CISA_Konspekt Szkolenia

Global
Information
Security
sp. z o.o.
bezpieczeństwo informacji
zarządzanie ryzykiem
ochrona danych osobowych
optymalizacja procesów biznesowych
Przygotowanie do egzaminu na certyfikat CISA (Certified
Information Systems Auditor)
KONSPEKT SZKOLENIA – część 1.
Co osiągniesz przez udziałów szkoleniu? (cele szkoleniowe)
•
•
Przygotujesz się do egzaminu testowego do uzyskania certyfikatu CISA
zapewniającego uznanie na całym świecie kompetencji zawodowych w
obszarze audytu systemów informatycznych (więcej informacji
www.isaca.org oraz www.isaca.org.pl .
Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru:
o Procesu Audytu systemów informatycznych ,
o Zarządzania IT (w tym),
o Zarządzania ryzykiem IT,
o Zarządzania cyklem Ŝycia infrastruktury i systemów informatycznych,
o Dostarczania usług i wsparcie biznesu przez IT,
o Ochrony zasobów informacyjnych,
o Ciągłości działania biznesu i odtwarzania biznesu i IT po katastrofie
UWAGA! Egzamin odbywa się w języku duńskim, angielskim, francuskim, niemieckim,
hebrajskim, włoskim, japońskim, koreańskim i hiszpańskim.
Komu polecamy szkolenie? (grupa celowa, wymagania wstępne)
•
•
•
Audytorom (w szczególności audytorom systemów informatycznych),
Kadrze kierowniczej i analitykom IT,
MenadŜerom odpowiedzialnym za operacyjne zarządzanie obszarem
technologii informatycznej,
• Osobom zaangaŜowanym w zapewnienie bezpieczeństwa informacji i
ciągłości działania biznesu
• Specjalistom i osobom nadzorującym obszar kontroli wewnętrznej IT
Wymagania wstępne:
Podstawowa wiedza z obszaru działania technologii informatycznej, wsparcia
biznesu przez technologie informatyczną i kontroli wewnętrznej.
Znajomość (w stopniu umoŜliwiającym czytanie i rozumienie tekstów technicznych)
jednego z języków w których jest przeprowadzany egzamin np. język angielski,
hiszpański, włoski, francuski.
Jak długo trwa? (liczba dni, godzin dydaktycznych)
7 dni (56 godz. dydaktycznych)
Jak przebiegają zajęcia?
Zajęcia mają formę warsztatowo- szkoleniową. Odbywają się one w oparciu o
oficjalny program ramowy certyfikatu CISA. Zajęcia będą poświęcone
usystematyzowaniu wiedzy (część szkoleniowo- wykładowa) oraz rozpatrywaniu
poszczególnym „studium przypadku” i przedyskutowaniu w grupie poszczególnych
zagadnień. Będą prowadzone w języku polskim. PoniewaŜ sam egzamin nie odbywa
się w języku polskim, celem lepszego przygotowania się do egzaminu, uczestnicy
otrzymają podręcznik ISACA „CISA Review Manual 2008 English Edition” wydany w
języku angielskim lub ich odpowiedniki w językach francuskim, włoskim lub
hiszpańskim. Celem właściwego przygotowania się do certyfikatu uczestnicy będą
proszeni o wcześniejsze zapoznanie się z daną partia materiału z w/w podręcznika.
KaŜdy dzień zajęć będzie składał się z 6 godzin wykładów połączonych z dyskusją
oraz z 2 godzin zajęć warsztatowych w podgrupach (do 8 osób), na zakończenie
których omówione będą przykłady pytań związanych z daną partią materiału
występujących w testach egzaminacyjnych.
Jaki jest zakres tematyczny szkolenia?
Wstęp Wymogi certyfikatu CISA
Część I Procesu Audytu systemów informatycznych,
• Audyt – funkcja i rola w firmie,
• Planowanie audytu, zarządzanie zasobami,
• Standardy i podręczniki audytu informatycznego ISACA,
• Analiza ryzyka i szeroko rozumiana kontrola wewnętrzna w audycie
• Praktyki i techniki audytu informatycznego
o Planowanie,
o przeprowadzanie audytu,
o próbkowanie
o spotkania audytowe,
o obserwacja wydajności personelu
o Gromadzenie informacji i zabezpieczenie dowodów.
o Ryzyka.
• Technika CSA (Control Self Assesment),.
