Studia podyplomowe - Specjalność - Administrator Bezpieczeństwa Informacji (ABI) Organizator studiów - Wydział - Wydział Dowodzenia i Operacji Morskich Kierownik studiów Kmdr dr hab. Jarosław TESKA Kierownik merytoryczny studiów: Jarosław Feliński 602-105-852v 508-608-136 jaroslaw.felinski@gazeta.pl (kierunek): zarządzanie NAZWA STUDIÓW PODYPLOMOWYCH: - program autorski Administrator Bezpieczeństwa Informacji (ABI) / podyplomowe studia zarządzania bezpieczeństwem informacji Specjalność: zarządzanie bezpieczeństwem informacji CZAS TRWANIA (ilość godzin): Dwa semestry (218 godzin) (INAUGURACJA 7 i 8 listopada 2015) CEL STUDIÓW (uzasadnienie potrzeby): Umiejętności odpowiedniej i zgodnej z potrzebami organizacji, ochrony zasobów informacji [aktywów informacyjnych], w tym danych osobowych, prawa do konstytucyjnej i ustawowej ochrony prywatności jednostki, korespondencji, aktywności w portalach społecznościowych, staje się nie lada wyzwaniem dla wielu administratorów danych. W sytuacji działalności podmiotu publicznego, biznesowego, konieczności dostępu do informacji publicznej oraz ochrony informacji separowanej, niezbędnym staje się wysoko wykwalifikowana KADRA ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI. Koniecznością bieżącej sytuacji, staje się odpowiednie profilowane kształcenie ultradyscyplinarnych, analityków z zarysem prawa, informatyki, zarządzania, metodyki przeprowadzania audytów i szkoleń - (Administratorów Bezpieczeństwa Informacji / MANAGERÓW BEZPIECZEŃSTWA INFORMACJI). [zmiana przepisów prawa ochrony danych osobowych z dniem 01 stycznia 2015r.] Funkcja administratora zarządzającego informacją i danymi osobowymi staje się coraz bardziej atrakcyjną specjalnością o szerokich możliwościach konsultingowych, doradczych i szkoleniowych. Specjaliści do spraw zabezpieczenia danych osobowych w zasobach manualnych i technicznych są coraz częściej poszukiwani na rynku pracy zarówno w administracji jak i w przedsiębiorstwach [szczególnie w biznesie operującym danymi osobowymi klientów]. Umiejętność właściwej organizacji ochrony zasobów informacji [aktywów informacyjnych] w tym danych osobowych, prawa do ochrony prywatności jednostki, korespondencji, aktywności w portalach społecznościowych staje się nie lada wyzwaniem dla wielu administratorów. W sytuacji działalności biznesowej, konieczności dostępu do informacji publicznej oraz ochrony informacji separowanej, koniecznością staje się szkolenie ultradyscyplinarnych profesjonalistów (MANAGERÓW BEZPIECZEŃSTWA INFORMACJI). Niniejsza oferta edukacyjna skierowana jest do osób odpowiedzialnych za organizację ochrony danych osobowych po nowelizacji Ustawy, a także za właściwe określenie warunków polityki bezpieczeństwa informacji w jednostce organizacyjnej oraz zadań i uprawnień pracowników posiadających dostęp do informacji stanowiących tajemnicę organizacji. Ponadto w zakresie organizacji ochrony danych osobowych w Komisji Europejskiej, trwa praca nad wprowadzeniem w życie nowej, powszechnej w obszarze Unii Europejskiej, regulacji zastępującej dotychczasową Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady Europy z dnia 24 października 1995r. Dokumentem tym jest: ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY - w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne
rozporządzenie o ochronie danych) KOMISJA EUROPEJSKA Bruksela, dnia 25.01.2012r. COM(2012) 11 finał 2012/0011 (COD) W dokumencie nowego Rozporządzenia określone zostały: 1. Inspektor Ochrony Danych nazwa osoby funkcyjnej art.35; 2. status inspektora ochrony danych; 3. wymagane kwalifikacje do pełnienia funkcji IOD; 4. zadania art. 37 i podległość art.36 ust 2.; 5. obowiązki podmiotu administratora w zakresie zapewnienia zasobów [ ] cyt: art. 35 ust 5. - Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań, o których mowa w art. 37. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający. [ ] art.35 ust 7. - Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na okres co najmniej dwóch lat. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków. Inspektor ochrony danych może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług. SŁUCHACZE (do kogo adresowane są studia): Odpowiednio przygotowany administrator bezpieczeństwa informacji jest funkcyjnym podnoszącym poziom edukacji użytkowników przetwarzających informacje w organizacji i reprezentantem (tarczą), który zapewni każdemu podmiotowi stabilność w przypadku jakiejkolwiek kontroli uprawnionych organów. Z dniem akcesji Polski do Unii Europejskiej weszła w życie, jak do tej pory najbardziej znacząca, nowelizacja Ustawy o ochronie danych osobowych. Wraz z wprowadzeniem zmian do przepisów rangi ustawowej, wydano także odpowiednie rozporządzenia wykonawcze do Ustawy, określające nowe wymagania techniczne i organizacyjne związane z przetwarzaniem danych osobowych, głównie w systemach informatycznych. Podmioty przetwarzające dane osobowe mają obowiązek dostosować do nowych przepisów swoje procedury, dokumentację opisującą przetwarzanie danych, jak również systemy informatyczne służące do przetwarzania danych. Oferta edukacyjna skierowana jest do: kandydatów na administratorów zarządzających danymi osobowymi; osób wyznaczonych do wykonywania funkcji ABI; doradców i konsultantów; oraz: - kierowników jednostek organizacyjnych, ich zastępców - kierowników komórek organizacyjnych (kadry, płace, działy informatyczne, księgowość), - kierowników komórek obsługi klientów (pacjentów/ studentów/lokatorów etc.) - kierowników i pracowników sekretariatów - osób realizujących zadania związane z przetwarzaniem danych osobowych (audytorzy, audytorzy bezpieczeństwa informacji, audytorzy systemów IT, Inspektorzy Ochrony Danych w przyszłości, radcy, konsultanci, współpracownicy, trenerzy) Studia podyplomowe mogą okazać się równocześnie ciekawym uzupełnieniem wiedzy osób pracujących w różnych organizacjach.
KADRA DYDAKTYCZNA: WYDZIAŁ DOWODZENIA I OPERACJI MORSKICH Zajęcia prowadzić będą wysokiej klasy specjaliści z zakresu teorii i praktyki zarządzania informacjami. Wartością dodaną będzie możliwość wymiany doświadczeń w zróżnicowanych charakterach i celach działań organizacji. Ewa Kulesza UŁ; Pierwszy Generalny Inspektor GIODO RP w latach 1998 2006 Jarosław Feliński Wykładowca akademicki, Główny ekspert ds ochrony danych osobowych ABI Consulting, Audytor wiodący PN 27001 Tomasz Lenarczyk Wykładowca akademicki [AGH Kraków, WIT Warszawa, WSAP Szczecin], radca prawny Przemysław Olszewski Dyrektor Biura Rektora AGH Kraków, Audytor wiodący PN 27001 Sebastian Szczerba Audytor wiodący PN 27001, radca prawny Roman Podobiński Szef IT ZDiZ GDAŃSK; Audytor wiodący PN 27001 KORZYŚCI ZE STUDIÓW: Ukończenie studiów pozwoli na zapoznanie się z wiedzą umożliwiającą wykonywanie funkcji zarządcy [managera] bezpieczeństwem informacji, w obecnym stanie prawnym jako ABI oraz w przyszłym rozwiązaniu Inspektora Ochrony Danych, a także udzielanie porad i konsultacji stronom trzecim. W wyniku zakończenia studiów słuchacze uzyskają dyplom ukończenia studiów podyplomowych z zakresu Systemów Zarządzania Bezpieczeństwem Informacji. W trybie deklaracji o potrzebie uzyskania umiejętności i po zdaniu egzaminu kandydaci uzyskają certyfikaty TÜV NORD POLSKA Audytora Wewnętrznego SZBI*. [* Audytor Wewnętrzny SZBI PN-ISO/IEC 27001 (- ISMS -Information Security Management System) kurs realizowany w trakcie dodatkowego zjazdu oraz opłaty, po zgłoszeniu zapotrzebowania przez osoby zainteresowane]
PRAWO 20% PEDAGOGIKA 20% INFORMATYKA 25% ABI MBI [~ IOD] INNE NIEZBĘDNE UMIEJĘTNOŚCI 10% PSYCHOLOGIA SOCJOLOGIA 10% ZARZĄDZANIE 15% SCHEMAT PRZYGOTOWANIA ABI /ASI [~ IOD] PROGRAM RAMOWY: Legenda: W wykład, Ć ćwiczenia, Wr Warsztaty, SZCZEGÓŁOWE TREŚCI KSZTAŁCENIA: Prawne i organizacyjne zasady ochrony informacji w organizacji: - zarządzanie procesami w ochronie danych osobowych Łącznie sem. I 126 godz. Zarządzanie bezpieczeństwem informacji i danych osobowych w organizacji: - Systemy bezpieczeństwa (system informacyjny a system informatyczny) Semestr II Łącznie sem.ii 92 godz. UWAGA: Podział w proporcji Wykład 70% / Ćwiczenia 30 % prowadzonych zajęć.
