Program szkoleniowy na rok 2014

2 Bezpieczeństwo informacji Program szkoleniowy na rok 2014 chroń SERCE Twojej firmy CIS - Twój standard bezpieczeństwa

2 Spis treści 3 Profil jednostki certyfikującej CIS Certification & Information Security Services 4 Usługi i współpraca 5 Kontrola Bezpieczeństwa Informacji wynikająca z Krajowych Ram Interoperacyjności 7 Audyt zgodności wg normy PN-ISO/IEC 27001:2008 8 Manager Bezpieczeństwa Informacji szkolenie akredytowane 10 Audytor Bezpieczeństwa Informacji szkolenie akredytowane 13 Skuteczny system bezpieczeństwa 14 Zarządzanie usługami w obrębie IT na podstawie ISO 20000 15 Zarządzanie ciągłością działań BCM na podstawie ISO 22301 16 Audyt oprogramowania i tematyka związana z legalnością programów komputerowych 17 Ochrona danych osobowych w świetle zmieniających się przepisów 18 Zarządzanie ryzykiem w procesach związanych z bezpieczeństwem informacji na podstawie ISO 31000 19 System bezpieczeństwa informacji w ochronie zdrowia zgodny z wymaganiami ISO 27799:2010 20 Audyt Bezpieczeństwa Informacji w Bankach po zmianach Rekomendacji D 21 Akredytacja 21 Dlaczego warto wybrać CIS Certification & Information Security Services?

3 CIS - Certifcation & Information Security Services Profil jednostki Nieustannie rosnąca liczba pracowników zajmujących stanowiska kierownicze uświadamia sobie, jak ważna jest ochrona danych firmy i klientów, łącznie z pozostałymi czynnikami ważnymi dla firmy. Również na rynku staje się normą, że świadczące usługi podmioty i dostawcy stale zapewniają swoim klientom wysoki poziom bezpieczeństwa informacji. Dlatego ze względu na stale pojawiające się nowe i coraz bardziej złożone wymogi dotyczące bezpieczeństwa, firmy potrzebują kompleksowo zorientowanego systemu zarządzania bezpieczeństwem informacji (SZBI), przy pomocy którego można nie tylko bezpieczeństwo to osiągnąć, ale również je monitorować i nieustannie doskonalić. W skali międzynarodowej jedną z najbardziej poważanych instytucji w zakresie bezpieczeństwa systemów informacyjnych jest CIS Certification & Information Security Services, mająca główną siedzibę CIS-International w Wiedniu. Firma CIS należy do pięciu najbardziej prestiżowych instytucji tego typu na świecie. Jednostka działa w skali ogólnoświatowej przejawiając szczególną aktywność w krajach Europy Środkowej (Republika Czeska, Słowacja, Polska, Węgry, Szwajcaria i Niemcy). Jest obecna również w Azji (Chiny, Japonia, Katar, Indie), Ameryce Północnej (USA, Kanada) i Ameryce Południowej (Kolumbia). Klient znajdujący się na tych rynkach otrzymuje w ten sposób kompletny zestaw usług w zakresie bezpieczeństwa informacji, takich jak: certyfikacja standardów ISO 27001 oraz ISO 20000, audyty nadzorujące i przegląd systemów bezpieczeństwa zarówno od strony technicznej, jak również dokumentacyjnej, programy szkoleniowe itd. Całość jest prowadzona przez renomowaną, międzynarodową instytucję, w lokalnym języku oraz po konkurencyjnych cenach w danym regionie. Oferta CIS CERT to: Certyfikacja systemów zarządzania ISO 27001 / 20000 Stage Review Akredytowane szkolenia Manager BI/Audytor BI Szkolenia typu in-house

4 Usługi i współpraca CIS - Certification & Information Security Services oraz jej organ akredytacyjny, austriackie Ministerstwo Gospodarki i Pracy (BMWA), są członkami i sygnatariuszami EA (European Cooperation for Accreditation), IAF (International Accreditation Forum) oraz wielu innych gremiów międzynarodowych. Uznanie na rynku światowym jednostka zyskała przede wszystkim poprzez skupienie sie wyłącznie na zagadnieniach SZBI (systemach zarządzania bezpieczeństwem informacji łącznie z ICT), ponieważ zdaje sobie sprawę z wagi i wysokiego wyspecjalizowania tej tematyki. Swoim klientom zapewnia najwyższą fachowość usług. Quality Austria jest partnerem Narodowej Polityki Jakości w RCz, a także członkiem IQNet, IATF, EOQ, VDA,QMC, EA, IAF i wielu innych stowarzyszeń międzynarodowych. Pozostałe usługi w zakresie certyfikacji i szkoleń, które dotyczą innych standardów, firma CIS oferuje swoim klientom w oparciu o współpracę ze swoimi renomowanymi partnerami. Klient może korzystać również z pożądanego efektu synergicznego w postaci szerokiej oferty szkoleń lub kompleksowej certyfikacji według norm ISO 9001, ISO 14001, EMAS, VDA 6.x, ISO/TS 16949, OHSAS 18001 i innych. Jednym z głównych partnerów w ramach ogólnoświatowej działalności spółki CIS jest międzynarodowa jednostka certyfikująca, szkoleniowa i opiniodawcza Quality Austria, posiadająca ponad 650 audytorów, reprezentowana w ponad 60 krajach świata. Raiffeisen Informatik, 800 pracowników Michael Ausmann, menadżer bezpieczeństwa IT: Dzięki orientacji normy ISO 27001 na bezpieczeństwo informacji zagadnienie rozpatrywane jest całościowo: Pod uwagę są brane wszystkie czynniki, mające zasadnicze znaczenie w cyklu informacyjnym, a nie tylko pojedyncze elementy IT. Certyfikacja wg ISO 27001 to czerpanie z doświadczeń innych firm - takich jak ABB, Canon, Ericsson, Unisys

