Zarządzanie ryzykiem w IT



Podobne dokumenty
bezpieczeństwo informacji zarządzanie ryzykiem ochrona danych osobowych optymalizacja procesów biznesowych

Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor) KONSPEKT SZKOLENIA część 1.

Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor)

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Efektywne i skuteczne zarządzanie ryzykiem

COBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP

Rodzaje audytu. Artur Sierszeń

Robert Meller, Nowoczesny audyt wewnętrzny

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Zarządzanie relacjami z dostawcami

NORMA ISO/IEC W ZARZĄDZANIU SERWISEM IT

Winning the Risk Wprowadzenie do Zarządzania Ryzykiem 25 stycznia 2016

Bądź zgodny, przewiduj, wyjaśniaj. Zarządzanie zgodnością i ryzykiem jako nowoczesne zarządzanie szpitalem i koordynacją opieki medycznej

Audyt systemów informatycznych w świetle standardów ISACA

NAZWA SZKOLENIA: SZKOLENIE PRZYGOTOWUJĄCE DO EGZAMINU SPECJALISTYCZNEGO CGAP (Certified Government Auditing Professional)

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Bezpieczeństwo dziś i jutro Security InsideOut

COBIT 5 WHITE PAPER WSTĘP

ZARZĄDZANIE RYZYKIEM wg ISO 31000

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO str. 23

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa. Robert Kępczyński Senior Consultant

KONTROLA ZARZĄDCZA I ZARZĄDZANIE RYZYKIEM W SEKTORZE PUBLICZNYM

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Efektywne Zarządzanie IT w Przedsiębiorstwie, II edycja

Akademia Audytora III AUDYTY SPECJALISTYCZNE agenda szkolenia

SZKOLENIE PREMIUM BANK Z AKREDYTOWANYM EGZAMINEM - ITIL FOUNDATION

Przegląd certyfikatów branŝowych

Kontrola zarządcza w procesie funkcjonowania jednostki

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

W jaki sposób efektywnie zarządzać ryzykiem w organizacji na przykładzie narzędzia klasy GRC. Jan Anisimowicz Łukasz Krzewicki 10 Marzec 2016

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Akademia Audytora III AUDYTY SPECJALISTYCZNE agenda szkolenia

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Efektywne Zarządzanie IT w Przedsiębiorstwie, III edycja

Profilaktyka i strategia

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie usługami IT zwinność

HOLISTYCZNE ZARZĄDZANIE INFORMACJĄ

Szkolenie pt. Wprowadzenie do nowelizacji normy ISO 9001:2015

Zarządzanie bezpieczeństwem informacji w urzędach pracy

TESTER OPROGRAMOWANIA STUDIA PODYPLOMOWE

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

ISO/IEC OD USŁUG POPRZEZ SYSTEM DO CERTYFIKACJI

Cechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz

LANGUAGE: NO_DOC_EXT: SOFTWARE VERSION: 9.6.5

Katalog szkoleń 2014

Kontrola zarządcza IT

Usługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie

Ład w organizacji metodyki, praktyki

ISTOTNYCH. o COBIT 5

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Profesjonalny kupiec

Szkolenie: PRiSM Practitioner - Zrównoważone Zarządzanie Projektami - Warsztaty akredytowane przez GPM Global

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. 1. Cel szkolenia

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Katalog szkoleń certyfikowanych Testowanie Oprogramowania

DNI ADAPTACYJNE Informacje o Programie SGH&CIMA

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

EFEKTYWNE ZARZĄDZANIE ZAKUPAMI

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Standardy typu best practice. Artur Sierszeń

Dotyczy PN-EN ISO 14001:2005 Systemy zarządzania środowiskowego Wymagania i wytyczne stosowania

Comparex It przyszłości już dziś.