• Zmiany w procesie I w planie audytu
Część II Zarządzania obszarem Technologii Informatycznej,
• Corporate Governance
• Praktyki zarządcze na poziomie zarządu,
o Najlepsze praktyki w obszarze zarządzania IT,
o Komitet Strategiczny IT
o ZrównowaŜona Karta wyników
• Strategia IT,
o Planowanie strategiczne,
o Komitet Sterujący,
• Zasady i procedury,
• Zarządzanie ryzykiem,
o Proces Zarządzania Ryzykiem,
o Metody analizy ryzyka,
o Standardy zarządzania ryzykiem,
• Praktyki zarządzania IT,
o Zarządzanie personelem,
o Zarządzanie usługami i zasobami technicznymi,
o Zarządzanie zmianami (budŜet, zarządzanie jakością, zarządzanie
bezpieczeństwem, optymalizacja wydajności)
• Struktury i odpowiedzialności w IT,
o Rozgraniczenie zakresów obowiązków,
o Rozdzielenie mechanizmów kontrolno-zabezpieczających
Część
•
•
•
•
•
•
•
•
•
•
•
III Zarządzania systemami i cyklem Ŝycia infrastruktury,
Realizacja biznesu:
Zarządzanie projektem w realizacji biznesu,
Praktyki zarządzanie projektem.
Rozwój aplikacji biznesowych.
Rozwój infrastruktury.
Praktyki utrzymania systemów informatycznych.
Praktyki optymalizacyjne biznesu.
Struktura Zarządzania projektem,
Aplikacyjne mechanizmy kontrolno- zabezpieczające,
Audyt rozwoju, utrzymania i nabywania systemów informatycznych.
Biznesowe systemy aplikacyjne.
Część
•
•
•
•
•
•
•
•
IV Dostarczanie usług i wsparcie
Zarządzanie operacjami systemów informatycznych i usługami IT,
Monitorowanie uŜycia zasobóow,
Help Desk,
monitorowanie zmian.
Zarządzanie release’ami.
Zapewnienie jakości.
Zarządzanie bezpieczeństwem.
Architektura systemów informatycznych. Infrastruktura sieciowa. Audyt
infrastruktury i operacji IT.
Część V Ochrony Zasobów informacyjnych,
• Proces zarządzania bezpieczeństwem informacji.
• ZagroŜenia dostępu logicznego.
o Identyfikacja, autentykacja.
o Social Engenering.
o Aspekty autoryzacji.
o Przechowywanie, transport i usuwanie poufnych informacji.
• Bezpieczeństwo infrastruktury sieci.
o Bezpieczeństwo sieci lokalnych,
o Bezpieczeństwo rozwiązań Klient-Serwer,
o ZagroŜenia dostępu bezprzewodowego i łagodzenie ryzyka,
o Aspekty bezpieczeństwa Internetu.
Ataki pasywne i aktywne,
Typowe podatności na atak z Internetu,
Mechanizmy kontrolno- zabezpieczające przed atakiem,
Firewall’e,
Systemy IDS/IPS,
Przynęty.
• Szyfrowanie.
o Kluczowe elementy systemów szyfrujących,
o systemy klucza prywatnego,
o Systemy klucza publicznego,
o Podpisy cyfrowe,
o Koperta cyfrowa,
o Infrastruktura klucza publicznego,
o Ryzyka szyfrowania i ochrona hasła,
• Wirusy,
• Voice-over IP.
•
•
•
•
Część
•
•
•
•
•
•
•
•
•
•
•
PBX.
Audyt bezpieczeństwa informacji.
Audyt bezpieczeństwa infrastruktury sieci.
ZagroŜenia środowiskowe i mechanizmy kontrolno-zabezpieczające.
VI Ciągłości Biznesu i odtwarzanie po katastrofie.
Ciągłość biznesu/ odtwarzanie po katastrofie.
Zdarzenia, incydenty, problemy.
Analiza wpływu na biznes ( BIA).
Krytyczność procesów i usług.
Scenariusze.
Wybór obszarów odtwarzania.
Czas odtworzenia, minimalny poziom działania , wydajności, maksymalny
czas odtworzenia.
Komponenty planu BCP.
o Personel podejmujący kluczowe decyzje,
o Kopie zapasowe,
o Metody odtworzenia sieci telekomunikacyjnych,
o Macierze dysków,
o Ubezpieczenie,
Testowanie.
Backup i odtworzenie, powrót do działań w stanie normalnym.
Audyt planów ciągłości działania i odtwarzania po katastrofie.
Kto będzie prowadził zajęcia?