5 CIS_I1 Kontrola Bezpieczeństwa Informacji wynikająca z Krajowych Ram Interoperacyjności Przygotowanie do rzetelnej oceny mechanizmów bezpieczeństwa zgodnie z minimalnymi wymaganiami dla systemów teleinformatycznych zawartymi w Rozporządzeniu Rady Ministrów w sprawie Krajowych ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych z dnia 12 kwietnia 2012r. (Dz. U. nr 0, poz. 526) oraz Ustawie o ochronie danych osobowych. Wskazanie i charakterystyka minimalnych wymagań zawartych w obowiązujących przepisach. Nabycie umiejętności praktycznych z zakresu audytów bezpieczeństwa informacji. Podniesienie kompetencji zawodowych w zakresie działalności operacyjnej i organizacyjnej w obszarze związanym z zapewnieniem i oceną bezpieczeństwa informacji najistotniejszych zagrożeń związanych z bezpieczeństwem systemów IT. Audytorzy wewnętrzni i pracownicy działów kontroli wewnętrznej. Administratorzy Bezpieczeństwa Informacji (ABI). Kadra zarządzająca lub inne osoby odpowiedzialne za wdrażanie regulacji w obszarze bezpieczeństwa. Informatycy, administratorzy lub inne osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji w systemach IT. Osoby odpowiedzialne za nadzór nad bezpieczeństwem informacji w organizacji. Dzień 1 Identyfikacja i interpretacja wymagań prawnych w zakresie bezpieczeństwa informacji - Rozporządzenie rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych z dnia 12 kwietnia 2012r. Praktyczne podejście do kontroli systemów informatycznych. Analiza obecnych IT zagrożeń i ich konsekwencji w stosunku do systemów informatycznych. Wsparcie dla audytorów systemów zarządzania bezpieczeństwem informacji: standardy i normy - najlepsze praktyki z zakresu zarządzania bezpieczeństwem informacji, normy i standardy dotyczące zapewnienia bezpieczeństwa systemów informatycznych. Wykorzystanie analizy ryzyka w podejściu do audytu bezpieczeństwa IT, metody porównywania wyników analizy i przetwarzania informacji. Weryfikacja celów zabezpieczeń i zabezpieczeń względem poszczególnych obszarów normy. Identyfikacja i interpretacja wymagań prawnych w zakresie minimalnych wymagań dotyczących systemów informatycznych służących do przetwarzania danych osobowych. Dzień 2 Wprowadzenie do kontroli systemów informacyjnych oraz najlepszych praktyk z zakresu bezpieczeństwa informacji. Analiza potencjalnych zagrożeń i skutków w obszarze IT. Praktyczne zasady zarządzania bezpieczeństwem informacji: organizacja bezpieczeństwa, outsourcing, zarządzanie aktywami i aspekty legalności. Praktyczne zasady zarządzania bezpieczeństwem informacji. Weryfikacja celów i stosowanych zabezpieczeń w obszarach: bezpieczeństwo fizyczne i środowiskowe zarządzanie systemami i sieciami zarządzanie kontrolą dostępu wdrażanie systemów informacyjnych odtwarzanie systemów informatycznych po awarii. Przewidywane efekty końcowe Zapoznanie uczestników z normami i standardami w zakresie bezpieczeństwa informacji.

6 Znajomość aspektów prawnych ochrony informacji oraz umiejętność wdrożenia wynikających z nich zabezpieczeń. Podniesienie umiejętności w ramach realizacji audytów zgodności bezpieczeństwa informacji z wymaganiami wynikającymi z Ustawy o ochronie danych osobowych oraz Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych z dnia 12 kwietnia 2012r. Umiejętność wyboru skutecznych zabezpieczeń (w tym formułowania adekwatnych zaleceń w ramach prowadzonych audytów) dla zapewnienia optymalnego poziomu bezpieczeństwa w obszarach takich jak: organizacja bezpieczeństwa, identyfikacja i klasyfikacja aktywów, bezpieczeństwo osobowe, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, pozyskiwanie, rozwój i utrzymanie systemów, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zarządzanie ciągłością działań. 2 dni / 16 godzin Termin / Miejsce / Cena szkolenia 2-3 październik Poznań 1 250,00 zł 6-7 listopad Rzeszów 1 250,00 zł 1-2 grudzień Lublin 1 250,00 zł Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu.

7 CIS_I2 Audyt zgodności wg normy PN-ISO/IEC 27001:2007 Uświadomienie i przybliżenie Uczestnikom Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z wymaganiami normy PN-ISO/IEC 27001:2007. Zdobycie wiedzy na temat audytowania powyższego systemu, postępowania z ryzykiem w bezpieczeństwie informacji oraz umiejętność budowania odpowiednich relacji z audytowanym. Przekazanie wiedzy dotyczącej planowania i samodzielnego prowadzenia audytów systemów zarządzania bezpieczeństwem informacji oraz dokumentowania działań audytowych a także zapoznania się z najczęściej popełnianymi przez jednostki administracyjne błędami przy wdrażaniu Systemu Zarządzania Bezpieczeństwem Informacji. Osoby odpowiedzialne za wdrażanie bezpieczeństwa informacji. Wyższa i średnia kadra kierownicza, a w szczególności osoby odpowiedzialne za bezpieczeństwo informacji, w tym Pełnomocnicy ds. ochrony danych osobowych, administratorzy danych osobowych (ABI), oficerowie bezpieczeństwa. Audytorzy, którzy chcą zdobyć podstawy wiedzy z zakresu audytu Systemu Zarządzania Bezpieczeństwem Informacji. Pracownicy odpowiedzialni za kontakty z kluczowymi klientami. kontrahentami i partnerami biznesowymi. Dzień 1 Wstęp do Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z PN-ISO/IEC 27001:2007: terminologia, elementy systemu, interpretacja i analiza wymagań systemu. Rodzina norm ISO 2700x. System Zarządzania Bezpieczeństwa Informacji. Postępowanie z ryzykiem w podejściu procesowym. Projektowanie, wdrażanie i certyfikacja Systemu Bezpieczeństwa Informacji. Analiza zabezpieczeń. Interpretacja zapisów Załącznika Normatywnego A Dzień 2 normy PN - ISO/IEC 27001:2007. Praktyczne podejście do audytu bezpieczeństwa informacji. Przegląd środków nadzoru nad systemem zgodnym z ISO 27001. Analiza zabezpieczeń. Interpretacja zapisów Załącznika Normatywnego A normy PN - ISO/IEC 27001:2007 - ciąg dalszy. Narzędzia wspomagające audytora Dokumentowanie i raportowanie audytu, listy kontrolne. Test końcowy Przewidywane efekty końcowe Zapoznanie Uczestników z normami i standardami w zakresie bezpieczeństwa informacji. Zapoznanie Uczestników ze ścieżką certyfikacji oraz korzyściami płynącymi z takiego działania. Podniesienie umiejętności w ramach realizacji audytów zgodności Systemów Zarządzania Bezpieczeństwem Informacji z ISO 27001. Umiejętność wyboru skutecznych zabezpieczeń w ramach wszystkich obszarów wynikających z ISO 27001. Zapoznanie Uczestników z obecnymi priorytetami i przyszłością w zakresie szeroko pojętego bezpieczeństwa teleinformatycznego. 2 dni / 16 godzin Termin / Miejsce / Cena szkolenia 11-12 wrzesień Zielona Góra 1 350,00 zł 17-18 listopad Białystok 1 350,00 zł Dla sektora administracji państwowej podana cena może podlegać negocjacjom. Po zakończeniu szkolenia Uczestnicy otrzymują certyfikat Audytora wewnętrznego.

