz dokumentacja auditora wynika z logiki sukcesu CIS - Certification & Information Security Services. Jako ambasador korzyści CIS-CERT demonstruje sposób działania zintegrowanych systemów zarządzania. Przy tym nie należy poszczególnych systemów rozpatrywać wyłącznie w pojedynczej formie, lecz we wzajemnych powiązaniach (relacjach) z innymi systemami, procesami. W przypadku przedstawiania wyników z auditu zawsze odczuwalne jest powiązanie praktyczne, zintegrowanych procesów w codzienne życie przedsiębiorstwa, które w takim postępowaniu widzi swoje korzyści. Pozytywnym aspektem jest również sposób postępowania przed audytem. W ramach działań poprzedzających audit u naszego Klienta na miejscu, ustalane są z Klientem cele auditowe, które mogą być rozpatrywane w trakcie trwania auditu. Również obserwacja historii auditu zapewnia ciągły rozwój organizacji. Wypowiedzi dotyczące wyników/ wydajności systemu/systemów zarządzania są skategoryzowane i ukazują ważne kroki rozwoju. Szczególnie zintegrowana obserwacja określonych/ pojedynczych systemów umożliwia osiągnięcie, zorientowanego na rozwój celu przedsiębiorstwa, bez wzajemnego ograniczania poszczególnych systemów. Dodatkowo możliwe jest zebranie strategicznych wypowiedzi organizacji, ocena ryzyka oraz integracja odpowiednich działań. Mogą być one w pełni wykorzystane, tak aby można było określić wszystkie mocne i słabe strony, jak i szanse i zagrożenia. Niezależnie od branży lub standardu, według którego CIS-CERT przeprowadza usługę auditu, zawsze w centrum znajdują się korzyści, które organizacja może uzyskać poprzez odpowiednie przeprowadzenie auditu. Dlatego też CIS - Certification & Information Security Services nie specjalizuje się w przeprowadzaniu auditów tylko i wyłącznie jednego standardu. Naszą mocną stroną jest wiedza w zakresie funkcjonowania innych systemów, wiedza w zakresie specyfiki działania naszych Klientów w różnych obszarach działalności. Są nam znane nie tylko wymagania związane z bezpieczeństwem informacji czy zarządzaniem usługami IT, ale również i tematy w zakresie zarządzania ryzykiem czy też zarządzania ciągłością działania. Posiadając liczne uprawnienia oraz akredytacje CIS - Certification & Information Security Services jest dla Państwa kompetentnym partnerem w biznesie. Nasza filozofia odzwierciedla się również w obszarze auditorów CIS - Certification & Information Security Services. Aż ponad 87% auditorów zostało powołanych na więcej niż 1 rodzaj standardu. 62% auditorów zostało powołanych na więcej niż 2 rodzaje standardu. Tym samym posiadają oni kompetencje dla zintegrowanych systemów zarządzania. Z korzyścią dla naszych Klientów może taki stan być wykorzystywany podczas realizowanych przez nas auditów. Auditor CIS - Certification & Information Security Services sprawuje funkcję suwerennego doradcy. Tym samym swoją wiedzą wspieramy swoich Klientów. Poprzez szeroki zakres kompetencji Auditorzy są w stanie udzielić wskazówek i pokazać możliwości doskonalenia w szerokim zakresie. Liczna ilość dopuszczeń i akredytacji, uzyskana przez CIS - Certification & Information Security Services w ciągu lat, udowadnia dodatkowo nasze kompetencje w obszarze zintegrowanych systemów zarządzania.

10 10 Droga do certyfikacji Rozmowa informacyjna Zlecenie Audit certyfikacyjny - I FAZA Audit certyfikacyjny - II FAZA Wydanie certyfikatu Audit nadzorczy lub Audit recertyfikacyjny Rozmowa informacyjna Podczas rozmowy informacyjnej omawiane są kwestie potrzeb Klienta. Przedsiębiorstwo zostaje również poinformowane o przebiegu postępowania auditowego. Pierwszym krokiem jest identyfikacja specyficznych dla danego przedsiębiorstwa aspektów tj. wymagań prawnych, aspektów środowiskowych itp. Następnie, w oparciu o zdobyte informacje, oszacowany zostaje, na podstawie międzynarodowych wytycznych, czas potrzebny na przeprowadzenie auditu. Zlecenie W celu określenia zdolności przedsiębiorstwa do certyfikacji oraz jako podstawa do przedłożenia oferty dokonywana jest ocena kompletności wszelkich informacji/danych przedsiębiorstwa. Jeśli wszystkie informacje są kompletne, CIS-CERT przystępuje do sporządzenia oferty i przekazania jej Klientowi. Umowę między stronami uznaje się za zawartą z chwilą akceptacji przez Klienta postanowień oferty, wypełnienia i podpisania zlecenia przeprowadzenia auditu znajdującego się na ostatniej stronie niniejszej oferty oraz jego przesłania do QAP. Audit wstępny (opcjonalnie) Poprzez audit wstępny możliwe jest określenie postępu implementacji systemu zarządzania w pojedynczych obszarach, funkcjach, procesach lub specyficznych wymagań normy. Stosowność podjętych ustaleń oraz działań realizacji są poddane wczesnej ocenie, w celu określenia błędnej interpretacji normy oraz zapobiegnięcie wyższych nakładów/kosztów. Przy czym wymagane jest przekonanie i motywacja pracowników. Audit certyfikacyjny I faza Audit ten jest częścią składową procesu auditowego i służy określeniu stanu wdrożenia i funkcjonowania systemu zarządzania. Obejmuje następujące zadania: ocena dokumentacji zarządzania; ocena specyficznych warunków lokalizacji; identyfikacja procesów kluczowych, aspektów specyficznych dla przedsiębiorstwa, celów, wymagań prawnych oraz określenie stopnia ich spełnienia; określenie gotowości do II fazy auditu certyfikacyjnego; określenie dalszego sposobu postępowania dla II fazy auditu certyfikacyjnego. Audit certyfikacyjny II faza Podczas części procesu certyfikacyjnego wykonywane są następujące zadania: kontrola zgodności wobec modelu wymagań na podstawie określonego wcześniej planu auditu; przedstawienie rozwoju systemu; określenie mocnych stron i potencjału systemu; identyfikacja ukrytych możliwości i zagrożeń; przedstawienie alternatywnych metod lub praktyk zarządzania. Następuje po uwzględnieniu ustalonych celów przez przedsiębiorstwo. Wyniki z auditu wraz ze wskazówkami i zaleceniami, jak i odstępstwami zostaną zawarte w tzw. sprawozdaniu z auditu. Wystawienie certyfikatu Jednostka CIS - Certification & Information Security Services, ze względu na swoją akredytację, jest uprawniona do wystawiania międzynarodowo uznanych certyfikatów (potwierdzeń zgodności). Z wystawieniem certyfikatu związane są odpowiednie prawa użytkowania. Audit nadzorczy/re-certyfikacyjny W celu utrzymania certyfikatów CIS-CERT przeprowadza coroczny audit kontrolny, podczas którego sprawdzone zostają następujące elementy: skuteczność i rozwój systemu, z siłami ciężkości i oceną zarządzania; audity zewnętrzne; działania korygujące i zapobiegawcze. Ustalenia dotyczące utrzymania zgodności - wskazówki i zalecenia do dalszego rozwoju systemu zostaną zawarte w sprawozdaniu z auditu. W 3 roku po pierwszej certyfikacji następuje audit recertyfikacyjny z wnioskiem o nowe wystawienia dotychczasowych certyfikatów.

11 11 Droga do certyfikacji - Zakres zaangażowania Klienta Faza informacyjna Faza decyzyjna Faza koncepcji Faza wdrożenia Faza realizacji Nasz certyfikat Faza dalszego rozwoju i doskonalenia Faza informacyjna Klient ustala podstawę dla budowy systemu zarządzania poprzez uzyskanie dostępu do norm i wymagań prawnych oraz niezbędnej wiedzy, pozyskiwanej w trakcie rozmowy informacyjnej z CIS - CERT. Skorzystanie z doświadczenia przedsiębiorstw już posiadających certyfikat upraszcza tę fazę. Faza decyzyjna Istotne jest zintegrowanie motywów ustanowienia systemu zarządzania z celami, ustalonymi przez przedsiębiorstwo. Oszacowanie zasobów wewnętrznych jest równie ważne jak wyliczenie kosztów zewnętrznych (doradztwa, szkoleń i certyfikacji). Zaleca się opracowanie harmonogramu działań. Na podstawie tych danych i informacji podjęta powinna być decyzja. Faza koncepcji W tej fazie mogą być przewidziane następujące punkty ciężkości: pozyskanie wewnętrznego know-how na temat systemu zarządzania (np. wykształcenie managera jakości, środowiskowego itp.); wypracowanie specyficznej dla przedsiębiorstwa interpretacji norm; określenie obszaru obowiązywania systemu zarządzania; koncepcja wizji i polityki przedsiębiorstwa; wypracowanie specyficznego dla przedsiębiorstwa modelu procesu na najwyższym szczeblu zarządczym. Priorytety dla wprowadzenia systemu są odpowiednio do ustalenia. Jednym z najistotniejszych jest przekonanie i zaangażowanie najwyższego kierownictwa. Faza realizacji Poprzez dogłębną analizę i przemodelowanie procesu procesów uzyskujemy ich optymalizację. System zarządzania wdrażany jest krok po kroku poprzez: przemyślenie nowych metod zarządzania; wprowadzenie mierników dla systemu, procesów i produktów; opracowanie dokumentacji systemu; przeprowadzenie wewnętrznych auditów systemu i pierwszego przeglądu systemu zarządzania zamyka pętlę ciągłego doskonalenia. Faza wdrożenia Kluczowym etapem jest zastosowanie podejścia systemowego w praktyce. Realizację działań zapobiegawczych i korygujących postrzegać można jako projekty doskonalenia, które są systematycznie opracowywane i realizowane. Poprzez wewnętrzne audity systemowe oraz przegląd zarządzania weryfikuje się skuteczność systemu. Pracownikom podaje się wyraźny przekaz, że sukcesy przedsiębiorstwa są rezultatem wdrożenia systemu zarządzania. Nasz certyfikat Certyfikat CIS - CERT jest poświadczeniem zgodności oraz służy zakomunikowaniu wewnątrz jak i poza organizacją o certyfikacji uwieńczonej sukcesem. Państwa klienci ufają naszym certyfikatom. Faza dalszego rozwoju i doskonalenia W duchu filozofii ciągłego doskonalenia powinny zostać ustalone i zakomunikowane cele strategiczne w zakresie dalszego ciągłego rozwoju.