Marek Pióro, CISA, CISM – audytor praktyk z 10 letnim doświadczeniem
zawodowym z obszaru IT i telekomunikacji oraz wiedzą z zakresu:
1. Audytu obszaru technologii (IT i Techniki)
2. Zarządzania Bezpieczeństwem informacji,
3. Zarządzania Technologią Informatyczną,
4. Ochrony Zasobów Informatycznych i informacyjnych,
5. Utrzymania Ciągłości biznesu i odtwarzania po katastrofie,
6. Zarządzania Ryzykiem
W/w doświadczenie zdobył pracując w jednego z integratorów IT oraz u operatora
telekomunikacyjnego (Plus GSM), współpracując z czołowymi dostawcami z obszaru
IT i bezpieczeństwa oraz prowadząc własna firmę (Global Information Security Sp. z
o. o) i wykładając na uczelniach (SGH). Posiada certyfikaty Certified Information
Systems Auditor (CISA) oraz Certified Information Security Manager (CISM), wydane
przez ISACA (Information Systems Audit and Control Association - Stowarzyszenie
ds. Audytu i Kontroli Systemów Informatycznych).
Ile wynosi odpłatność?
Liczebność grupy
5600 zł + VAT
Grupy 6- 8 osób
KONSPEKT SZKOLENIA – część 2.
Szczegółowy plan szkolenia – metody i tematyka
Dzień I
Moduł I Proces Audytu systemów informatycznych
Wprowadzenie Przedstawienie się trenera
(15 min.)
Krótkie przedstawienie się uczestników: czym się zajmują, jakie
są ich oczekiwania odnośnie szkolenia
Prezentacja planu szkolenia
Prezentacja
Wymogi certyfikatu CISA, Audyt – funkcja i rola w firmie,
(75 minut)
planowanie audytu, zarządzanie zasobami, Standardy i
podręczniki audytu informatycznego ISACA
Prezentacja z
Analiza ryzyka i szeroko rozumiana kontrola wewnętrzna dyskusją
podstawy
(90 minut)
Cele mechanizmów kontrolno – zabezpieczających
Technika CSA (Control Self Assesment) – wbudowywania
mechanizmów kontrolno zabezpieczających w procesy biznesowe
Prezentacja z
Praktyki i techniki audytu informatycznego
dyskusją
Planowanie, przeprowadzanie audytu, Gromadzenie informacji i
(90 minut)
zabezpieczenie dowodów. Ryzyka
Warsztaty
Ocena, uzgadnianie wyników, raportowanie.
(90 minut)
Plan audytu w skali firmy i jego aktualizacja (zmiany). Ryzyka
w podgrupach)
Dzień II
Moduł II
IT Governance
Prezentacja z
Monitoring i dobre praktyki zarządcze IT na poziomie zarządu i
dyskusją
kadry kierowniczej. Strategia IT, plany taktyczne, operacyjne,
(90 minut)
standardy, zasady, procedury. Zarządzanie ryzykiem IT
Prezentacja z
Zarządzanie personelem, Zarządzanie usługami, Zarządzanie
dyskusją
finansowe w IT, Zarządzanie jakością, Zarządzanie
(90 minut)
Bezpieczeństwem informacji, optymalizacja wydajności. Ryzyka
Dyskusją
Struktura organizacyjna, role i odpowiedzialności w IT. Ryzyka
(90 minut)
Warsztaty
Audytu IT. Studium przypadku, testy.
(90 minut)
Audyt IT Governance. Studium przypadku, test
w podgrupach
Dzień III
Moduł III Zarządzanie cyklem Ŝycia infrastruktury i systemów informatycznych
Test,
Test wstępny
Prezentacja
Zarządzanie projektem w realizacji biznesu. Ryzyka
(90 minut)
Prezentacja z
Praktyki zarządzanie projektem. Rozwój aplikacji biznesowych.
dyskusją
Rozwój infrastruktury. Praktyki utrzymania systemów
(90 minut)
informatycznych. Praktyki optymalizacyjne biznesu. Ryzyka
Prezentacja z
Aplikacyjne mechanizmy kontrolno- zabezpieczające, Audyt
dyskusją
rozwoju, utrzymania i nabywania systemów informatycznych.
(90 minut)
Biznesowe systemy aplikacyjne. Ryzyka
Warsztaty,
Audyt Cyklu Ŝycia infrastruktury i systemów informatycznych,
Dyskusja
studium przypadku, test.
(90 minut)
Dzień IV
Moduł IV – Dostarczanie usług i wsparcie
Prezentacja z
Test wstępny
dyskusją
Zarządzanie operacjami systemów informatycznych i usługami IT.
(90 minut)
Ryzyka
Prezentacja z
Monitorowanie uŜycia zasobów, Help Desk, monitorowanie
dyskusją
zmian. Zarządzanie release’ami. Zapewnienie jakości.