8 CIS_I3 Manager Bezpieczeństwa Informacji - szkolenie akredytowane Otrzymanie specjalistycznej wiedzy z zakresu zarządzania bezpieczeństwem informacji wynikającym z wymagań normy ISO 27001, potwierdzonej międzynarodowym akredytowanym certyfikatem wydawanym przez jednostkę certyfikacyjną CIS-Certification & Information Security Services GmbH, który uznawany jest na całym świecie. Audytorzy wewnętrzni i pracownicy działów kontroli wewnętrznej. Administratorzy Bezpieczeństwa Informacji (ABI). Kadra zarządzająca lub inne osoby odpowiedzialne za wdrażanie regulacji w obszarze bezpieczeństwa. Informatycy, administratorzy lub inne osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji w systemach IT. Osoby odpowiedzialne za nadzór nad bezpieczeństwem informacji w organizacji. MODUŁ I - Normy ISO 27001 / ISO 27002 Wprowadzenie do Systemu Zarządzania Bezpieczeństwem Informacji. Cel i zakres systemu wg ISO 27001. Cele realizacji źródeł normatywnych wymagań bezpieczeństwa. Wytyczne wdrożenia wg ISO 27002. Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji. Opis: Głównym tematem Modułu I jest omówienie Międzynarodowego Standardu ISO/IEC 27001, stanowiącego nie tylko podstawę systemu zarządzania bezpieczeństwem informacji ale będącego także odpowiednim przewodnikiem do wdrożenia standardu ISO/IEC 27002, we wszystkich ważnych obszarach przedsiębiorstwa (m.in. w polityce bezpieczeństwa, zarządzaniu ryzykiem, planowaniu ciągłości biznesowej i audycie wewnętrznym). W ciągu 2 dni Uczestnicy kursu poznają najważniejsze podstawy systemu zarządzania bezpieczeństwem informacji, jak również zostają zapoznani z ogólnymi aspektami dotyczącymi organizacji, technologii i zarządzania procesami. Praktyczne przykłady przytaczane przez trenera podczas kursu pomogą Uczestnikom zobrazować jak samodzielnie wdrożyć to czego nauczyli się podczas szkolenia. Cel: Po zakończeniu Modułu I Uczestnicy będą znać wymagania no0rm ISO/IEC 27001 i ISO/IEC 27002 w zakresie ich praktycznego zastosowania w przedsiębiorstwie. Uczestnicy będą posiadać podstawową wiedzę, która umożliwi im przystąpienie do kolejnych modułów kursu przygotowujących do pełnienia roli Managera/ Pełnomocnika Bezpieczeństwa Informacji. MODUŁ II - Podstawy Psychologii Opis: Ten moduł nauczy Uczestników szkolenia podstaw, które pozwolą im wdrażać w przedsiębiorstwie zdobytą wiedzę techniczną. Moduł II obejmuje również naukę takich umiejętności jak: zdolność do pracy w zespole, zdolność do rozwiązywania konfliktów, zdolność do współpracy interdyscyplinarnej oraz zaznajamia z modelami relacyjnymi, procesami dynamiki grupy i technikami motywacyjnymi. Cel: Uczestnicy po ukończeniu Modułu II będą potrafili skutecznie osiągać cele przedsiębiorstwa poprzez wyeliminowanie strat spowodowanych konfliktami na poziomie relacyjnym. Dowiedzą się również jak tworzyć, zarządzać i motywować zespoły projektowe. MODUŁ III - Podstawy prawa Ochrona i bezpieczeństwo danych Dokumentacja systemowa: Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Odpowiedzialność z tytułu naruszeń bezpieczeństwa. Opis: Moduł ten porusza zagadnienia związane z systemem utworzonym przez przepisy regulujące ochronę danych osobowych, które stanowią jeden z najistotniejszych elementów w zakresie bezpieczeństwa informacji. Cel: Uczestnicy po ukończeniu Modułu III znają przepisy związane z bezpieczeństwem informacji i mogą samodzielnie stosować najważniejsze zasady