Program kształcenia i plan studiów podyplomowych: Audyt wewnętrzny, nadzór i kontrola zarządcza

lub na

EGZAMIN CIA: CZĘSTO ZADAWANE PYTANIA Zaktualizowany sylabus do egzaminu CIA

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

ŚcieŜki Certyfikacji Testera. Karol Mioduszewski - CORRSE

Przeprowadzanie Skutecznej Oceny Jakości Audytu Wewnętrznego

Chmura zrzeszenia BPS jako centrum świadczenia usług biznesowych. Artur Powałka Microsoft Services

PRINCE Foundation

Ryzyko systemów informatycznych Fakty

SPÓŁDZIELCZY BANK POWIATOWY w Piaskach

I. O P I S S Z K O L E N I A

Dlaczego modele architektoniczne to zamało? Wprowadzeniedo ładu architekturykorporacyjnej

Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej

CFO Knowledge Exchange Temat przewodni: Business Intelligence w Excelu

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

CFO Knowledge Exchange Temat przewodni: Praktyczne podejście do optymalizacji procesów biznesowych

r r r. ŁÓDŹ Hotel Ambasador Centrum

Akademia menedżerów IT

KATALOG SZKOLEŃ CERTYFIKOWANYCH 2014

Piotr Welenc, CISA, CRMA, CICA, CGEIT, CRISC, ACO, IRCA LA 27001/22301/ , QAVAl.

Załącznik Nr 1 do SIWZ Załącznik nr 3 do Umowy Szczegółowy Opis Przedmiotu Zamówienia

BANK SPÓŁDZIELCZY GRODKÓW-ŁOSIÓW z siedzibą w Grodkowie

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Projekty BPM z perspektywy analityka biznesowego. Wrocław, 20 stycznia 2011

SPOŁECZNA ODPOWIEDZIALNOŚĆ BIZNESU GIEŁDA PAPIERÓW WARTOŚCIOWYCH W WARSZAWIE SA

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

CORPORATE SOCIAL RESPONSIBILITY GIEŁDA PAPIERÓW WARTOŚCIOWYCH W WARSZAWIE SA

<Insert Picture Here> SOA w oparciu o domeny kompetencyjne oraz architekturę referencyjną

Cykl szkoleń z zarządzania projektami z certyfikacją IPMA poziom D - IV

Transkrypt:

Global Information Security sp. z o.o. bezpieczeństwo informacji zarządzanie ryzykiem ochrona danych osobowych optymalizacja procesów biznesowych Zarządzanie ryzykiem w IT Co osiągniesz przez udziałów szkoleniu? (cele szkoleniowe) Poznasz: o COSO ERM standard zarządzania ryzykiem w skali firmy, o COSO standard szeroko rozumianej kontroli wewnętrznej o COBITv4.1 sprawdzoną platformę i język współpracy między obszarem technologii, biznesu, kontroli i zarządzania. Zaznajomisz się z przejrzystymi sposobami przedstawiania procesów w obszarze IT, ich oceny i odpowiedzialności za poszczególne jej aspekty. Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru: o Pomiaru ryzyka, (skale oceny ryzyka, mapy ryzyka, apetyt na ryzyko) o Metody szacowania ryzyka, o Procesowe podejście do Zarządzania IT, o Zarządzania ryzykiem IT, Poznasz w praktyce ocenę ryzyka związaną z: o Celami jednostek, procesów, podprocesów, usług biznesowych i usług IT, o Modelem oceny dojrzałości procesów IT do oceny ryzyka w obszarach IT. o Mapowaniem ryzyka na procesy, serwisy, usługi, jednostki organizacyjne, o konsolidacja ryzyka z mniejszych jednostek (np. zespołów) na większe (np. departamenty), konsolidacją ryzyka w grupy obszarowe np. ryzyka prawne, zgodności z wymogami zewnętrznymi, o Raportowaniem ryzyka, o Praktyczne struktury zapewniające efektywne zarządzanie ryzykiem i utrzymanie aktualności informacji o ryzyku. Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru zastosowania ryzyka w: o procesie audytu systemów informatycznych, o Zarządzaniu IT, o Zarządzaniu biznesem uzaleŝnionym od IT, o Zarządzaniu cyklem Ŝycia infrastruktury i systemów informatycznych, o Dostarczaniu usług i wsparcia biznesu przez IT, o Ochronie zasobów informacyjnych, o We właściwym przygotowaniu Planów Ciągłości działania biznesu oraz odtwarzania biznesu i IT po katastrofie.