WARUNKI PRZYJĘCIA NA STUDIA: O przyjęcie na studia podyplomowe mogą ubiegać się osoby, zgodnie z regulaminem studiów Uczelni. WYSOKOŚĆ OPŁAT: 4.400 zł + opłaty określone w Regulaminie Rekrutacji AMW WARUNKI UKOŃCZENIA STUDIÓW: EGZAMIN Liczebność grupy do 30 studentów:
ABI/ ASI/ MBI*/ Audytor ** Kompleksowe przygotowanie osób zarządzających danymi osobowymi, do pełnienia funkcji w zgodności z rozdziałem 5 UODO. Kandydaci do pełnienia funkcji zarządców w obszarach danych osobowych w organizacji: administracja, przedsiębiorcy oraz inni administratorzy danych osobowych * zakres przedmiotowy dla wszystkich studentów: świadectwo ABI/ ASI/ Manager Bezpieczeństwa Informacji MBI/ ---------------------------------------------------------- ** zakres rozszerzony o egzamin audytora wewnętrznego: certyfikat dodatkowo płatny zł na rzecz TUV NORD POLSKA Audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) wg PN ISO/IEC 27001:2007
Szczegółowy program zajęć dydaktycznych Administrator Bezpieczeństwa Informacji podyplomowe studia zarządzania bezpieczeństwem informacji Obszar kształcenia, PRZEDMIOTY w ramach którego prowadzone są studia: 1. Specjalność: zarządzanie bezpieczeństwem informacji 2. Wykaz przedmiotów i ich treść, wymiar godzinowy, punkty ECTS: Lp Nazwa przedmiotu Treść przedmiotu 1 Krajowe i międzynarodowe regulacje prawne ochrony danych osobowych EWA KULESZA 2 Bezpieczeństwo informacji w świetle normy PN-IS/IEC 17799 i 27002 SEBASTIAN SZCZERBA 3 Ochrona państwa i porządku konstytucyjnego TOMASZ LENARCZYK 4 Funkcjonalne systemy bezpieczeństwa informacji warianty, schematy organizacyjne 5 Dobór osób funkcyjnych (ABI/ASI/Manager Bezpieczeństwa Informacji MBI/Audytor)- 6 Zasady oceny efektywności PBI (preaudyt) - przedstawienie i omówienie krajowych i międzynarodowych granic ochrony danych osobowych; - dyrektywy Unii Europejskiej - Konstytucja RP - Ustawa o ochronie danych osobowych - rozporządzenia wykonawcze - komentarz do przepisów prawa - podstawowe pojęcia obszarów zarządzania informacjami prawnie chronionymi - alfabet administratora - zadania osób funkcyjnych wg PN 17799 - podział obowiązków warianty organizacyjne - nadzór osób funkcyjnych - zadania - konstytucyjny i ustawowy zakres działań podmiotów realizujących zadania ochrony prywatności osób - porządek prawny RP - zasady stanowienia prawa powszechnego - organy władzy państwowej i samorządowej - definicje systemów, funkcjonalności, organizacji i jakości zarządzania - warianty systemów bezpieczeństwa informacji - organizacje o zróżnicowanej strukturze - analiza - podmioty publiczne, JST;- podmioty biznesowe - służba zdrowia - resort sprawiedliwości - analiza i ocena organizacji w aspekcie ustanowienia podmiotu zarządzającego danymi - ocena przygotowania osób funkcyjnych - zasoby wiedzy - przykłady rozwiązań - ABI/ - ASI / - MBI / IODo - wstęp do procesowego zarządzania, - SIWBI specyfikacja istotnych warunków bezpieczeństwa informacji - audyt wewnętrzny - kontrola działania PBI - nadzór powierzenia danych - audyt drugiej strony - metodyka audytu bezpieczeństwa informacji Liczba godzin 12/12 3 14/26 4 8/34 2 16/50 4 8/58 2 16/74 4 Liczba punktó w ECTS