9 w przedsiębiorstwie. Posiadają również podstawowe umiejętności umożliwiające im wyznaczanie odpowiednich osób, które będą pełnić funkcję konsultantów prawnych. TEST KOŃCOWY Zakres: Egzamin dotyczy trzech modułów omawianych podczas szkolenia: Normy ISO 270001 / ISO 27002 Podstawy psychologii Podstawy prawne Przebieg: Egzamin pisemny - 30 pytań wielokrotnego wyboru. Warunki zaliczenia: Aby uzyskać pozytywny wynik egzaminu Uczestnik musi odpowiedzieć poprawnie na pytania z każdej części egzaminu w co najmniej 60%, a tym samym udzielić poprawnych odpowiedzi w co najmniej 60% na wszystkie pytania zawarte w teście. Kryteria przedłużenia ważności certyfikatu: Przedłożenie jednostce Certyfikującej CIS-CERT dokumentów potwierdzających do świadczenie zawodowe: 3 lata pracy w zarządzaniu bezpieczeństwem informacji. Udział w ciągu trzech lat ważności certyfikatu w szkoleniu CIS odnawiającym uzyskane uprawnienia (IS-Refresher). Certyfikat EOQ Uczestnicy szkolenia mają również niepowtarzalną okazję do wnioskowania o przyznanie im certyfikatu EOQ Managera Bezpieczeństwa Informacji. Certyfikat ten w krajach Europy Zachodniej jest równoważny certyfikatom zawodowym. Przewidywane efekty końcowe Po zakończeniu szkolenia Uczestnicy będą znać procesy i wymagania związane z realizacją norm ISO 27001 i ISO 270023 w firmie i ich praktycznym zastosowaniem. 4 dni / 32 godziny Termin / Miejsce / cena szkolenia 22-25 wrzesień Warszawa 3 199,00 zł 24-27 listopad Gorzów Wlk. 3 199,00 zł Po zakończeniu szkolenia i uzyskaniu pozytywnego wyniku egzaminu, Uczestnicy otrzymują akredytowany certyfikat,,cis - Information Security Manager". Posiadając certyfikat Managera Bezpieczeństwa Informacji Uczestnicy spełniają jeden z warunków przystąpienia do akredytowanego szkolenia:,,auditor Bezpieczeństwa Informacji". Okres ważności: 3 lata

10 CIS_I4 Audytor Bezpieczeństwa Informacji - szkolenie akredytowane Szkolenie Audytora Bezpieczeństwa Informacji jest idealnym uzupełnieniem kursu Managera Bezpieczeństwa Informacji. Korzyści z ukończenia tego szkolenia można podzielić na dwie grupy: Jako Audytorzy, Uczestnicy mogą prowadzić audyty wewnętrzne oraz przygotować przedsiębiorstwo, przy użyciu poznanych podczas kursu metod, do auditu zewnętrznego. Uczestnicy po uzyskaniu uprawnień Audytora stają się,,najlepszym przykładem" dla Systemu Zarządzania Bezpieczeństwem Informacji w ich przedsiębiorstwie. Będą mogli również recenzować/sprawdzać wewnętrzny system firmy pod względem jego zgodności z normą oraz opracowywać możliwości jego poprawy aby osiągnąć najwyższy poziom bezpieczeństwa wg ISO/IEC 27001. Uczestnicy tego szkolenia mogą ubiegać się o uzyskanie powołania na Audytora tzw. 3-strony oraz są doskonale przygotowani do przeprowadzania kompetentnych audytów z zakresu bezpieczeństwa informacji. Audytorzy wewnętrzni i zewnętrzni. Administratorzy Bezpieczeństwa Informacji (ABI) Kadra zarządzająca lub inne osoby odpowiedzialne za wdrażanie regulacji w obszarze bezpieczeństwa. Informatycy, administratorzy lub inne osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji w systemach IT. Osoby odpowiedzialne za nadzór nad bezpieczeństwem informacji w organizacji Warunki udziału w szkoleniu Uczestnik przystępujący do szkolenia,,auditor Bezpieczeństwa Informacji powinien posiadać ważny certyfikat Managera Bezpieczeństwa Informacji, znajomość terminologii IT (technologii informacyjnych) i podstaw technicznych IT (sieć, systemy operacyjne, bazy danych, zasady rozwoju oprogramowania itd. Znajomość tych zagadnień pozwoli uczestnikowi na pozytywne zdanie egzaminu wstępnego końcowego oraz na odpowiednie zrozumienie treści szkolenia. Aby przystąpić do szkolenia Audytora Bezpieczeństwa Informacji Kandydat musi wykazać się posiadaniem ważnego certyfikatu Managera Bezpieczeństwa Informacji uzyskanego w CIS lub innej jednostce szkoleniowej. Warunkiem uznania certyfikatu z innej jednostki szkoleniowe jest pokrycie zrealizowanego programu szkoleniowego w co najmniej 80 % z programem szkolenia CIS. Uczestnik nie posiadający wymaganego doświadczenia zawodowego po pozytywnym zakończeniu szkolenia otrzyma certyfikat:,,information Security Auditor Candidate. Uczestnik posiadający taki certyfikat po zdobyciu odpowiedniego doświadczenia zawodowego może ubiegać się o wydanie mu przez jednostkę CIS Certification & Information Security Services, certyfikatu,,information Security Auditor. Wydanie takiego certyfikatu jest bezpłatne. W celu ewidencji praktyki, koniecznym jest dostarczenie dowodów na przeprowadzenie co najmniej czterech kompletnych audytów wewnętrznych lub,,tzw. Drugiej Strony systemów odnoszących się do zarządzania bezpieczeństwem informacji, w tym co najmniej 20 dni audytowych (w tym przygotowywanie audytu, sporządzanie raportu z audytu). Z dokumentów musi być możliwym uzyskanie informacji potwierdzających ewidencję doświadczenia na temat firmy / obszaru audytu, data audytu, liczba dni audytu, rodzaj audytu, rodzaj czynności wykonywanych przez kandydata podczas audytu itd. TEST WSTĘPNY Zakres: Egzamin dotyczy technicznej wiedzy z zakresu Bezpieczeństwa Informacji (sieci, systemy operacyjne, bazy danych, zasady tworzenia oprogramowań itp. Pozytywne zakończenie egzaminu wstępnego jest dodatkowym warunkiem, pozwalającym Uczestnikowi na udział w szkoleniu,,auditora Bezpieczeństwa Informacji". Warunki dopuszczenia do egzaminu: Aby przystąpić do egzaminu wstępnego Uczestnik powinien posiadać ważny certyfikat IS Managera, uzyskany na podstawie pozytywnie zakończonego egzaminu końcowego kursu,,managera Bezpieczeństwa Informacji", który zawierał