Komu polecamy szkolenie? (grupa celowa, wymagania wstępne) Kadrze kierowniczej i analitykom IT, Specjalistom i osobom nadzorującym obszar kontroli wewnętrznej IT MenadŜerom odpowiedzialnym za operacyjne zarządzanie obszarem technologii informatycznej, Audytorom (w szczególności audytorom systemów informatycznych), Osobom zaangaŝowanym w zapewnienie bezpieczeństwa informacji i ciągłości działania biznesu Wymagania wstępne: Podstawowa wiedza z obszaru działania technologii informatycznej, wsparcia biznesu przez technologie informatyczną i kontroli wewnętrznej. Jak długo trwa? (liczba dni, godzin dydaktycznych) 3 dni (24 godz. dydaktycznych) Jak przebiegają zajęcia? Zajęcia mają formę warsztatowo- szkoleniową. Odbywają się one w oparciu o uznane metodologie i standardy takie jak COSO ERM (standard zarządzania ryzkiem), COBIT (sprawdzoną platformę i język współpracy między obszarem technologii, biznesu, kontroli i zarządzania), COSO (standard szeroko rozumianej kontroli wewnętrznej oraz w oparciu o wytyczne IT Governance Institute. Zajęcia będą poświęcone usystematyzowaniu wiedzy (część szkoleniowo- wykładowa) oraz rozpatrywaniu poszczególnym studium przypadku i przedyskutowaniu w grupie poszczególnych zagadnień. Na Ŝyczenie strony zlecającej na zakończenie szkolenia moŝe odbyć się egzamin testowy, na podstawie wyników którego zostaną wydane zaświadczenia (certyfikaty) świadomych zarządców ryzyka IT. Jaki jest zakres tematyczny szkolenia? Wstęp Co to jest ryzyko i dlaczego do ryzyka IT potrzebne są jeszcze inne normy i standardy Zarządzanie ryzykiem, o Proces Zarządzania Ryzykiem, o Metody analizy ryzyka, o Standardy zarządzania ryzykiem, o Analiza Ryzyka podstawą zarządzania firmy (finansowego, usługami, operacyjnego, bezpieczeństwa informacji, polityki bezpieczeństwa, ciągłości działania biznesu itp.) Część I standard COSO jako podstawa ładu Corporate Governance, Kontrola wewnętrzna Audyt funkcja i rola w firmie, Planowanie audytu, zarządzanie zasobami, Standardy i podręczniki audytu informatycznego ISACA, Analiza ryzyka i szeroko rozumiana kontrola wewnętrzna w audycie Praktyki i techniki audytu informatycznego o Planowanie, o przeprowadzanie audytu, o próbkowanie