12 12 Szkolenia Szkolenia CIS - Certification & Information Security Services zawsze organizowane są na wysokim poziomie co zapewnia firmie przewagę nad konkurencją: Każdego roku od do osób uczestniczy w szkoleniach, seminariach i szkoleniach odnawiających. Certyfikaty uczestników są akredytowane i uznawane na arenie krajowej i międzynarodowej. Egzaminy gwarantują wysoki poziom i zapewniają zachowanie wysokiego poziomu jakości uczestników kończących nasze szkolenia. Szkolenia odnawiające przekazują aktualną wiedzę i umiejętności. Mieszanka metod przynosi korzyści przy praktycznym wdrożeniu: Wykłady stanowią kompaktowe wprowadzenie. Dyskusje wspierają zrozumienie podstaw. Przykłady skonsolidowanej wiedzy oraz możliwość wprowadzania tej wiedzy do codziennego użytku. Ograniczona liczba uczestników zwiększa osobiste, indywidualne korzyści w know how. Praca zespołowa i studia przypadków. Egzaminy motywują ludzi do zrównoważonego nabywania wiedzy, zapewniają wysoki poziom nauczania i są traktowane jako dowody odbycia szkolenia. Podstawową koncepcją szkoleń organizowanych przez CIS - Certification & Information Security Services jest krystalizacja zintegrowanych modeli tzw. elementów systemu, które mają wpływ na kształt całego zintegrowanego systemu zarządzania. oraz warsztaty, również jako szkolenia zamknięte w Państwa przedsiębiorstwie. Dostosowanie do indywidualnych potrzeb przez profesjonalnego trenera W przypadku szkolenia zamkniętego następuje uzgodnienie z Klientem zawartości danego szkolenia szczegółowo dopasowane do wymagań uczestników. Zamawiają oni to czego chcą, a otrzymują od nas to, czego potrzebują. W czasie trwania szkolenia uwagę skupia się przede wszystkim na szczegółowym podjęciu odpowiedzi na pytania i ustalaniu zadań specyficznych dla danej branży. Równocześnie zapewnia się, iż know-how organizacji nie zostanie ujawnione na zewnątrz. Szczególnie dla dużych przedsiębiorstw szkolenia zamknięte mogą być bardziej korzystne pod względem nie tylko finansowym, lecz również efektywnościowym. Wydatki związane z dojazdem i noclegiem uczestników spadają do zera. Równoczesne szkolenie większej ilości pracowników, mających jeden cel, przynosi pozytywne efekty dla pracy zespołowej i połączenia organizacji w sieci zewnętrznej z innymi partnerami. Szkolenia zamknięte oferują atrakcyjną możliwość kształcenia i poszerzenia swojej wiedzy. Nasze motto dla Państwa osobistego sukcesu brzmi: Dyskrecja, wspomaganie umiejętności pracy w zespole, wydajniejsze rezultaty oraz dopasowanie do specyficznych wymagania Państwa przedsiębiorstwa". Szkolenia zamknięte Dlaczego by się nie szkolić we własnym przedsiębiorstwie? Szkolenia zamknięte oraz warsztaty oferują możliwość dostosowania zawartości danego szkolenia do Państwa indywidualnych potrzeby. Do najbardziej skutecznych możliwości kształcenia zalicza się naukę we własnym domu, w kręgu znajomych i kierownictwa, na podstawie przykładów dotyczących własnego obszaru pracy. CIS - Certification & Information Security Services oferuje wszystkie szkolenia, seminaria

13 13 Certyfikacja Strona System zarządzania bezpieczeństwem informacji wg ISO System zarządzania usługami IT wg ISO System zarządzania bezpieczeństwem centrów przetwarzania danych wg ANSI/TIA System zarządzania ryzykiem wg ISO System zarządzania ciągłością działania wg ISO Zintegrowane systemy zarządzania 23 Skontaktuj się z nami - Zespół CIS chętnie pozostaje do Państwa dyspozycji w celu udzielenia informacji! W niezobowiązującej rozmowie wstępnej, konkretnej sytuacji w firmie, możliwym czasie i zakresie projektu będziemy obecni.

14 System zarządzania bezpieczeństwem informacji wg ISO Optymalizacja procesów bezpieczeństwa, ograniczenie ryzyka, zwiększenie wydajności, redukcja kosztów to zadania i cele krytyczne dla sukcesu Państwa organizacji. Można je osiągnąć o wiele bardziej skutecznie i trwale w oparciu o certyfikowane systemy zarządzania zgodne ze standardami ISO oraz ISO Certyfikacja tych systemów daje gwarancje skuteczniejszego zarządzania firmą, niż przy podejmowanych sporadycznie akcjach. Światowy użytkownik Do światowej czołówki firm posiadających certyfikat ISO należą takie znane marki jak: Siemens Information Systems, Kapsch BusinessCom, Raiffeisen Informatik, Telekom Austria oraz Selected Services. ISO chroni "rdzeń" firmy Liczba użytkowników normy ISO / IEC w zakresie bezpieczeństwa informacji rośnie w postępie geometrycznym. W roku 2010, ponad 7300 firm stosowało tą normę. Dotyczy to wszystkich sektorów gospodarki i firm różnej wielkości - od międzynarodowych korporacji do małych i średnich przedsiębiorstw. Organizacje, które przetwarzają poufne dane Klientów, Kontrahentów ale także związane z codziennym know-how i wiedzą, powinny rozważyć certyfikacje swojego systemu zarządzania bezpieczeństwem informacji. Sektor związany z wspomaganiem i temat specyficznych wymagań norm ISO serii jest ciągle rozwijany. Co do zawartości, ISO obejmuje nie tylko aspekty związane z technicznym aspektem bezpieczeństwa IT, ale również aspekty organizacyjne, personalne i fizyczne, w zakresie od świadomości ludzi w organizacji po ochronę przeciwpożarową. Bezpieczeństwo informacji zaczyna się na własnym biurku, a kończy na niezawodnym centrum obliczeniowym. Wartość biznesowa usług IT rośnie Certyfikacja na zgodność z normą ISO / IEC zwiększa również wartość biznesową prowadzonych w naszych organizacjach usług IT. w odpowiedzi na zapytania ofertowe / przetargi wobec klientów wobec władz publicznych w postępowaniu sądowym w przeglądach wewnętrznych Elementy sukcesu Struktura ISMS w zgodności z ISO Polityka bezpieczeństwa 2. Organizacja bezpieczeństwa 3. Klasyfikacja aktywów i ich ochrona 4. Bezpieczeństwo personelu Od wdrożenia do certyfikacji ISO dotyczy ustanowienia i dokumentowania SZBI. ISO zawiera informacje o ponad 130 możliwych do podjęcia środkach bezpieczeństwa (kontroli). Standard ISO umożliwia organizacjom o jakiejkolwiek wielkości i branży, uczynienie bezpieczeństwa informacji mierzalnym i weryfikowalnym, w ramach wewnętrznych auditów ważnych do celów samokontroli. Przegląd ISMS przeprowadzony przez niezależną organizację akredytowaną, jaką jak CIS, prowadzi do certyfikacji ISO zgodnie z zdefiniowanymi wymaganiami certyfikacji. Wyjątkowy na całym świecie Certyfikat ISO jest jedyną certyfikowaną normą dla bezpieczeństwa informacji w całym świecie. Certyfikat związany z ISO przynosi bezpośrednie korzyści.

15 15 5. Bezpieczeństwo fizyczne, środowisko zapewniające bezpieczeństwo 6. Komunikacja i zarządzanie operacyjne 7. Kontrola dostępu 8. Rozwój i utrzymanie systemów 9. Zarządzanie incydentami 10. Planowanie ciągłości biznesu 11. Zgodność - zapewnienie Certyfikacja systemu zarządzania bezpieczeństwem informacji na zgodność z ISO Procedura procesu certyfikacji bezpieczeństwa informacji wg. ISO / IEC i / lub Zarządzanie usługami IT wg. normy ISO / IEC jest podzielona na trzy fazy projektu. Procedura ta odnosi się także do zintegrowanych systemów zarządzania oraz ich audytowania. W momencie wdrożenia, sektor i temat szczegółowych wytycznych dla norm serii ISO w praktyce oferuje wsparcie. Informacja: Wstępna rozmowa z CIS dostarcza informacji na temat procesu certyfikacji. Etap ten jest następstwem rejestracji w CIS i rozpoczęcia procesu planowania projektu. CIS Audit certyfikacyjny: Na podstawie warunków wydania certyfikatu i praw do użytkowania organizacja otrzymuje certyfikat potwierdzający uzyskanie pozytywnej oceny zgodności funkcjonującego ISMS z wymaganiami normy. Certyfikat ważny jest przez trzy lata od jego wydania. Certyfikat CIS sprawia iż jakość ISMS jest widoczna dla klientów organizacji. informacji, a co mogę poprawić / doskonalić? Przegląd wstępny CIS, będąc w pełni dobrowolnym, da informację na temat faktycznego stanu i pokarze mocne i słabe strony systemu. W jego efekcie również określa się potencjał do doskonalenia w odniesieniu do szczegółowych obszarów systemu. Przegląd realizowany jest przez niezależnych auditorów i jest zalecany na etapie wdrażania w zakresie systemów zarządzania bezpieczeństwem informacji (ISMS). W celu dokonania analizy stanu faktycznego, konkretne ryzyko, które zależy od wielkości przedsiębiorstwa i jego branży, realizowane procesy oraz działania organizacyjne zostaną poddane ocenie i porównaniu do wymagań stawianych przez ISO / IEC W rezultacie, raport z badania będzie zawierał identyfikację mocnych i słabych stron, oraz potencjał poprawy. Przegląd obejmuje następujące etapy: Planowanie procesu audytu: etap ten gwarantuje ekonomikę działań Audyt: ocena ryzyka, mocnych i słabych organizacji Raport z audytu: sprawozdanie w detalach przedstawiające mocne i słabe strony organizacji, oraz wskazujące potencjał do doskonalenia. Dla firm znajdujących się w procesie certyfikacji w zgodności z ISO 27001, przegląd jest ważnym krokiem w drodze do uzyskania certyfikatu. Generalnie funkcję przeglądu należy rozpatrywać jako narzędzie dostarczające dane do benchmarkingu w zakresie jakości stosowanego systemu zarządzania bezpieczeństwem informacji. CIS Audit Nadzoru: Audit nadzoru, który prowadzony jest raz w roku, dostarcza dowodów na skuteczność ISMS, jak i również ciągłego doskonalenie. CIS Audit Recertyfikacyjny: Po upływie trzech lat certyfikat którego ważność wygasła, może ulec przedłużeniu. Regularna weryfikacja działań pozwala zilustrować poziom jakości systemu zarządzania usługami IT, oraz wskazuje potencjalne obszary do doskonalenia Na jakim poziomie jest wewnętrzne bezpieczeństwo informacji, a co mogę poprawić / doskonalić? Przegląd