11 zagadnienia z zakresu norm ISO/IEC 27001 i ISO/IEC 27002, podstaw psychologii oraz podstaw prawnych. Nawet jeśli uczestnik nie posiada potwierdzenia praktycznego doświadczenia, jego udział w szkoleniu jest możliwy. W takim przypadku Uczestnik otrzymuje status,, Auditor Candidate" do momentu dostarczenia potwierdzenia nabycia odpowiedniego doświadczenia w ciągu 3 lat ważności certyfikatu. Przebieg: Egzamin pisemny, składający się z pytań jednokrotnego wyboru. Warunki zaliczenia: Aby uzyskać pozytywny wynik egzaminu Uczestnik musi udzielić co najmniej 60% poprawnych odpowiedzi na wszystkie pytania zawarte w teście. MODUŁ I - Podstawy Psychologii Opis: Podczas audytu, biegli Audytorzy muszą sprostać podwójnemu wyzwaniu: z jednej strony powinni działać jako,,egzaminatorzy - experci", zaś z drugiej strony muszą działać tak aby przewidzieć możliwości i środki rozwoju, które staną się impulsami do dalszego rozwoju Systemu Bezpieczeństwa Informacji. Audytorzy powinni być w kontakcie nie tylko z najwyższym kierownictwem ale także z pionem operacyjnym. Oprócz wiedzy eksperckiej Audytorzy powinni posiadać wysoko rozwinięte kompetencje społeczne, zdolność myślenia i identyfikacji międzywydziałowych powiązań systemu oraz wiedzę z zakresu podstawowych zasad komunikacji. Cel: Po zakończeniu Modułu I Uczestnicy będą posiadali wiedzę z zakresu praktycznego myślenia, kompetencji Audytora i zakresu jego działać oraz podstawowych zasad komunikacji przedstawionych zarówno w sposób teoretyczny, jak i praktyczny. MODUŁ II - Techniki audytowe Opis: Moduł ten przedstawia całą praktyczną wiedzę na temat przeprowadzania auditów wewnętrznych i zewnętrznych. Podczas kursu Uczestnicy zostaną zapoznani z różnymi rodzajami auditów z uwzględnieniem ich dostosowania do poszczególnych typów organizacji. Uczestnicy zostaną zapoznani również z poszczególnymi etapami prac audytowych tj. przygotowanie auditu za pomocą wstępnej analizy sporządzanej poprzez pytania kontrolne, analiza auditu (z zastosowaniem poszczególnych metod audytowych), sporządzanie raportu z auditu i ustanowienie działań naprawczych i poprawy systemu. Wiedza teoretyczna poparta zostanie poprzez studia przypadków, które nastawione są na rozwój praktycznych umiejętności Uczestników. Cel: Uczestnicy po ukończeniu Modułu II będą posiadać wiedzę z zakresu planowania i przeprowadzania audytów wewnętrznych i zewnętrznych, analizowania ich wyników oraz identyfikacji i oceny słabych punktów i możliwości ich poprawy. TEST KOŃCOWY Zakres: Egzamin dotyczy dwóch modułów omawianych podczas szkolenia: Podstawy psychologii IS Audytora Techniki audytowania Warunki dopuszczenia do egzaminu: Pozytywnie zakończony egzamin wstępny. Ważny certyfikat IS Managera. Potwierdzone 4 letnie doświadczenie pracy, w tym 2 lata pracy w dziedzinie bezpieczeństwa informacji. Potwierdzone przeprowadzenie 4 audytów lub uczestnictwo jako obserwator w tych auditach. Przebieg: Egzamin pisemny - 20-30 pytań jednokrotnego wyboru Warunki zaliczenia: Aby uzyskać pozytywny wynik egzaminu Uczestnik musi odpowiedzieć poprawnie na pytania z każdej części egzaminu w co najmniej 60%, a tym samym udzielić poprawnych odpowiedzi w co najmniej 60% na wszystkie pytania zawarte w teście. 3 dni / 24 godziny Termin / Miejsce / cena szkolenia 21-23 lipiec Mikołów 2 399,00 zł 15-17 październik Warszawa 2 399,00 zł 3-5 grudzień Poznań 2 399,00 zł

12 Po zakończeniu szkolenia i uzyskaniu pozytywnego wyniku egzaminu, Uczestnicy otrzymują akredytowany certyfikat,,cis - Information Security Auditor". Jeśli Uczestnik nie udowodni swojego doświadczenia otrzyma akredytowany certyfikat,,cis - Information Security Auditor - Candidate". Okres ważności: 3 lata Kryteria przedłużenia ważności certyfikatu: Potwierdzone 3 letnie doświadczenie w zarządzaniu bezpieczeństwem informacji. Potwierdzone przeprowadzenie 4 auditów (co najmniej 20 dni auditowych). Udział w ciągu trzech lat ważności certyfikatu w szkoleniu CIS odnawiającym uzyskane uprawnienia (IS-Refresher). Certyfikat EOQ Uczestnicy szkolenia mają również niepowtarzalną okazję do wnioskowania o przyznanie im certyfikatu EOQ Audytora Bezpieczeństwa Informacji. Certyfikat ten w krajach Europy Zachodniej jest równoważny certyfikatom zawodowym.