7 System zarządzania bezpieczeństwem informacji nowa jakość ochrony informacji PN -27001:2007 cz.i SEBASTIAN SZCZERBA 9 Ochrona osób, instytucji i urządzeń systemy i nośniki ROMAN PODOBIŃSKI 10 Ocena zagrożeń, proces decyzyjny i problemy ryzyka PRZEMYSŁAW OLSZEWSKI - procesowe zarządzanie informacją - celowość przetwarzania danych - koło Deminga sens i znaczenie - adekwatność gromadzenia danych - poufność przetwarzanych informacji - projektowanie zabezpieczeń 16/90 3 - zasady ochrony technicznej i fizycznej zasobów informacji 14/104 4 - warunki minimalne - optymalizacja systemu - rejestracja nośników - zarządzanie kopiami zasobów - analiza i ocena zagrożeń w realizacji zadań ochrony aktywów informacyjnych 14/118 4 - zadania kierownictwa - odpowiedzialność użytkowników - pojęcie ryzyka - zasady oceny ryzyka SEMESTR I łącznie: 118 30 11 GIODO krajowy strażnik ochrony danych osobowych: uprawnienia EWA KULESZA 12 Rola i znaczenie służb specjalnych RP w systemie bezpieczeństwa państwa i ochrony informacji SEBASTIAN SZCZERBA 13 Systemy informatyczne i programy ochrony. Zarządzanie ochroną systemów informatycznych w organizacji ROMAN PODOBIŃSKI 14 Polityka informacyjna administratora 15 Identyfikacja zagrożeń, ocena i zarządzaniem ryzykiem JAROSŁAW FELIŃŚKI 16 System zarządzania bezpieczeństwem informacji nowa jakość ochrony informacji PN -27001:2007 cz. II - SEBASTIAN SZCZERBA 17 Zarządzanie jakością i bezpieczeństwem informacji PRZEMYSŁAW OLSZEWSKI - zadania GIODO - uprawnienia kontrolne krajowego organu ochrony danych - zasady prowadzenia kontroli przez GIODO - odpowiedzialność przed GIODO - zarys uprawnień służb wewnętrznych RP, w procesach przetwarzania informacji [gromadzenie / wykorzystanie/ retencja danych] - zadania i uprawnienia służb bezpieczeństwa wewnętrznego - krajowe służby ochrony informacji - techniczne warunki zabezpieczenia danych w IT - warunki przetwarzania danych w systemach - minimalne warunki zabezpieczeń, warianty rozwiązań - e- pacjent; e- dziennik; e WUŚ - - system danych w elektronicznych nośnikach / strumieniach przetwarzania - sposoby realizacji art. 24 UODO, przez administratora danych - udzielanie odpowiedzi w trybie art. 32 UODO - informowanie o zagrożeniach - praca informacyjna w organizacji - analiza i zdefiniowanie zasobów oraz ich podatności na zjawiska -incydent, naruszenie, utrata - zasady oceny zagrożeń - katalog ryzyka - SZBI wg PN 27001 jakościowe ujęcie bezpieczeństw informacji - nowoczesny system zarządzania informacjami - standaryzacja procedur - przekształcenie PBI w SZBI - wspólne obszary zarządzania jakość zarządzania dane osobowe - polityka bezpieczeństwa w świetle polityki jakości organizacji - wpływ PBI na PJ 14/14 4 8/22 2 16/38 4 8/46 3 8/54 2 8/62 3 8/70 2
18 Systemy technicznej ochrony informacji nowe rozwiązania, trendy, cloud computing ROMAN PODOBIŃSKI 19 Inżynieria systemów ochrony i bezpieczeństwa informacji ROMAN PODOBIŃSKI 20 Klasyfikacja informacji niejawnych. Organizacja systemu ochrony informacji i urządzeń niejawnych w zarysie Razem semestr I i II - uwarunkowania techniczne systemów IT - dywersyfikacja przetwarzania danych w nowych kategoriach nośników - nowe formy przetwarzania danych 8/78 3 - techniczne warunki ochrony informacji - warunki podstawowe bezpieczeństwa informacji - zaawansowane warianty systemów ochrony informacji 8/86 2 - zarys informacji szczególnie chronionych 6/92 4 - klasyfikowanie IN - pełnomocnik ochrony informacji niejawnych zadania; - zasady udzielania uprawnień i ochrony IN - postępowanie sprawdzające SEMESTR II łącznie: 92 30 210