16 16 System zarządzania usługami IT wg ISO Przegląd Zwiększenie wydajności, redukcja kosztów. Najwyższa jakość usług. ISO/IEC czyni to możliwym. Dla standaryzacji to pierwszy certyfikowany światowy standard przeznaczony do zarządzania usługami IT koncentrujący się na podnoszeniu jakości, zwiększaniu wydajności i redukcji kosztów. Międzynarodowy standard, który wywodzi się z BS 15000, opisuje zintegrowany zestaw procesów zarządzania w obszarze dostarczanie usług informatycznych. Jego zawartość sukcesywnie odwzorowuje wymagania ITIL (biblioteka infrastruktury IT). Światowy użytkownik Do światowej czołówki firm posiadających certyfikat ISO należą takie znane marki jak: Hewlett Packard Global Soft, Accenture, IBM China/Hong- Kong, Siemens Information Systems oraz Hitachi Electronics Serwis Fakty : Oszczędności do 48 % Szansa na oszczędność czasu i pieniędzy jest istotna. Według badań IDC, wdrożenie oprogramowania do zarządzania zgodnego z normą ISO pozwala firmom zaoszczędzić około 48% czasu pracy dla eliminowania błędów, 37% dla utrzymania infrastruktury sieciowej i 26% dzięki zmianom w zarządzaniu. Według przeprowadzonych badań Materna w zakresie zarządzania usługami IT w zgodności z ITIL w Niemczech i w Austrii, 53% ankietowanych wskazuje jako największą zaletę uzyskanie transparentności i odpowiedniej jakości oferowanych usług IT. Imponujące: 96% użytkowników ITIL poleca stosowanie wymagań innym organizacjom. prowadzi do ciągłego doskonalenia, a w efekcie do wzrostu jakości i efektywności usług. Cele i zadania oraz istotne wskaźniki takie jak "zadowolenie klienta" lub,,dostępność usług", są ustalone okresowo podczas opracowywania wskaźników w celu ich optymalizacji. Dzięki swojej elastyczności, standard ISO może być stosowany w organizacjach o różnej wielkości i w rożnych segmentach rynku. ISO umożliwia dostawcom i operatorom IT: projektowanie infrastruktury IT w sposób bardziej przejrzysty; zwrócić uwagę na słabe punkty procesów IT w organizacji; aktywować wsparcie na szczeblach zarządczych w organizacji dla zarządzania środkami infrastruktury IT; zidentyfikować efektywność procesów IT w wybranych dziedzinach. Ochrona inwestycji Ponadto, certyfikacja wg do ISO umożliwia ochronę inwestycji. Statystycznie potwierdzone - staje się oczywiste, że inwestycje w optymalizacji procesów bez ich ciągłego doskonalenia mogą przynieść tylko krótkotrwałe sukcesy. Jeżeli w zgodności z normą przeprowadzane są audity nadzorcze i recertyfikacyjne będzie jedno z narzędzi wspomagających ciągłe doskonalenie i zapobiegawcze dla krótkoterminowych działań. Przegląd wykonany przez niezależną stronę trzecią umożliwia Certyfikat jako przewaga konkurencyjna To właśnie tutaj zaczyna się ISO 20000, natomiast ITIL wyłącznie umożliwia certyfikację osób. Certyfikacja wg ISO jest możliwa dla osób (ISO Auditor, ISO Consultant), jak również dla samej organizacji lub częściowych jej obszarów. Tak więc przewaga firmy staje się widoczna. Jakość w zarządzaniu usługami IT staje się mierzalna Podobnie jak na wszystkich norm ISO, kluczowym elementem normy ISO / IEC jest model dla doskonalenia procesów w oparciu o metodykę PDCA (Plan-Do_Check _Act). Zastosowanie tej metodyki

17 17 również uwidocznienie niezgodności z wymaganiami i podjęcie działań korekcyjnych. Dzięki temu, ISO okazuje się być strategicznym elementem zarządzania organizacją. Ukierunkowanie na ISO i ISO Norma ISO obejmująca swym zakresem zarządzanie usługami IT jest postrzegana jako przydatne uzupełnienie dla systemu zarządzania bezpieczeństwem informacji w zgodności z ISO Podobna struktura norm tworzy efekt synergii i umożliwia modelowanie systemów w ramach zintegrowanego systemu zarządzania. Również w pełni możliwe jest zintegrowanie systemów zbudowanych wg norm ISO 2000 i ISO z systemami zarządzania jakością lub środowiskiem wg ISO 9001 i ISO Takie możliwości tworzą jeszcze jeden niebagatelny argument: poprzez zintegrowanie dokumentacji i prowadzenie zintegrowanych auditów, organizacja w sposób znaczny redukuje koszty. Certyfikacja w zgodności z norą ISO Treść normy ISO opracowana jest w formie dokumentu podzielonego na: Część 1 to wyspecyfikowane minimalne wymagania. Zaleca się tu również podejście oparte na zintegrowanych procesach w celu efektywnego świadczenia usług i zarządzanie nimi tak by spełniać wymagania Klienta w powiązaniu z biznesowym celem organizacji. Część 2 to kodeks postępowania dotyczący zarządzania usługami (Code of Practice for Service Management), który w swojej zawartości opiera się na procedurach ITIL. System zarządzania w oparciu o normę ISO jest ukierunkowany odpowiedzialność za zarządzanie, planowanie, kierowanie i nadzorowanie, a także na udokumentowanie w obszarach obowiązkowych. I tutaj również podobnie jak w innych normach serii ISO dla systemów zarządzania, ma zastosowanie ciągłe doskonalenie, monitorowanie i nadzorowanie celów i procesów. Zakres objęty normą ISO W zasadzie norma ISO 2000 zarządzanie usługami IT dedykowana jest dla organizacji świadczących usługi IT, ale poprzez ścisłe ukierunkowanie normy możliwym jest również jej zastosowanie w działach IT innych organizacji. Jedną z zalet normy jest jej przejrzystość, opierająca się na dwóch częściach jak wyżej opisano. Od wdrożenia do certyfikacji Ustanowienie procesów zgodnie z wymaganiami ISO Przeprowadzania weryfikacji Zgłoszenie do CIS-CERT o przeprowadzenie certyfikacji Wstępne rozmowy i planowanie procesu auditu Przeprowadzenie auditu wstępnego Przeprowadzenie auditu certyfikacyjnego Potwierdzenie certyfikatem zgodności funkcjonującego systemu z wymaganiami normy Regularna weryfikacja działań pozwala zilustrować poziom jakości systemu zarządzania usługami IT, oraz wskazuje potencjalne obszary do doskonalenia Na jakim poziomie jest wewnętrzne bezpieczeństwo informacji, a co mogę poprawić / doskonalić? Przegląd wstępny CIS, będąc w pełni dobrowolnym, da nam informację na temat faktycznego stanu i pokazuje mocne i słabe strony systemu. W jego efekcie również określa się potencjał do doskonalenia w odniesieniu do szczegółowych obszarów systemu. Przegląd realizowany jest przez niezależnych auditorów i jest zalecany na etapie wdrażania w zakresie systemów zarządzania bezpieczeństwem informacji (ISMS). W celu dokonania analizy stanu faktycznego, konkretne ryzyko, które zależy od wielkości przedsiębiorstwa i jego branży, realizowane procesy oraz działania organizacyjne zostaną poddane ocenie i porównaniu do wymagań stawianych przez ISO / IEC W rezultacie, raport z badania będzie zawierał identyfikację mocnych i słabych stron, oraz potencjał poprawy. Przegląd obejmuje następujące etapy: Planowanie procesu audytu: etap ten gwarantuje ekonomikę działań Audyt: ocena ryzyka, mocnych i słabych organizacji Raport z audytu: sprawozdanie w detalach przedstawiające mocne i słabe strony organizacji, oraz wskazujące potencjał do doskonalenia.