13 CIS_I5 Skuteczny system bezpieczeństwa Przekazanie uczestnikom informacji na temat dostępnych na rynku rozwiązań technicznych i proceduralnych w dziedzinie bezpieczeństwa obiektów sieci handlowych. Kadra zarządzająca Osoby odpowiedzialne za zarządzanie ryzykiem operacyjnym Osoby odpowiedzialne za wdrażanie regulacji w obszarze bezpieczeństwa Administratorzy obiektów Osoby odpowiedzialne za bezpieczeństwo fizyczne i współpracę z firmami zewnętrznymi w zakresie ochrony obiektów Dzień 1 Ryzyko operacyjne w odniesieniu do obiektów sieci retail. Czym jest ryzyko operacyjne? Jaki wpływ na prowadzoną działalność ma ryzyko operacyjne? W jaki sposób można ograniczać ryzyko operacyjne w przedsiębiorstwie? Budowanie Skutecznego Systemu Bezpieczeństwa. Z jakich elementów składa się Skuteczny System Bezpieczeństwa? Na czym polega budowa Skutecznego Systemu Bezpieczeństwa? Jakie korzyści może nieść ze sobą Skuteczny System Bezpieczeństwa? Korzystanie z usług koncesjonowanych agencji ochrony. Na podstawie jakich przepisów funkcjonują w Polsce agencje ochrony? Gdzie szukać profesjonalnych Dostawców usług ochrony osób i mienia? Jak negocjować warunki umowy i jakich błędów unikać podczas zawierania umów? Dzień 2 Współpraca z policją w obliczu zagrożeń występujących w sieciach retail. Jakie zadania realizują policjanci w stosunku do przedsiębiorców? Kiedy dany czyn jest kwalifikowany jako wykroczenie, a kiedy jako przestępstwo? Gdzie i jak składać zawiadomienia o popełnieniu wykroczenia, albo przestępstwa? Audyt zewnętrzny sposób na poprawę poziomu bezpieczeństwa. Jak rozwiązywać problemy dotyczące bezpieczeństwa? Dlaczego korzystanie z usług audytorów zewnętrznych jest opłacalne? Jak weryfikować jakość usług świadczonych przez audytorów zewnętrznych? Przewidywane efekty końcowe Po ukończeniu szkolenia uczestnicy będą posiadać wiedzę z zakresu dostępnych na rynku rozwiązań technicznych i proceduralnych w zakresie bezpieczeństwa w handlu, czyli obszaru w który sklep lub sieci mogą samodzielnie poprawiać aby zwiększyć poziom bezpieczeństwa klientów, pracowników oraz zabezpieczyć się przed stratami. 2 dni / 16 godzin Termin / Miejsce / cena szkolenia 9-10 październik Kraków 950,- 13-14 listopad Warszawa 950,- Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu.

14 CIS_I6 Zarządzanie usługami w obrębie IT na podstawie ISO 20000 Otrzymanie specjalistycznej wiedzy z zakresu zarządzania usługami IT zgodnie z wymaganiami ISO 20000. Osoby odpowiedzialne za kierowanie działami IT. Kierownictwo projektów IT oraz inne osoby związane z budową modelu usługowego. Audytorzy wewnętrzni lub osoby, które chcą zajmować się audytem IT. Właściciele procesów związanych z IT, którzy chcieliby poznać wymagania norm w zakresie ich procesów. Pracownicy IT zaangażowani w funkcjonowanie modelu usługowego. Pracownicy zaangażowani w działania utrzymania Systemów Zarządzania (ISO 9001, ISO 27001). Wyższa i średnia klasa kierownicza, a w szczególności osoby, które widzą swoją przyszłość w usprawnianiu funkcjonowania działów IT. Wprowadzenie do zarządzania usługami IT i międzynarodowych norm ISO związanych z IT. ISO 20000 - interpretacja wymagań normy. Planowanie i wdrażanie zarządzania usługami. Planowanie i wdrażanie nowych lub zmienionych usług. Procesy związane z dostarczaniem usług. Zarządzanie poziomem usług. Procesy zarządzania relacjami biznesowymi i poddostawcami. Procesy rozwiązań w aspekcie incydentów i problemów. Produkty projektu budowania Systemu Zarządzania Usługami. Zasady dokumentowania Systemu Zarządzania Usługami. Zasady wdrażania zaprojektowanych rozwiązań Systemu i budowa świadomości usługowej w organizacji. Nadzór nad funkcjonowaniem Systemu Zarządzania Usługami oraz raportowanie. Integracja Systemu Zarządzania Usługami z innymi systemami zarządzania w organizacji. Proces certyfikacji w obszarze zarządzania usługami IT. Przewidywane efekty końcowe Zapoznanie Uczestników z normami i standardami w zakresie zarządzania usługami. Podniesienie umiejętności w ramach zarządzania usługami zgodnie z wymaganiami ISO 20000. Umiejętność projektu wydajnego systemu wsparcia organizacji w aspekcie usług IT. Zapoznanie uczestników z obecnymi priorytetami i przyszłością w zakresie współczesnego podejścia do zarządzania usługami IT. 2 dni / 16godzin Termin / Miejsce / cena szkolenia 9-10 październik Warszawa 1 450,00 zł 11-12 grudzień Gorzów Wlk. 1 450,00 zł Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu.

15 CIS_I7 Zarządzanie ciągłością działań BCM na podstawie ISO 22301 Termin / Miejsce / Cena szkolenia 20-21 październik Warszawa 1 450,00 zł Zrozumienie zasad wspomagających funkcjonowanie przedsiębiorstwa i działania w ochronie przed potencjalnie negatywnymi skutkami biznesowymi sytuacji kryzysowych. Określenie, w jakich obszarach BCMS może zminimalizować wpływ negatywnych i nieprzewidzianych zdarzeń. Zapoznanie z wymaganiami normy ISO 22301 oraz pojęciem Systemu Zarządzania Ciągłością Działania. Zbudowanie wiedzy o ciągłości działania. Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu Osoby odpowiedzialne za strategię firmy. Osoby odpowiedzialne za ryzyko operacyjne firmy. Managerowie odpowiedzialni za wdrożenie i nadzór nad systemem BCM. Audytorzy zarządzania ciągłością działania. Osoby odpowiedzialne za bezpieczeństwo informacji. Wprowadzenie do zarządzania ciągłością działania (BCM). Zrozumienie zasad funkcjonowania organizacji. Określenie strategii przetrwania. Wymagania systemu BCMS. Opracowanie i wdrożenie reakcji na nieprzewidziane zdarzenia. Aktualizacja i przegląd planów. Przewidywane efekty końcowe Umiejętność zidentyfikowania podstawowych założeń ciągłości działania w organizacji. Zrozumienie strategii Zarządzania Ciągłością Działania w obszarze działalności danej firmy / organizacji. Poznanie wymagań normy ISO 22301. Identyfikacja najbardziej krytycznych elementów dla skutecznego BCMS. 2 dni / 16godzin

