Семинар на тему «Система управления информационной безопасностью. ISO 27001»

В соответствии с Планом профессионального обучения работников РГП «Госэкспертиза» на 2017 год, с 20 по 21 апреля 2017 года в городе Астане состоялся семинар на тему «Система управления информационной безопасностью. ISO 27001», организованный ТОО «World Class Education», для ответственных сотрудников по информационной безопасности РГП «Госэкспертиза» и его филиалов.
На семинаре были рассмотрены следующие вопросы:
1. Стандарты СТ РК ИСО/МЭК 27001-2015, СТ РК ИСО/МЭК 27002-2015, СТ РК ISO/IEC 27005:2013. Семейство стандартов ISO 27000, сферы применения стандартов. Основные термины и определения. Связь со стандартами серий 9000 и 14000. Управление рисками информационной безопасности (далее – ИБ). ISO 27005.
2. Обзор системы управления информационной безопасностью (далее – СУИБ). Цикл Деминга – Шухарта PDCA (Планирование – Реализация – Оценка – Корректировка).
3. Рекомендации стандарта СТ РК ИСО/МЭК 27001 по реализации системы управления информационной безопасностью. Область применения. Общие требования. Разработка, реализация, мониторинг и сопровождение СУИБ.
4. Подготовка к созданию СУИБ. Определение Политики в области СУИБ и области приложения СУИБ. Анализ активов предприятия. Инвентаризация активов, их оценка и ранжирование.
5. Управление рисками ИБ. Методы и подходы к управлению рисками ИБ. Выявление и оценка угроз, уязвимостей, возможного ущерба. Выбор стратегий управления рисками. Рекомендации стандарта СТ РК ISO/IEC 27005:2013.
6. Требования к документированию процессов СУИБ. Управление документами, записями. Требования к персоналу и ресурсам. Заинтересованность руководства, управление ресурсами, обучение. Обязанности персонала. Рекомендации стандарта СТ РК ИСО/МЭК 27002-2015. Цели управления и средства управления СУИБ. Приложение «А» стандарта СТ РК ИСО/МЭК 27001-2015. Практические рекомендации.
7. Политика ИБ и требуемый уровень безопасности. Концепция и политика ИБ, методы их формирования. Определение процедур внедрения средств управления ИБ. Ознакомление и оповещение. Обучение. Обеспечение непрерывности бизнеса предприятия. Обеспечение катастрофо-устойчивости. Завершение внедрения СУИБ. Документация СУИБ. Матрица применимости.
8. Внутренний аудит СУИБ. Необходимость аудита, его виды, цели, задачи. Обязанности аудитора.
9. Подготовка к аудиту и его проведение. Планирование аудита.
10. Сбор свидетельств. Техника аудита. Ведение записей. Формулирование несоответствий.
11. Завершение аудита и применение результатов аудита. Механизмы анализа и пересмотра СУИБ.
После окончания семинара участникам были вручены свидетельства.