18 System zarządzania bezpieczeństwem centrów przetwarzania danych wg ANSI/TIA W ostatnim czasie w całej Europie wzrasta popyt na certyfikację centrów danych. Stale rozwijający się trend, w którym firmy coraz częściej korzystają z zewnętrznych (outsourcingowych) usług IT i wykorzystują cloud computing (,,chmur") do przechowywania danych, wymusza na dostawcach konieczność zapewnienia najwyższej jakości, skuteczności, wydajności i bezpieczeństwa ich centrów danych. Potwierdzeniem tego może być certyfikat wydany przez niezależną jednostkę certyfikacyjną. Obecnie zdobycie i utrzymanie klientów stanowi najważniejszy priorytet. W Ameryce certyfikacja centrów danych popularna stała się wraz z opublikowaniem normy ANSI/TIA 942 (American National Standards Institute/ Telecommunications Industry Association), czyli od roku 2005.Standard ANSI/TIA Standard dla infrastruktury telekomunikacyjnej w centrach danych - zawiera minimalne wymagania dla infrastruktury telekomunikacyjnej w potężnych i bezpiecznych centrach danych. Do momentu publikacji europejskiego standardu - European Data Centre Standard EN CIS wszelkie akredytowane działania certyfikacyjne dotyczące centrów danych przeprowadza na zgodność z amerykańską normą ANSI/TIA 942, której,,cechy szczególne" interpretowane są zgodnie z europejskimi standardami. Po publikacji normy EN wszystkie wydane przez CIS certyfikaty, będą aktualizowane z ANSI/TIA 942 do EN w trakcie audytów nadzorczych lub recertyfikacyjnych. korzystają z podstawowych elementów i kryteriów opisanych w standardzie sklasyfikowanych w punkcie,,lokalizacja centrum danych" wg czteropoziomowego systemu klasyfikacji. Od 2013, CIS prowadzi procesy certyfikacyjne nie tylko w zakresie systemów zarządzania ISO, ale także przeprowadza audity sprawdzające i certyfikujące dla lokalizacji centrów danych, zgodnie z kryteriami ustalonymi w amerykańskim standardzie ANSI/TIA-942- A Po publikacji standardu EN Urządzenia i infrastruktura centrów danych - kryteria auditowe zostaną krok po kroku dostosowane do tej europejskiej normy. Ponadto wszystkie dotychczas wszystkie wydane przez CIS certyfikaty, będą aktualizowane z ANSI/TIA 942 do EN w trakcie auditów nadzorczych lub recertyfikacyjnych. Obszar infrastrukturalny lokalizacji centrów danych oraz czteropoziomowy system jej klasyfikacji Podczas auditu certyfikacyjnego CIS rozpatruje cztery obszary infrastrukturalne:,,t" - Telekomunikacyjny: fizyczne sieci IT, elementy bierne,,e" - Elektryczny: dostawa i dystrybucja energii,,a" - Architektoniczny: architektura i bezpieczeństwa fizyczne,,m" - Mechaniczny: technika klimatyzacji, wentylacji i konstrukcji Standard ANSI/TIA 942 Pomimo stale rosnących potrzeb, do tej pory nie opublikowano normy, która w całości mogłaby być wykorzystywana do certyfikowania urządzeń i infrastruktury centrów danych. Oprócz licznych ogólnych norm i wymogów odnoszących się do części budynków, urządzeń i systemów, do certyfikacji centrów przetwarzania danych wykorzystywany jest również amerykański standard ANSI/TIA 942 (w obowiązującej od 2012 roku wersji,,a"). Obecnie jest to jedyny standard, wykorzystywany w skali międzynarodowej, zawierający ogólnodostępny katalog infrastruktury stanowiący podstawę do certyfikacji centrów danych. Uznane stowarzyszenia, jak i jednostki certyfikujące i badawcze,

19 19 Odniesienia kryteriów i wymagań jakościowych, zawartych ANSI/TIA 942, do innych standardów, koncentrują się głównie na obszarze Ameryki Północnej, dlatego też nie zawsze mogą być wykorzystane poza jej rejonem. W trakcie auditów CIS, najważniejsze wymagania normy ANSI/TIA 942 interpretuje w odniesieniu do norm europejskich i porównuje dowody, potwierdzające że lokalizacja centrum danych jest zgodna z wymaganiami, a okoliczności w których ta lokalizacja działa i cele jakie spełnia można sklasyfikować wg czteropoziomowego systemu klasyfikacji. Ogólna definicja czteropoziomowego systemu klasyfikacji zawartego w normie ANSI/TIA-942-A-2012 wygląda następująco: Poziom 1: Podstawy Poziom 3: Concurrent maintainability Poziom 4: Tolerancja błędu Poziom 2: Zbędne elementy Integracja z ISO i ISO Firmy, które posiadają już certyfikowany system zarządzania bezpieczeństwem informacji wg ISO lub system zarządzania usługami IT wg ISO i myślą o certyfikacji urządzeń i infrastruktury znajdującej się w centrach danych, mogą zastanawiać się nad możliwością integracji posiadanych systemów z normami: ANSI/TIA 942 i EN 50600, tj. standardami, które zawierają wymagania dotyczące centrów danych, ich jakości i infrastruktury. Część 1 standardu ANSI/TIA 942 zawiera dodatkowo elementy odnoszące się do analizy ryzyka biznesowego, a więc całkowity poziom ogólnej dostępności lokalizacji centra danych może zostać określony. Ponadto, firmy, które posiadają już doświadczenie i wypracowaną systematykę względem ISO mają przewagę nad firmami nie posiadającymi certyfikowanego sytemu zarządzania bezpieczeństwem informacji. Wynika to z faktu, iż w normie ISO pojawia się odniesienie do urządzeń i infrastruktury centrum danych, jednakże nie jest ono tak szczegółowe jak wytyczne zawarte w standardzie ANSI/TIA 942. Reasumując, integracja standardów ISO 27001, ISO 20000, ANSI/TIA 942 oraz EN jest możliwa i może w znacznym stopniu przyczynić się do obniżenia kosztów całego procesu certyfikacji. Stage review: Sprawdzenie zgodności systemu z wymaganiami ANSI/TIA 942 Czy wiesz na jakim poziomie są podjęte przez Twoją firmę działania mające na celu promowanie jakości i bezpieczeństwa Twojego centrum danych, bądź co można w nich jeszcze poprawić? Jeśli nie, CIS poleca przeprowadzenie oceny zgodności działań z amerykańskim standardem ANSI/TIA 942, tzw. Stage review. Ten rodzaj auditu pozwala uzyskać jasny obraz statusu zrealizowania stawianych przez standard wymagań i daje szczegółową wiedzę na temat silnych i słabych punktów systemu oraz możliwości jego poprawy. Stage review przeprowadzane jest przez niezależnych auditorów CIS i jest zalecane w fazie wdrażania standardu ANSI/TIA 942 lub EN W przypadku, gdy liczba podjętych działań jest zbyt niska lub zbyt wysoka, ich rentowność zostaje utracona. Dlatego też Stage review przeprowadzane przez CIS jest odpowiednie do obiektywnej oceny postępów w ramach danego projektu. W celu oceny stanu faktycznego, auditorzy CIS dokonują oceny stopnia spełnienia pojedynczych wymagań w zależności wybranego poziomu reitingu oraz sprawdzą czy są one zgodne z wymaganiami normy ANSI/TIA 942 lub EN W wyniku przeprowadzonego auditu weryfikującego utworzony zostaje raport, który uwzględnia wszystkie mocne i słabe strony systemu oraz wskazuje możliwości i szanse poprawy. Dla firm, które chcą przystąpić do procesu certyfikacji systemu na zgodność z ANSI/TIA 942 Stage review może okazać się kamieniem milowym na drodze do uzyskania certyfikatu. W ogólnym ujęciu, Stage review stanowi potężne narzędzie zapewniające doskonałą analizę porównawczą dla obecnego i oczekiwanego poziomu jakości i bezpieczeństwa w centrach przetwarzania danych.

20 20 System zarządzania ryzykiem wg ISO Często firmy ubezpieczone są tylko na wypadek wspólnych i znanych zagrożeń lub ryzyk, przez co spełniają minimalne wymagania prawne. Jednakże zazwyczaj przedsiębiorstwa nie biorą pod uwagę wielu innych potencjalnych zagrożeń lub ryzyk, które do tej pory nie były im znane. W celu ograniczenia skutków i usprawnienia procesów zarządzania ryzykiem w 2009 utworzona została norma ISO 31000:2009 dotycząca systemu zarządzania ryzykiem. Standard integruje zarządzanie ryzykiem we wszystkich działaniach biznesowych, które rozciągają się od ustanowienia strategii firmy aż do wdrożenia operacyjnego w poszczególnych etapach procesu. ISO 31000:2009 wprowadza perspektywę zagrożeń i szans zarówno w zarządzaniu strategicznym, jak i w wdrażaniu operacyjnym. Zarządzanie ryzykiem oznacza przewidywanie przypadkowych zagrożeń poprzez systematyczne podejście Dobrze ukierunkowane i systematyczne zapobieganie jest najlepszym sposobem na ochronę firmy przed szkodami wyrządzonymi przez nieprzewidziane zagrożenia oraz na zwiększenie możliwości osiągnięcia wyższych zysków W przypadku wczesnego wykrycia luk technicznych można wyeliminować zagrożenie, co przyniesie firmie wymierną korzyść Certyfikacja systemu zarządzania ryzykiem przeprowadzana jest przez wykwalifikowanych auditorów współpracujących z akredytowaną jednostkę certyfikującą ISO 31000:2009 pomaga przy wczesnym identyfikowaniu i ostrzeganiu o zagrożeniach Możliwa jest integracja ISO 31000:2009 z innymi systemami zarządzania funkcjonującymi w firmie takimi jak np. ISO 9001, ISO 27001, ISO itd. Wymagania dotyczące certyfikacji na zgodność z ISO Certyfikacja systemu zarządzania ryzykiem wg ISO prowadzona przez Quality Austria, odbywa się zgodnie z ustalonym, wraz z klientem, planem audytu. Auditorzy oceniają następujące wymagania: określenie zgodności systemu z wymaganiami normy ISO świadomość pracowników identyfikacja mocnych i słabych stron przedsiębiorstwa oraz możliwości doskonalenia identyfikacja szans i zagrożeń / ryzyk pokazanie alternatywnych metod i praktyk Proces certyfikacyjny Audit certyfikacyjny: Na podstawie,,warunków wydania certyfikatu i praw do użytkowania" organizacja otrzymuje certyfikat potwierdzający uzyskanie pozytywnej oceny zgodności funkcjonującego systemu zarządzania ryzykiem z wymaganiami normy ISO Certyfikat ważny jest przez trzy lata od jego wydania. Audit Nadzoru: Audit nadzoru, który prowadzony jest raz w roku, dostarcza dowodów na skuteczność systemu zarządzania ryzykiem, jak i również ciągłego doskonalenie. Audit Recertyfikacyjny: Po upływie trzech lat certyfikat którego ważność wygasła, może ulec przedłużeniu. Ocena systemu zarządzania ryzykiem wg ISO może być przeprowadzania w połączeniu z oceną systemu zarządzania jakością, systemu zarządzania środowiskowego czy audytami bezpieczeństwa lub może być prowadzona niezależnie.