16 CIS_I8 Audyt oprogramowania i tematyka związana z legalnością programów komputerowych 2 dni / 16godzin Termin / Miejsce / Cena szkolenia 11-12 wrzesień Lublin 1 450,00 zł Zapoznanie uczestników z procesem przebiegu i ważności procesu kontroli oprogramowania w organizacjach. Przedstawienie problemów i konsekwencji wynikających z braku systemu zarządzania oprogramowaniem. 17-18 grudzień Zielona Góra 1 450,00 zł Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu. Osoby odpowiedzialne za zarządzanie oprogramowaniem w organizacjach. Osoby odpowiedzialne za administrację systemów komputerowych. Kierownicy działów IT. Osoby odpowiedzialne za proces zarządzania bezpieczeństwem informacji. Kadra zarządzająca. Wprowadzenie do audytu oprogramowania. Standardowe modele licencjonowania produktów. Piractwo i sposoby łamania praw licencyjnych. Dowody legalności oprogramowania. Interpretacje i,,kruczki" zawierane w umowach licencyjnych. Zasady licencjonowania produktów popularnych producentów. Software Asset Management - zarządzanie oprogramowaniem. Audyt legalności oprogramowania - krok po kroku. Dokumentowanie procesu. Problemy związane z audytem oprogramowania. Przewidywane efekty końcowe Zapoznanie uczestników z zasadami licencjonowania. Przygotowanie uczestników do przeprowadzania audytu legalności oprogramowania. Zrozumienie podstawowych konsekwencji prawnych i ważności procesu zarządzania oprogramowaniem. Otrzymanie praktycznej wiedzy.

17 CIS_I9 Ochrona danych osobowych w świetle zmieniających się przepisów Termin / Miejsce / Cena szkolenia 6-7 październik Kraków 1 100,00 zł 8-7 grudzień Łódź 1 100,00 zł Podniesienie świadomości w zakresie ochrony danych osobowych. Zdobycie umiejętności interpretacji prawa krajowego i europejskiego. Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu. Osoby, które przetwarzają dane w firmie. Pracownicy HR. Administratorzy Bezpieczeństwa Informacji. Podstawy prawne ochrony danych osobowych. terminologia i definicje. Zasady przetwarzania, udostępniania i powierzania danych osobowych. Dane wrażliwe. Generalny Inspektor Ochrony Danych Osobowych. Administrator danych oraz Bezpieczeństwa Informacji. Dokumentacja danych osobowych. Konsekwencje wycieku danych. Przepisy karne. Przewidywane efekty końcowe Poznanie przez Uczestników obowiązujących zasad dotyczących ochrony danych osobowych w Polsce, Unii Europejskiej oraz na świecie. Przygotowanie go kontroli sprawowanej przez GIODO. Usystematyzowanie wiedzy z zakresu dokumentowania procesu ochrony danych osobowych. Znajomość najczęstszych incydentów w obrębie danych osobowych i konsekwencji z nimi związanych. 2 dni / 16godzin

18 CIS_I10 Zarządzanie ryzykiem w procesach związanych z bezpieczeństwem informacji na podstawie ISO 31000 Zrozumienie relacji między zarządzaniem ryzykiem i zgodnością z wymaganiami różnych stron w organizacji. Zdobycie umiejętności w zakresie wdrażania, utrzymania i zarządzania ryzykiem zgodnie z ISO 31000. uzmysłowienie potrzeby stosowania i ważności procesów związanych z zarządzaniem ryzykiem. Zapoznanie uczestników z opracowaniem i wdrażaniem procesu zarządzania ryzykiem w oparciu o ISO 31000. 2 dni / 16godzin Termin / Miejsce / Cena szkolenia 4-5 listopad Poznań 1 350,00 zł Osoby odpowiedzialne za strategię firmy. Osoby odpowiedzialne za ryzyko operacyjne firmy. Managerowie odpowiedzialni za proces analizy ryzyka. Audytorzy wewnętrzni. Osoby odpowiedzialne za bezpieczeństwo informacji i procesy związane z ciągłością działania. Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu. Wprowadzenie do programu zarządzania ryzykiem w organizacji. Pojęcie i definicje odnoszące się do zarządzania ryzykiem. Standardy, ramy i metodologia zarządzania ryzykiem. Proces identyfikacji i analizy ryzyka. Szacowanie ryzyka. Konsekwencje akceptacji ryzyka a aspekty związane z bezpieczeństwem informacji. Zarządzanie ryzykiem rezydualnym. Proces informowania o ryzyku. Monitorowanie i przegląd ryzyka. Narzędzia oceny ryzyka. Wsparcie zarządzania ryzykiem poprzez normę ISO 27005. Wdrożenie i certyfikacja systemu zarządzania ryzykiem zgodnym z ISO 27001. Przewidywane efekty końcowe Przyswojenie pojęć, podejść, metod i technik niezbędnych do efektywnego zarządzania ryzykiem zgodnie z ISO 31000.