(90 minut)
Zarządzanie bezpieczeństwem. Ryzyka
Prezentacja z
Architektura systemów informatycznych. Infrastruktura sieciowa.
dyskusją
Audyt infrastruktury i operacji IT. Ryzyka
(90 minut)
Warsztaty
Audyt - Dostarczanie usług i wsparcie - studium przypadku, test
(90 minut)
podsumowujący
w podgrupach
Dzień V
Moduł V – Ochrona zasobów informacyjnych
Test,
Test wstępny
Prezentacja
Proces zarządzania bezpieczeństwem informacji. Ryzyka
(90 minut)
Prezentacja z
ZagroŜenia dostępu logicznego.
dyskusją
• Identyfikacja, autentykacja.
(90 minut)
• Social Engenering.
• Aspekty autoryzacji.
• Przechowywanie, transport i usuwanie poufnych informacji.
Prezentacja z
Ryzyka i bezpieczeństwo infrastruktury sieci .
dyskusją
• Bezpieczeństwo sieci lokalnych,
(90 minut)
• Bezpieczeństwo rozwiązań Klient-Serwer,
• ZagroŜenia dostępu bezprzewodowego i łagodzenie ryzyka,
• Aspekty bezpieczeństwa Internetu
Warsztaty
Audyt bezpieczeństwa infrastruktury sieci., studium przypadku,
(90 minut)
test.
w podgrupach
Dzień VI
Moduł V. – Ochrona zasobów informacyjnych - kontynuacja
Test,
Test wstępny. Ryzyka i bezpieczeństwo infrastruktury sieci
Prezentacja
kontynuacja:
(90 minut)
• Aspekty bezpieczeństwa Internetu:
o Ataki pasywne i aktywne,
o Typowe podatności na atak z Internetu,
o Mechanizmy kontrolno- zabezpieczające przed atakiem,
o Firewall’e,
o Systemy IDS/IPS,
o Przynęty
Prezentacja z
Szyfrowanie.
dyskusją
• Kluczowe elementy systemów szyfrujących,
(90 minut)
• systemy klucza prywatnego,
• Systemy klucza publicznego,
• Podpisy cyfrowe,
Prezentacja z
dyskusją
(90 minut)
Warsztaty
(90 minut)
w podgrupach
• Koperta cyfrowa,
• Infrastruktura klucza publicznego,
• Ryzyka szyfrowania i ochrona hasła
ZagroŜenia komunikacja głosowa, faxowa, Voice-over IP,
centrale firmowe PBX.
Audyt bezpieczeństwa informacji.
Audyt bezpieczeństwa infrastruktury sieci., studium przypadku,
test.
Dzień VII
Moduł VI – Ciągłość biznesu i odtwarzanie po katastrofie
Prezentacja z
Test wstępny
dyskusją
Ciągłość biznesu/ odtwarzanie po katastrofie. Ryzyka
(45 minut)
Prezentacja z
Zdarzenia, incydenty, problemy. Analiza wpływu na biznes ( BIA).
dyskusją
Krytyczność procesów i usług. Scenariusze. Wybór obszarów
odtwarzania. Czas odtworzenia, minimalny poziom działania ,
(90 minut)
wydajności, maksymalny czas odtworzenia. Ryzyka
Dyskusją
Komponenty planu BCP. Testowanie. Backup i odtworzenie,
(90 minut)
powrót do działań w stanie normalnym. Audyt planów ciągłości
działania i odtwarzania po katastrofie. Ryzyka
Warsztaty
Audyt - Ciągłość biznesu i odtwarzanie po katastrofie - studium
(90 minut)
przypadku, test podsumowujący
w podgrupach
Materiały, pomoce dydaktyczne, sprzęt
•
Dla uczestników:
o podręcznik w formie wydrukowanej prezentacji, pojedyncze kartki ze
scenariuszami ćwiczeń,
o „CISA Review Manual 2008 English Edition” podręcznik w języku
angielskim, wydany przez ISACA obejmujący całość materiału
merytorycznego egzaminu testowego (cena 135USD)
o The CISA Practice Question Database v8 2008 – oprogramowanie - baza
pytań (w języku angielskim) z poprzednich testów kompetencyjnych
pozwalająca na przetestowanie poprawności własnej wiedzy z
komentarzami (cena 195USD)
•
•
UŜywane przez trenera: prezentacja PP wyświetlana podczas zajęć
Sprzęt: laptop, projektor LCD
Kiedy odbędzie się szkolenie?
I zjazd
II zjazd
III zjazd
IV zjazd
- 11-12 października 2008
- 25-26 października 2008
- 8-9 listopada 2008
- 22-23 listopada 2008