21 21 Risk Scan zgodny z ISO Risk Scan prowadzony przez Quality Austria prowadzony jest wspólnie z najwyższym kierownictwem firmy w formie samooceny moderowanej przez doświadczonych auditorów. Risk Scan obejmuje kompletną analizę 10 obszarów ryzyka przeprowadzaną na podstawie 10 metod RCM i jest analizą firmy bazującą na podejściu holistycznym: Potencjalne ryzyko firmy analizowane jest na podstawie 10 metod RCM Na podstawie listy kontrolnej opierającej się na 10 metodach RCM, tworzona jest dla firmy,,krzywa podatności" wskazująca poziom zagrożenia w poszczególnych obszarach Risk Scan trwa 8 godzin. Wszystkie dokumenty i zapisy powstałe podczas Risk Scan są poufne i udostępniane wyłącznie klientowi. Risk Quick Scan zgodny z ISO Risk Quick Scan jest analizą 3 priorytetowych obszarów, wybranych przez klienta spośród 10 metod RCM. Wybrane obszary poddawane są kompletnemu przeglądowi, natomiast zagrożenia dla pozostałe 7 obszarów ryzyk definiowane są na podstawie 10 kluczowych pytań zadawanych dla każdego obszaru. Risk Quick Scan trwa 4 godziny. Wszystkie dokumenty i zapisy powstałe podczas Risk Quick Scan są poufne i udostępniane wyłącznie klientowi.

22 22 System zarządzania ciągłością działania wg ISO Zarządzanie ciągłością działania, czyli BCM (Business Continuity Management), to podejście do zarządzania organizacją w sposób pozwalający na utrzymanie wyznaczonego i akceptowanego poziomu dostarczania wyrobów lub usług w wypadku wystąpienia zakłóceń w jakiejkolwiek jej części. Zarządzanie ciągłością biznesu (BCM) jest procesem rozwoju i kierowania biznesem, ustanawiającym strategię dostosowawczą i ramy operacyjne, które: proaktywnie ulepszają odporność organizacji na zakłócenia jej zdolności osiągania kluczowych celów, zapewniają metody służące do sprawdzania i utrzymywania zdolności Organizacji do dostarczania jej kluczowych wyrobów i usług na uzgodnionym poziomie, w uzgodnionym czasie po wystąpieniu zdarzenia które zakłóciło normalną działalność Organizacji oraz dostarczają sprawdzonych możliwości, by sprostać zakłóceniom działalności oraz chronić reputację organizacji i jej markę. Nieprzerwane działanie w przypadku zakłóceń, czy to wielkiej katastrofy, czy małego incydentu, jest fundamentalnym wymogiem dla każdej organizacji. ISO powstało na bazie brytyjskiego standardu BS 25999, pierwszej na świecie normie zarządzania ciągłością działania (BCM) opracowana w celu zminimalizowania ryzyka takich zakłóceń. Norma ta ma na celu zagwarantowanie działania firmy w najbardziej wymagających i niespodziewanych sytuacjach w ten sposób ma chronić personel i reputację oraz podtrzymywać zdolność do dalszego działania i handlu. Stanowi ona podstawę dla zrozumienia, rozwoju i wdrożenia ciągłości działania w Państwa organizacji i daje pewność w relacjach z innymi firmami i z klientami. Korzyści wynikające z wdrożenia i certyfikowania systemu zarządzania ciągłością działań wg ISO 22301: redukcja do minimum wystąpienia zakłóceń w organizacji, zapewnienie możliwości odtworzenia zdolności organizacji do ponownego działania w określonym czasie i na ustalonym poziomie, w obliczu nieplanowanych zdarzeń, podniesienie klientów, inwestorów i udziałowców, stanowi o przewadze konkurencyjnej, ponieważ zapewnia zdolność do funkcjonowania wiarygodności firmy w oczach niezależnie od niekorzystnych czynników, dzięki odpowiednim procedurom pozwala skutecznie reagować na sytuacje kryzysowe, wizerunek firmy jako przygotowanej na nieprzewidziane zdarzenia i tym samym chroniącej swoich pracowników, klientów, inwestorów itp. przed nieprzewidzianymi zdarzeniami, Wymagania dotyczące certyfikacji na zgodność z ISO Certyfikacja systemu zarządzania ciągłością działania wg ISO prowadzona przez CIS-Certification & Information Security Services, odbywa się zgodnie z ustalonym, wraz z klientem, planem audytu. Auditorzy oceniają następujące wymagania i dobre praktyki określone przez normę ISO m.in. w zakresie: identyfikacji kluczowych czynników ryzyka, analizy potencjalnych skutków ich wystąpienia, opracowania i testowania planów awaryjnych. komunikacji, zasobów, wsparcia najwyższego kierownictwa itd. Proces certyfikacyjny CIS Audit certyfikacyjny: Na podstawie,,warunków wydania certyfikatu i praw do użytkowania" organizacja otrzymuje certyfikat potwierdzający uzyskanie pozytywnej oceny zgodności funkcjonującego systemu zarządzania ciągłością działania z wymaganiami normy ISO Certyfikat ważny jest przez trzy lata od jego wydania. Audit Nadzoru: Audit nadzoru, który prowadzony jest raz w roku, dostarcza dowodów na skuteczność systemu zarządzania ciągłością działania, jak i również ciągłego doskonalenie. Audit Recertyfikacyjny: Po upływie trzech lat certyfikat którego ważność wygasła, może ulec przedłużeniu.

23 24 Zintegrowane systemy - Zintegrowana certyfikacja To oszczędność nawet do 30%. Normy ISO doskonale wzajemnie się uzupełniają. Tendencja rynkowa zmierza w kierunku zintegrowanych systemów zarządzania, które łączą w sobie takie tematy jak bezpieczeństwo informacji, zarządzanie usługami IT, jakość lub środowisko w ramach w jeden system wspomagający prowadzenie biznesu. Nawet tak ogólne procesy jak zarządzanie strategiczne lub planowanie procesów - mogą być zintegrowane. Klienci będą mogli zaoszczędzić czas i pieniądze, nawet do 30% dzięki ujednoliconym procesom, przeglądom ISO 9001 jako podstawa systemów zarządzania dobrze wdrożonych daje możliwości zaoszczędzenia czasu: ponad 4200 firm w Austrii jest certyfikowanych na zgodność z ISO Dlatego najczęstsza wersja integracji będzie polegać na budowaniu systemu zarządzania w zgodności z ISO lub ISO na już istniejącym systemie zarządzania jakością. Zintegrowane systemy będą efektywne i skuteczne gdy oprzemy je na procesach, które już w organizacji funkcjonują i były doskonalone i optymalizowane. Stanowi to o dojrzałości organizacji i jej sytemu. CIS we współpracy z Quality Austria w ramach kompleksowej współpracy, oferuje efektywne audyty certyfikacyjne zintegrowanych systemów zarządzania. Efekt synergii uzyskany dzięki integracji systemu: Uproszczone nadzorowanie, - transparentność i uporządkowanie procedur systemu Zintegrowane audity - audity dla kilku systemów realizowane w jednym czasie oszczędzają czas personelu i kadry managerskiej organizacji Wspólna dokumentacja obejmująca wszystkie systemy zarządzania i procesy biznesowe Oszczędność czasu i pieniędzy -to fakt Audity w obszarze pojedynczego tematu wspiera organizację w początkowej fazie integracji W zintegrowanych systemach przeglądy zarządzania nie muszą być realizowane w zwiększonym czasie adekwatnie do ilości systemów. W zależności od firmy potrzebne jest tylko dodatkowo od 25% do 30% więcej czasu na każdy temat. Nie będzie również konieczne opracowanie nowych procesów i procedur kontroli wewnętrznej. Zamiast tego istniejące listy kontrolne mogą zostać rozszerzone poprzez dodanie dodatkowych aspektów. To samo odnosi się do procesu ciągłego doskonalenia, w którym nowe tematy zostaną zintegrowane. Na początku integracji największe korzyści można uzyskać poprzez realizowanie auditów dla poszczególnych procesów, obszarów, tematów czy tez problemów. Podczas tych auditów wskazane jest skupić się na jednym temacie, potencjale doskonalenia i możliwościach poprawy. Połączone audyty: efekt synergii wynikający z ogólnego celu Zintegrowane audyty zewnętrzne są możliwe do realizacji i zalecane przez CIS jeśli podsystemy zostały zintegrowane. Zintegrowane audyty są interesujące przede wszystkim dla organizacj, ponieważ audytorzy wykwalifikowani w kilku standardach będą mogli uzyskać wgląd do całego systemu i będą mogli pokazać możliwości jego optymalizacji. Jednym z praktycznych przykładów jest:,,zarządzanie incydentami. Obszar ten został objęty normą ISO i został ustalony ponownie przy wdrażaniu ISO Dzięki połączonym audytom, można uniknąć powielenia pracy. Standardy bezpieczeństwa informacji (ISO 27001), Zarządzanie usługami IT (ISO 20000), Zarządzanie jakością (ISO 9001) i Zarządzanie Środowiskowe (ISO 14000) mają podobną strukturę i zawierają te same wymagania, w wielu aspektach: Odpowiedzialność od kadry zarządzającej do personelu kierowniczego średniego szczebla Usystematyzowana struktura dokumentacji Dążenie do ciągłego doskonalenia Zgodność z wymaganiami Utrzymanie nadzorowanie operacyjne systemów

24 24 Szkolenia Strona Kontrola Bezpieczeństwa Informacji wynikająca z Krajowych Ram Introperacyjności 25 Audyt zgodności wg PN-ISO/IEC 27001: Manager Bezpieczeństwa Informacji wg ISO szkolenie akredytowane 27 Auditor Bezpieczeństwa Informacji wg ISO szkolenie akredytowane 28 Skuteczny system bezpieczeństwa 29 Zarządzanie usługami w obrębie IT na podstawie ISO Ochrona danych osobowych w świetle zmieniających się przepisów 31 Zarządzanie ciągłością działania BCM na podstawie ISO Pełnomocnik systemu zarządzania ciągłością działania wg ISO szkolenie akredytowane 32 Pełnomocnik systemu zarządzania ryzykiem wg ISO szkolenie akredytowane 32 Zarządzanie ryzykiem w procesach związanych z bezpieczeństwem informacji na podstawie ISO System bezpieczeństwa informacji w ochronie zdrowia zgodny z wymaganiami ISO 27799: Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie na podstawie ISO SZKOLENIA IN HOUSE Dlaczego nie przeprowadzać szkoleń u siebie, we własnej firmie? CIS-CERT wychodząc naprzeciw oczekiwaniom Klientów przeprowadza wszystkie wyżej wymienione szkolenia zarówno w formie,,otwartej", jak i,,zamkniętej". Cena szkoleń zamkniętych ustalana jest indywidualnie dla każdego Klienta. Więcej szczegółów na temat wybranego szkolenia mogą Państwo uzyskać pisząc na adres: office.pl@cis-cert.com