19 CIS_I11 System bezpieczeństwa informacji w ochronie zdrowia zgodny z wymaganiami ISO 27799:2010 Uświadomienie i przybliżenie pracownikom służby zdrowia Systemu Zarządzania Bezpieczeństwem Informacji wynikającego z dodatkowych wytycznych ISO/IEC 27001. Zdobycie wiedzy na temat wdrażania Systemu Zarządzania Bezpieczeństwem Informacji wynikającego z dodatkowych wytycznych ISO 27799. Osoby odpowiedzialne za wdrażanie bezpieczeństwa informacji. Wyższa i średnia klasa kierownicza, a w szczególności osoby odpowiedzialne za bezpieczeństwo informacji, w tym pełnomocnicy ds. ochrony danych osobowych, administratorzy danych osobowych (ABI), oficerowie bezpieczeństwa. Audytorzy, którzy chcą zdobyć podstawy wiedzy z zakresu audytu Systemu Zarządzania Bezpieczeństwem Informacji. Pracownicy odpowiedzialni za kontakty z kluczowymi klientami, kontrahentami i partnerami biznesowymi. Przewidywane efekty końcowe Zapoznanie Uczestników z normami i standardami w zakresie bezpieczeństwa informacji w obrębie służby zdrowia. Podniesienie umiejętności w ramach wdrożenia Systemów Zarządzania Bezpieczeństwem Informacji. Umiejętność wyboru skutecznych zabezpieczeń w ramach wszystkich obszarów wynikających z ISO 27799. 2 dni / 16godzin Termin / Miejsce / Cena szkolenia 13-14 październik Gdańsk 1 150,- 4-5 grudzień Warszawa 1 150,- Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu. Wprowadzenie do Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z PN-ISO/IEC 27001 względem specyfiki pracy służby zdrowia. Krytyczność przetwarzania danych w środowisku ochrony zdrowia. System Zarządzania Bezpieczeństwem Informacji. Postępowanie z ryzykiem w podejściu procesowym. projektowanie, wdrażanie i certyfikacja systemu bezpieczeństwa informacji. Analiza zabezpieczeń. Interpretacja zapisów Załącznika Normatywnego A normy PN-ISO/IEC 27001.

20 CIS_I12 Audyt Bezpieczeństwa Informacji w bankach po zmianach Rekomendacji D Omówienie zagadnień niezbędnych do przeprowadzenia weryfikacji zgodności procesów i systemów w Banku ze znowelizowaną Rekomendacją D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Audytorzy wewnętrzni w bankach Członkowie zespołów odpowiedzialnych za zapewnienie zgodności banków z wymaganiami Rekomendacji D Pracownicy działów kontroli wewnętrznej i ryzyka operacyjnego Pracownicy obszarów bezpieczeństwa, IT oraz operacji Zakres i charakter zmian w nowej Rekomendacji D Zmiany w podejściu KNF do problematyki zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach Nowe obszary objęte Rekomendacją D Sposób przeprowadzenia audytu zgodności z Rekomendacją D Ocena podejścia banku do sposobu zapewnienia zgodności banku z Rekomendacją D Zakres wymagań Rekomendacji D w zależności od wielkości banku i zakresu jego działania Identyfikacja obszarów, w których banki są z reguły dobrze przygotowane Określenie i wskazanie najtrudniejszych wyzwań Wskazanie najczęściej popełnianych przez banki błędów w procesie implementacji Rekomendacji D Metody weryfikacji zgodności z wymaganiami Rekomendacji D w poszczególnych obszarach Strategia i organizacja obszarów technologii informacyjnej, i bezpieczeństwa środowiska teleinformatycznego Rozwój środowiska teleinformatycznego Utrzymanie i eksploatacja środowiska teleinformatycznego Zarządzanie bezpieczeństwem środowiska teleinformatycznego Proces oceny wdrażania w banku programu zapewniającego zgodność z wymaganiami Rekomendacji D Identyfikacja luk Ocena działań korygujących Analiza dokumentacji opracowanej na potrzeby spełnienia wymogów Rekomendacji D Wymagania Rekomendacji D w odniesieniu do audytu wewnętrznego Standardy pomocne w zapewnieniu zgodności Przewidywane efekty końcowe Zapoznanie Uczestników ze zmianami w nowej Rekomendacji D Podniesienie umiejętności w ramach przeprowadzania weryfikacji zgodności procesów i systemów w Banku 2 dni / 16godzin Miejsce / Termin / Cena szkolenia 18-19 wrzesień Mikołów 950,- 20-21 listopad Poznań 950,- Po zakończeniu szkolenia Uczestnicy otrzymują zaświadczenie o udziale w szkoleniu.

21 Akredytacja Dlaczego CIS? Jednostka CIS - Certification & Information Security Services posiada prestiżową akredytację w zakresie certyfikacji systemów i osób, udzieloną przez austriacki organ akredytujący BMWA, jest także posiadaczem akredytacji brytyjskiej, udzielonej przez itsmf, w zakresie zarządzania usługami IT zgodnie ze standardem ISO 20000. Symbole akredytacyjne i rejestracyjne są uznawane na całym świecie. Podczas kursów ISO 27001 i ISO 20000, w zależności od ich przebiegu, uzyskasz wiedzę z zakresu najważniejszych zagadnień dotyczących normy i jej interpretacji, korzystania z podejścia procesowego, podstaw prawnych i psychologii, a wszystko to przebiegnie w sposób ukierunkowany na praktykę. Udział w naszych szkoleniach będzie strategiczny dla dalszego rozwoju Twojej kariery. CIS - Certification & Information Security Services oraz jej organ akredytacyjny są członkami i sygnatariuszami EA (European Cooperation for Accreditation), IAF (International Accreditation Forum) oraz wielu innych gremiów międzynarodowych, które tworzą ramy ogólnoświatowej zgodności kryteriów akredytacji. Jako jednej z nielicznych, jednostce CIS przysługuje prawo umieszczania na swoich produktach symboli państwowych. Trenerzy CIS, dzięki swoim kwalifikacjom w zakresie technologii i umiejętnościom związanym z zarządzaniem, spełniają szereg złożonych wymagań z zakresu bezpieczeństwa informacji i zarządzania usługami. Pracując w pełnym wymiarze godzin są ciągle aktywni w dziedzinie, w której się specjalizują. W ten sposób nasi najlepsi trenerzy gwarantują Państwu realizację praktycznego szkolenia na najwyższym poziomie. Przewaga CIS nad klasyczną formą seminariów, szkoleń i kursów: Dzięki akredytacji udzielonej CIS przez BMWFJ dla ISO 27001 oraz przez itsmf UK dla ISO 20000 certyfikaty uzyskane przez uczestników tych szkoleń uważane są za dokument w skali krajowej i międzynarodowej oraz są rozpoznawane i uznawane na całym świecie. CIS - Twój standard bezpieczeństwa