o spotkania udytowi, o obserwacja wydajności personelu o Gromadzenie informacji i zabezpieczenie dowodów. o Ryzyka. Technika CSA (Control Self Assesment),. Zmiany w procesie I w planie audytu Część II COSO ERM Co to jest ryzyko, MoŜliwości i zagroŝenia Jednostki operacyjne, cele ryzyka, Procesy biznesowe, cele i ich ryzyka, Zarządzanie usługami, portfel usług, usługi IT, Role i odpowiedzialności za zarządzanie ryzykiem, Środowisko działania firmy, a zarządzanie ryzykiem firmy, Technika CSA (Control Self Assesment), Mapy ryzyka. Część III standard COBIT - Koncepcja Zarządzania procesowego IT Informacje zarządcza IT o Bechmarking porównywanie dojrzałości procesów (skala, wyznaczniki poziomów, ocena naszej firmy, potrzeba biznesowa), o Obszary, cele i miary procesów IT, o Cele działań zapewniających sprawowanie kontroli nad procesami IT Obszary IT Governance o Spójne działanie (włączenie celów biznesu w cele IT) o Dostarczanie wartości, o Zarządzania zasobami, o Zarządzanie ryzykiem o Zarządzanie wydajnością. Komponenty COBIT o Domeny i procesy IT, o Cele i składniki procesów (wejścia, wyjścia, czynności), o Kluczowe aktywności (działania) i mechanizmy kontrolno zabezpieczające, o Odpowiedzialności wskaźniki wydajności, przychodu, poziomy dojrzałości procesów, Dlaczego i jak COBIT nastawiony jest na: o Biznes, o Zarządzanie procesowe, o Spójność biznesu i Iloraz o Rozliczalność IT. Ocena dojrzałości procesów IT Sposób opisu procesu IT i jego znaczenie kostka COBIT Część IV Wybrane procesy domeny Planowanie i organizowanie - do wyboru 4 procesy z poniŝszych (proponujemy PO1, PO5, PO8, PO9) PO1 Define a Strategic IT Plan PO2 Define the Information Architecture

PO3 Determine Technological Direction PO4 Define the IT Processes, Organisation and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources PO8 Manage Quality PO9 Assess and Manage IT Risks PO10 Manage Projects Część V Wybrane procesy i ryzyka domeny Nabywanie i Implementowanie - do wyboru 3 procesy z poniŝszych (proponujemy AI2, AI4, AI6) AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use AI5 Procure IT Resources AI6 Manage Changes AI7 Install and Accredit Solutions and Changes Część VI Wybrane procesy i ryzyka domeny Dostarczanie i wsparcie - do wyboru 5 procesów z poniŝszych (proponujemy DS1, DS3, DS4, DS6, DS8) DS1 Define and Manage Service Levels DS2 Manage Third-party Services DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations Część VII Wybrane procesy i ryzyka domeny Monitorowanie i ocena - do wyboru 2 procesy z poniŝszych (proponujemy ME1, ME2) ME1 Monitor and Evaluate IT Performance ME2 Monitor and Evaluate Internal Control ME3 Ensure Compliance With External Requirements ME4 Provide IT Governance Kto będzie prowadził zajęcia? Marek Pióro, CISA, CISM audytor praktyk z 10 letnim doświadczeniem zawodowym z obszaru IT i telekomunikacji oraz wiedzą z zakresu: 1. Audytu obszaru technologii (IT i Techniki) 2. Zarządzania Bezpieczeństwem informacji, 3. Zarządzania Technologią Informatyczną, 4. Ochrony Zasobów Informatycznych i informacyjnych, 5. Utrzymania Ciągłości biznesu i odtwarzania po katastrofie,

6. Zarządzania Ryzykiem W/w doświadczenie zdobył pracując w jednego z integratorów IT oraz u operatora telekomunikacyjnego, współpracując z czołowymi dostawcami z obszaru IT i bezpieczeństwa oraz prowadząc własna firmę (Global Information Security Sp. z o. o) i wykładając na uczelniach (SGH). Posiada certyfikaty Certified Information Systems Auditor (CISA) oraz Certified Information Security Manager (CISM), wydane przez ISACA (Information Systems Audit and Control Association - Stowarzyszenie ds. Audytu i Kontroli Systemów Informatycznych). Ile wynosi odpłatność? Liczebność grupy 2700 zł + VAT od 1 osoby Grupy 6-8 osób. Przy zamawianiu szkolenia dla grupy cena do negocjacji Materiały, pomoce dydaktyczne, sprzęt Dla uczestników: o podręcznik w formie wydrukowanej prezentacji, pojedyncze kartki ze scenariuszami ćwiczeń, o COBIT (Control Objectives for IT and realated Technology) v. 4.1 UŜywane przez trenera: prezentacja PP wyświetlana podczas zajęć Sprzęt: laptop, projektor LCD Kiedy odbędzie się szkolenie? 27-29 października 2008r.