25 Kontrola bezpieczeństwa informacji wynikająca z Krajowych Ram Interoperacyjności 25 Cel szkolenia Przygotowanie uczestników szkolenia do rzetelnej oceny mechanizmów bezpieczeństwa zgodnie z minimalnymi wymaganiami dla systemów teleinformatycznych zawartymi w Rozporządzeniu Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych z dnia 12 kwietnia 2012r. (Dz. U. nr 0, poz. 526) oraz w Ustawie o ochronie danych osobowych. Odbiorcy szkolenia Audytorzy wewnętrzni i pracownicy działu kontroli Administratorzy Bezpieczeństwa Informacji (ABI) Informatycy, Administratorzy sieci Kadra zarządzająca Osoby odpowiedzialne Zakres merytoryczny szkolenia Identyfikacja i interpretacja wymagań prawnych w zakresie bezpieczeństwa informacji - Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych z dnia 12 kwietnia 2012r. Praktyczne podejście do kontroli systemów informacyjnych. Analiza obecnych IT zagrożeń i ich konsekwencji w stosunku do systemów informacyjnych Wsparcie dla audytorów systemów zarządzania bezpieczeństwem informacji: standardy i normy - najlepsze praktyki z zakresu zarządzania bezpieczeństwem informacji. normy i standardy dotyczące zapewnienia bezpieczeństwa systemów informatycznych Wykorzystanie analizy ryzyka w podejściu do audytu bezpieczeństwa IT. metody porównywania wyników analizy i przetwarzania informacji. Weryfikacja celów zabezpieczeń i zabezpieczeń względem poszczególnych obszarów normy Identyfikacja i interpretacja wymagań prawnych w zakresie minimalnych wymagań dot. systemów informatycznych służących do przetwarzania danych osobowych Wprowadzenie do kontroli systemów informacyjnych oraz najlepszych praktyk z zakresu bezpieczeństwa informacji. Analiza potencjalnych zagrożeń i skutków w obszarze IT Praktyczne zasady zarządzania bezpieczeństwem informacji: organizacja bezpieczeństwa Outsourcing zarządzanie aktywami i aspekty legalności Praktyczne zasady zarządzania bezpieczeństwem informacji. Weryfikacja celów i stosowanych zabezpieczeń w obszarach: bezpieczeństwo fizyczne i środowiskowe zarządzanie systemami i sieciami zarządzanie kontrolą dostępu wdrażanie systemów informacyjnych odtwarzanie systemów informatycznych po awarii Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia styczeń Mikołów 790,- 7-8 maj Poznań 790,- 3-4 sierpień Wrocław 790, listopad Rzeszów 790,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Zaświadczenie o uczestnictwie w szkoleniu.

26 26 Audit zgodności wg normy PN-ISO/IEC 27001:2013 Cel szkolenia Uświadomienie i przybliżenie uczestnikom Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z wymaganiami normy PN-ISO/IEC 27001:2013. Zdobycie wiedzy na temat auditowania powyższego systemu, postępowania z ryzykiem w bezpieczeństwie informacji, oraz umiejętność budowania odpowiednich relacji z audytowanym. Przekazanie wiedzy dotyczącej planowania i samodzielnego prowadzenia auditów systemów zarządzania bezpieczeństwem informacji oraz dokumentowania działań auditowych a także zapoznanie się z najczęściej popełnianymi przez jednostki administracyjne błędami przy wdrażaniu Systemu Zarządzania Bezpieczeństwem Informacji. Odbiorcy szkolenia Osoby odpowiedzialne za wdrażanie bezpieczeństwa informacji Wyższa i średnia kadra kierownicza, a w szczególności osoby odpowiedzialne za bezpieczeństwo informacji, w tym pełnomocnicy ds. ochrony danych osobowych, administratorzy danych osobowych (ABI), oficerowie bezpieczeństwa Auditorzy, którzy chcę zdobyć podstawy wiedzy z zakresu audytu Systemu Zarządzania Bezpieczeństwem Informacji Pracownicy odpowiedzialni za kontakty z kluczowymi klientami, kontrahentami i partnerami biznesowymi Zakres merytoryczny szkolenia Wstęp do Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnego z PN-ISO/IEC 27001:2013 terminologia elementy systemu interpretacja i analiza wymagań systemu Rodzina norm ISO 2700x System Zarządzania Bezpieczeństwem Informacji Postępowanie z ryzykiem w podejściu procesowym Projektowanie, wdrażanie i certyfikacja systemu bezpieczeństwa informacji Analiza zabezpieczeń Interpretacje zapisów Załącznika Normatywnego A normy PN-ISO/IEC Praktyczne podejście do auditu bezpieczeństwa informacji Przegląd środków nadzoru nad systemem zgodnym z ISO Analiza zabezpieczeń Interpretacja zapisów załącznika A normy PN-ISO/IEC 27001:2013 Interpretacja zapisów załącznika A normy PN-ISO/IEC 27001: ciąg dalszy Narzędzia wspomagające prace auditora Dokumentowanie i raportowanie auditu, listy kontrolne. Ćwiczenia Test sprawdzający Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia 9-10 luty Mikołów 850, czerwiec Poznań 850,- 7-8 wrzesień Wrocław 850, grudzień Rzeszów 850,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Certyfikat,,Auditora wewnętrznego systemu zarządzania bezpieczeństwem informacji".

27 Manager Bezpieczeństwa Informacji wg ISO szkolenie akredytowane 27 Cel szkolenia Po zakończonym szkoleniu uczestnicy będą znać procesy i wymagania związane z realizacją norm ISO i ISO w przedsiębiorstwie i ich praktycznym zastosowaniem. Odbiorcy szkolenia Osoby posiadające podstawową wiedzę z zakresu technologii informacyjnych i zagadnień informacyjnych. Kadra kierownicza, a w szczególności osoby odpowiedzialne za bezpieczeństwo informacji, w tym pełnomocnicy ds. ochrony danych osobowych, administratorzy danych osobowych (ABI), oficerowie bezpieczeństwa. Program szkolenia MODUŁ I - NORMY ISO / ISO Wprowadzenie do systemu SZBI Cel i zakres systemu wg ISO Cele realizacji źródeł normatywnych wymagań bezpieczeństwa Wytyczne wdrożenia wg ISO Dokumentacja systemu zarządzania bezpieczeństwem informacji Cel: Po zakończeniu Modułu I uczestnicy będą znać wymagania norm ISO/IEC i ISO/IEC w zakresie ich praktycznego zastosowania w przedsiębiorstwie. Uczestnicy będą posiadać podstawową wiedzę, która umożliwi im przystąpienie kolejnych modułów kursu przygotowujących do pełnienia roli Managera/Pełnomocnika Bezpieczeństwa Informacji. MODUŁ III - PODSTAWY PRAWA Cel: Ochrona i bezpieczeństwo danych Dokumentacja systemowa: Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Odpowiedzialność z tytułu naruszenia bezpieczeństwa Uczestnicy po ukończeniu Modułu III znają przepisy związane z bezpieczeństwem informacji i mogą samodzielnie stosować najważniejsze zasady w przedsiębiorstwie. Posiadają również podstawowe umiejętności umożliwiające im wyznaczanie odpowiednich osób, które będą pełnić funkcję konsultantów prawnych. Czas trwania szkolenia 4 dni / 32 godziny Termin, miejsce i cena szkolenia styczeń Mikołów 3 199, kwiecień Warszawa 3 199,- 6-9 lipiec Poznań 3 199, październik Lublin 3 199,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Certyfikat Po zakończeniu szkolenia i uzyskaniu pozytywnego wyniku egzaminu uczestnicy otrzymują akredytowany certyfikat,,managera Bezpieczeństwa Informacji". MODUŁ II - PODSTAWY PSYCHOLOGII Cel: Uczestnicy po ukończeniu modułu II będą potrafili skutecznie osiągać cele przedsiębiorstwa poprzez wyeliminowanie strat spowodowanych konfliktami na poziomie relacyjnym. Dowiedzą się również jak tworzyć, zarządzać i motywować zespoły projektowe.

28 Auditor Bezpieczeństwa Informacji wg ISO szkolenie akredytowane 28 Cel i odbiorcy szkolenia Szkolenie Auditora Bezpieczeństwa informacji jest idealnym uzupełnieniem szkolenia Managera Bezpieczeństwa Informacji. Korzyści z ukończenia tego szkolenia można podzielić na dwie grupy: Jako Auditorzy, Uczestnicy szkolenia mogą przeprowadzać audity wewnętrzne oraz przygotować przedsiębiorstwo, przy użyciu podczas kursu metod, do auditu zewnętrznego. Uczestnicy po uzyskaniu uprawnień Auditora stają się,,najlepszym przykładem: dla Systemu Zarządzania Bezpieczeństwem Informacji w ich przedsiębiorstwie. Będą mogli również recenzować/sprawdzać wewnętrzny system firmy pod względem jego zgodności z normą oraz opracowywać możliwości jego poprawy aby osiągnąć najwyższy poziom bezpieczeństwa wg ISO/IEC Uczestnicy tego szkolenia mogą ubiegać się o uzyskanie powołania na Auditora tzw. 3-strony oraz są doskonale przygotowani do przeprowadzania kompletnych auditów z zakresu Bezpieczeństwa Informacji. Warunki udziału w szkoleniu Uczestnik posiadać ważny certyfikat Managera Bezpieczeństwa Informacji, znajomość terminologii IT (technologii informacyjnych) i podstaw technicznych IT (sieć, systemy operacyjne, bazy danych, zasady rozwoju oprogramowania itd. Uczestnik nie posiadający wymaganego doświadczenia zawodowego po pozytywnym zakończeniu szkolenia otrzyma certyfikat:,,information Security Auditor Candidate. Uczestnik posiadający taki certyfikat po zdobyciu odpowiedniego doświadczenia zawodowego może ubiegać się o wydanie mu przez jednostkę CIS Certification & Information Security Services, certyfikatu,,information Security Auditor. Wydanie takiego certyfikatu jest bezpłatne. W celu ewidencji praktyki, koniecznym jest dostarczenie dowodów na przeprowadzenie co najmniej czterech kompletnych audytów wewnętrznych lub,,tzw. Drugiej Strony systemów odnoszących się do zarządzania bezpieczeństwem informacji, w tym co najmniej 20 dni audytowych (w tym przygotowywanie audytu, sporządzanie raportu audytu). Program szkolenia Test wstępny MODUŁ I - PODSTAWY PSYCHOLOGII IS AUDITORA Cel: Po zakończeniu Modułu I Uczestnicy będą posiadali wiedzę z zakresu praktycznego myślenia, kompetencji Auditora i zakresu jego działać oraz podstawowych zasad komunikacji przedstawionych zarówno w sposób teoretyczny, jak i praktyczny. MODUŁ II - TECHNIKI AUDITOWANIA Cel: Uczestnicy po ukończeniu modułu II będą posiadać wiedzę z zakresu planowania i przeprowadzania auditów wewnętrznych i zewnętrznych, analizowania ich wyników oraz identyfikacji i oceny słabych punktów i możliwości ich poprawy. Test końcowy Czas trwania szkolenia 3 dni / 24 godziny Termin, miejsce i cena szkolenia 3-5 marzec Mikołów 2 399, czerwiec Warszawa 2 399, wrzesień Poznań 2 399, grudzień Lublin 2 399,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Po zakończeniu szkolenia i uzyskaniu pozytywnego wyniku egzaminu, Uczestnicy otrzymują akredytowany certyfikat,,cis - Information Security Auditor.

29 29 Skuteczny system bezpieczeństwa Cel szkolenia Przekazanie uczestnikom informacji na temat dostępnych na rynku rozwiązań technicznych i proceduralnych w dziedzinie bezpieczeństwa obiektów sieci handlowych. Odbiorcy szkolenia Kadra zarządzająca Osoby odpowiedzialne za zarządzanie ryzykiem operacyjnym Osoby odpowiedzialne za wdrażanie regulacji w obszarze bezpieczeństwa Administratorzy obiektów Osoby odpowiedzialne za bezpieczeństwo fizyczne i współpracę z firmami zewnętrznymi w zakresie ochrony obiektów Zakres merytoryczny szkolenia Ryzyko operacyjne w odniesieniu do obiektów sieci retail Czym jest ryzyko operacyjne? Jaki wpływ na prowadzoną działalność ma ryzyko operacyjne? W jaki sposób można ograniczać ryzyko operacyjne w przedsiębiorstwie? Budowanie Skutecznego Systemu Bezpieczeństwa Z jakich elementów składa się Skuteczny System Bezpieczeństwa? Na czym polega budowa Skutecznego Systemu Bezpieczeństwa? Jakie korzyści może nieść ze sobą Skuteczny System Bezpieczeństwa? Korzystanie z usług koncesjonowanych agencji ochrony Na podstawie jakich przepisów funkcjonują w Polsce agencje ochrony? Gdzie szukać profesjonalnych Dostawców usług ochrony osób i mienia? Jak negocjować warunki umowy i jakich błędów unikać podczas zawierania umów? Współpraca z policją w obliczu zagrożeń występujących w sieciach retail Jakie zadania realizują policjanci w stosunku do przedsiębiorców? Kiedy dany czyn jest kwalifikowany jako wykroczenie, a kiedy jako przestępstwo? Gdzie i jak składać zawiadomienia o popełnieniu wykroczenia, albo przestępstwa? Audyt zewnętrzny sposób na poprawę poziomu bezpieczeństwa. Jak rozwiązywać problemy dotyczące bezpieczeństwa? Dlaczego korzystanie z usług audytorów zewnętrznych jest opłacalne? Jak weryfikować jakość usług świadczonych przez audytorów zewnętrznych? Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia luty Mikołów 950, czerwiec Warszawa 950, sierpień Kraków 950,- 2-3 grudzień Lublin 950,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT Dokument potwierdzający Zaświadczenie o uczestnictwie w szkoleniu.

30 Zarządzanie usługami IT w obrębie IT na podstawie ISO Cel szkolenia Otrzymanie specjalistycznej wiedzy z zakresu zarządzania usługami IT zgodnie z wymaganiami ISO Odbiorcy szkolenia Osoby odpowiedzialne za kierowanie działami IT. Kierownictwo projektów IT oraz inne osoby związane z budową modelu usługowego. Audytorzy wewnętrzni lub osoby, które chcą zajmować się audytem IT. Właściciele procesów związanych z IT, którzy chcieliby poznać wymagania norm w zakresie ich procesów. Pracownicy IT zaangażowani w funkcjonowanie modelu usługowego. Pracownicy zaangażowani w działania utrzymania Systemów Zarządzania (ISO 9001, ISO 27001). Wyższa i średnia klasa kierownicza, a w szczególności osoby, które widzą swoją przyszłość w usprawnianiu funkcjonowania działów IT. Zasady wdrażania zaprojektowanych rozwiązań Systemu i budowa świadomości usługowej w organizacji Nadzór nad funkcjonowaniem Systemu Zarządzania Usługami oraz raportowanie. Integracja Systemu Zarządzania Usługami z innymi systemami zarządzania w organizacji. Proces certyfikacji w obszarze zarządzania usługami IT. Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia marzec Warszawa 850,- 8-9 październik Kraków 850,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Zaświadczenie o uczestnictwie w szkoleniu Zakres merytoryczny szkolenia Wprowadzenie do zarządzania usługami IT i międzynarodowych norm ISO związanych z IT. ISO interpretacja wymagań normy. Planowanie i wdrażanie zarządzania usługami. Planowanie i wdrażanie nowych lub zmienionych usług. Procesy związane z dostarczaniem usług. Zarządzanie poziomem usług. Procesy zarządzania relacjami biznesowymi i poddostawcami. Procesy rozwiązań w aspekcie incydentów i problemów. Produkty projektu budowania Systemu Zarządzania Usługami. Zasady dokumentowania Systemu Zarządzania Usługami.

31 31 Ochrona danych osobowych w świetle zmieniających się przepisów Zarządzanie ciągłością działania BCM na podstawie ISO Cel szkolenia Podniesienie świadomości w zakresie ochrony danych osobowych. Zdobycie umiejętności interpretacji prawa krajowego i europejskiego. Odbiorcy szkolenia Osoby, które przetwarzają dane w firmie. Pracownicy HR. Administratorzy Bezpieczeństwa Informacji. Zakres merytoryczny szkolenia Podstawy prawne ochrony danych osobowych. terminologia i definicje. Zasady przetwarzania, udostępniania i powierzania danych osobowych. Dane wrażliwe. Generalny Inspektor Ochrony Danych Osobowych. Administrator danych oraz Bezpieczeństwa Informacji. Dokumentacja danych osobowych. Konsekwencje wycieku danych. Przepisy karne. Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia kwiecień Mikołów 790, wrzesień Warszawa 790,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Zaświadczenie o uczestnictwie w szkoleniu Cel szkolenia Zrozumienie zasad wspomagających funkcjonowanie przedsiębiorstwa i działania w ochronie przed potencjalnie negatywnymi skutkami biznesowymi sytuacji kryzysowych. Określenie, w jakich obszarach BCMS może zminimalizować wpływ negatywnych i nieprzewidzianych zdarzeń. Zapoznanie z wymaganiami normy ISO oraz pojęciem Systemu Zarządzania Ciągłością Działania. Zbudowanie wiedzy o ciągłości działania. Odbiorcy szkolenia Osoby odpowiedzialne za strategię firmy. Osoby odpowiedzialne za ryzyko operacyjne firmy. Managerowie odpowiedzialni za wdrożenie i nadzór nad systemem BCM. Audytorzy zarządzania ciągłością działania. Osoby odpowiedzialne za bezpieczeństwo informacji. Zakres merytoryczny szkolenia Wprowadzenie do zarządzania ciągłością działania (BCM). Zrozumienie zasad funkcjonowania organizacji. Określenie strategii przetrwania. Wymagania systemu BCMS. Opracowanie i wdrożenie reakcji na nieprzewidziane zdarzenia. Aktualizacja i przegląd planów. Czas trwania szkolenia 2 dni / 16 godzin Termin / Miejsce / Cena szkolenia luty Mikołów 850, maj Poznań 850, lipiec Warszawa 850,- 2-3 listopad Lublin 850,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu

32 Pełnomocnik systemu zarządzania ciągłością działania - szkolenie akredytowane Pełnomocnik systemu zarządzania ryzykiem - szkolenie akredytowane 32 Cel szkolenia Uczestnicy po zakończonym szkoleniu będą potrafili wdrażać wymagania standardu ISO w organizacji, realizować zadania Pełnomocnika w oparciu o techniki zarządzania i dbać o doskonalenie systemu. Odbiorcy szkolenia Menadżerowie operacyjni, wnoszący istotny wkład do bezpieczeństwa korporacyjnego Osoby chcące kształcić w zakresie zarządzania ciągłością działania Zakres merytoryczny szkolenia Podstawy BCM Przegląd ustawowych warunków ramowych Przegląd norm: ISO 28000, ONR 49000, ISO 31000, ISO 31010, ÖNORM S 2400ff, ONR Elementy systemu BCM / CSM Standardy w zakresie BCM / CSM Integracja z istniejącymi systemami zarządzania Wskazówki od praktyki, przykłady najlepszych praktyk Specyficzne dla przemysłu przetwórstwa Praca w grupach Ćwiczenia Test sprawdzający Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia kwiecień Mikołów 1 450,- 4 5 listopad Warszawa 1 450,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Akredytowany certyfikat,,pełnomocnika ds. zarządzania ciągłością działania. Cel szkolenia Uczestnicy po zakończonym szkoleniu będą potrafili wdrażać wymagania standardu ISO w organizacji, realizować zadania Pełnomocnika w oparciu o techniki zarządzania i dbać o doskonalenie systemu. Odbiorcy szkolenia Menadżerowie operacyjni, wnoszący istotny wkład do zarządzania ryzykiem w organizacji Osoby chcące kształcić w zakresie zarządzania ryzykiem. Zakres merytoryczny szkolenia Podstawy zarządzania ryzykiem Przegląd ram prawnych i standardów Proces zarządzania ryzykiem Metody analizy ryzyka i oceny ryzyka Branżowe przetwarzanie wybranych kategorii ryzyka Projektowanie i wykorzystanie narzędzi analizy ryzyka, oceny ryzyka i kontroli Organizacja wewnętrzna i zadania Zarządzania ryzykiem w systemach zarządzania Ustanowienie systemu zarządzania ryzykiem Informacyjne systemy zarządzania ryzykiem Kryzys jak się na niego przygotować i jak w nim działać Matrix ryzyko Ćwiczenia Test sprawdzający Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia 9 10 marzec Mikołów 1 450, październik Warszawa 1 450,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Akredytowany certyfikat,,pełnomocnika ds. zarządzania ryzykiem.

33 Zarządzanie ryzykiem w procesach związanych z bezpieczeństwem informacji System bezpieczeństwa informacji w ochronie zdrowia zgodny z wymaganiami ISO 27799: Cel szkolenia Zapoznanie uczestników z opracowywaniem i wdrażaniem procesu zarządzania ryzykiem w oparciu o ISO Odbiorcy szkolenia Osoby odpowiedzialne za strategię firmy Osoby odpowiedzialne za ryzyko operacyjne firmy Menedżerowie odpowiedzialni za proces analizy ryzyka Audytorzy wewnętrzni Osoby odpowiedzialne za bezpieczeństwo informacji i procesy związane z ciągłością działania Zakres merytoryczny szkolenia Wprowadzenie do programu zarządzania ryzykiem w organizacji Pojęcia i definicje odnoszące się do zarządzania ryzykiem Standardy, ramy i metodologia zarządzania ryzykiem Proces identyfikacji i analizy ryzyka Szacowanie ryzyka Konsekwencje akceptacji ryzyka a aspekty związane z bezpieczeństwem informacji Zarządzanie ryzykiem rezydualnym Proces informowania o ryzyku Monitorowanie i przegląd ryzyka Narzędzia oceny ryzyka Wsparcie zarządzania ryzykiem poprzez normę Wdrożenie i certyfikacja systemu zarządzania ryzykiem zgodnym z ISO27001 Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia marzec Mikołów 850, listopad Kraków 850,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Cel szkolenia Zdobycie wiedzy na temat wdrażaniu Systemu Zarządzania Bezpieczeństwem Informacji wynikającego z dodatkowych wytycznych ISO Odbiorcy szkolenia Osoby odpowiedzialne za wdrażanie bezpieczeństwa informacji. kadra kierownicza, a w szczególności osoby odpowiedzialne za bezpieczeństwo informacji, w tym pełnomocnicy ds. ochrony danych osobowych, administratorzy danych osobowych (ABI), oficerowie bezpieczeństwa. Audytorzy wewnętrzni Zakres merytoryczny szkolenia Wprowadzenie do Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) zgodnego z PN-ISO/IEC względem specyfiki pracy służbie zdrowia Krytyczność przetwarzanych danych w środowisku ochrony zdrowia System Zarządzania Bezpieczeństwem Informacji Postępowanie z ryzykiem w podejściu procesowym Projektowanie, wdrażanie i certyfikacja systemu bezpieczeństwa informacji Analiza zabezpieczeń Interpretacje zapisów Załącznika Normatywnego A normy PN-ISO/IEC Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia maj Mikołów 850, październik Warszawa 850,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Zaświadczenie o uczestnictwie w szkoleniu. Dokument potwierdzający Zaświadczenie o uczestnictwie w szkoleniu.

34 Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie na podstawie ISO Cel szkolenia Zrozumienie zasad odtwarzania systemów IT po awarii. Określenie minimalnego wpływu negatywnych i nieprzewidzianych zdarzeń oraz szczegółowych planów odtwarzania systemów. Zapoznanie z wymaganiami normy ISO 2476 oraz rozbudowanie wiedzy dotyczącej ciągłości działania o tematykę odtwarzania systemów po awarii. Odbiorcy szkolenia Osoby odpowiedzialne za strategię firmy Osoby odpowiedzialne za ryzyko operacyjne Managerowie odpowiedzialni za wdrożenie i nadzór nas systemem BCM Audytorzy zarządzania ciągłością działania Osoby odpowiedzialne za bezpieczeństwo informacji Zakres merytoryczny szkolenia wiedza i doświadczenie kontrola dostępu logicznego gotowość operacyjna i dotycząca urządzeń teleinformatycznych zarządzanie usługami plan reagowania kryzysowego Ciągłe doskonalenie Czas trwania szkolenia 2 dni / 16 godzin Termin, miejsce i cena szkolenia wrzesień Warszawa 850,- Do podanych cen netto należy doliczyć obowiązujący 23% podatek VAT. Dokument potwierdzający Zaświadczenie o uczestnictwie w szkoleniu. Usługi odtworzenia techniki teleinformatycznej po katastrofie zarządzanie aktywami zarządzanie współpracą z dostawcami uzgodnienia dotyczące zleceń zewnętrznych bezpieczeństwo informacji aktywacja i dezaktywacja planu odtworzenia po katastrofie szkolenia i kształcenie zawodowe personelu dokumentacja Obiekty związane z usługami odtworzenia techniki teleinformatycznej po katastrofie lokalizacja miejsc odtworzenia po katastrofie środki kontroli dostępu fizycznego bezpieczeństwo obiektów obszary dedykowane środki zabezpieczenia środowiskowe zabezpieczenia techniczne centrum zarządzania kryzysowego obiekty o ograniczonym dostępie zaplecze pomocnicze niezwiązane bezpośrednio z odtwarzaniem po katastrofie cykl życia obiektów i urządzeń pomocniczych Funkcje zapewniane przez zewnętrznego dostawcę usług przegląd stanu odtworzenia po katastrofie przez organizację wymagania dotyczące obiektów

35 34 Nr ref. Tematyka szkolenia Data Miejsce Cena Czas trwania styczeń Mikołów CIS_I1 Kontrola Bezpieczeństwa Informacji wynikająca z Krajowych Ram Interoperacyjności 7-8 maj Poznań 3-4 sierpień Wrocław 790,- 2 dni / 16 h listopad Rzeszów 9-10 luty Mikołów CIS_I2 Audyt zgodności wg normy PN-ISO/IEC 27001: czerwiec Poznań 7-8 wrzesień Wrocław 850,- 2 dni / 16 h grudzień Rzeszów styczeń Mikołów CIS_I3 Manager Bezpieczeństwa Informacji - szkolenie akredytowane kwiecień Warszawa 6-9 lipiec Poznań 3 199,- 4 dni / 32 h październik Lublin 3-5 marzec Mikołów CIS_I4 Auditor Bezpieczeństwa Informacji - szkolenie akredytowane czerwiec Warszawa wrzesień Poznań 2 399,- 3 dni / 24 h grudzień Lublin luty Mikołów CIS_I5 Skuteczny system bezpieczeństwa czerwiec Warszawa sierpień Kraków 950,- 2 dni / 16 h 2-3 grudzień Lublin CIS_I6 Zarządzanie usługami w obrębie IT na podstawie ISO marzec Warszawa 8-9 październik Kraków 850,- 2 dni / 16 h CIS_I7 Ochrona danych osobowych w świetle zmieniających się przepisów kwiecień Mikołów kwiecień Mikołów 790,- 2 dni / 16 h luty Mikołów CIS_I8 Zarządzanie ciągłością działania BCM na podstawie ISO maj Poznań lipiec Warszawa 850,- 2 dni / 16 h 2-3 listopad Lublin CIS_I9 Pełnomocnik systemu zarządzania ciągłością działania wg ISO szkolenie akredytowane kwiecień Mikołów 4-5 listopad Warszawa 1 450,- 2 dni / 16 h CIS_I10 Pełnomocnik systemu zarządzania ryzykiem wg ISO szkolenie akredytowane 9-10 marzec Mikołów październik Warszawa 1 450,- 2 dni / 16 h CIS_I11 Zarządzanie ryzykiem w procesach związanych z bezpieczeństwem informacji na podstawie ISO marzec Mikołów listopad Kraków 850,- 2 dni / 16 h CIS_I12 System bezpieczeństwa informacji w ochronie zdrowia zgodny z wymaganiami ISO 27799: maj Mikołów październik Warszawa 850,- 2 dni / 16 h CIS_I13 Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie na podstawie ISO wrzesień Warszawa 850,- 2 dni / 16 h

36 36 Certyfikaty European Organization for Quality (EOQ) European Organization for Quality jest niezależnym, służącym dobru powszechnemu, ustanowionym przez belgijskie prawo związkiem. EOQ rozumiane jest jako europejska, interdyscyplinarna organizacja, starająca się o skuteczne doskonalenie w temacie zarządzania jakością poprzez zastosowanie/użycie europejskiej koordynacji i zharmonizowanie certyfikacji kompetencji. Właśnie dla międzynarodowych przedsiębiorstw certyfikat jest korzyścią np. w przypadku Managera systemów w różnorakich spółkach córkach, certyfikat wykazuje identyczny poziom kompetencji. EOQ założono w 1956 roku i obejmuje dotychczas ponad 30 europejskich organizacji jakości, jak i instytucji, firm i pojedynczych osób z całego świata. Europejski certyfikat EOQ Posiadając certyfikat EOQ należą Państwo do powiększającego się kręgu pond ekspertów, posiadających certyfikat z obszarów m.in. zarządzania jakością, środowiskiem i bezpieczeństwem. Certyfikaty EOQ są uznawane prawie we wszystkich krajach europejskich i odpowiadają uzyskanym przez Państwa certyfikatom CIS-CERT na poziomie krajowym. Jako posiadacze certyfikatu EOQ mają Państwo dostęp do międzynarodowej sieci specjalistów. Poprzez centralną bazę danych EOQ lub poprzez IPC (International Personnel Certification Association), w której CIS-CERT jest czynnie aktywna, może zostać zainicjowany kontakt z dowolną osobą kontaktową na całym świecie. Coraz częściej korzyść tą wykorzystują międzynarodowo czynne przedsiębiorstwa, w przypadku gdy znajdują się oni we wrażliwej relacji klient-dostawca, której nadrzędnym punktem jest jakość, środowisko oraz bezpieczeństwo. Kariera bez granic W przypadku reklamy międzynarodowej się okazuje się, iż certyfikat EOQ postrzegany jest jako efektywny czynnik otwierający drzwi. Również dla kariery krajowej certyfikat ma duże znaczenie gdyż, poświadcza globalne myślenie kandydata oraz jego motywację. Więcej informacji na stronie Tłem dla certyfikatów EOQ jest harmonizacja zawartości programów szkoleniowych oraz przeprowadzanie egzaminów końcowych we wszystkich europejskich państwach członkowskich EOQ poprzez wykorzystanie specyfikację europejskich schematów certyfikacji.