CISA_Konspekt Szkolenia
Transkrypt
CISA_Konspekt Szkolenia
Global Information Security sp. z o.o. bezpieczeństwo informacji zarządzanie ryzykiem ochrona danych osobowych optymalizacja procesów biznesowych Przygotowanie do egzaminu na certyfikat CISA (Certified Information Systems Auditor) KONSPEKT SZKOLENIA – część 1. Co osiągniesz przez udziałów szkoleniu? (cele szkoleniowe) • • Przygotujesz się do egzaminu testowego do uzyskania certyfikatu CISA zapewniającego uznanie na całym świecie kompetencji zawodowych w obszarze audytu systemów informatycznych (więcej informacji www.isaca.org oraz www.isaca.org.pl . Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru: o Procesu Audytu systemów informatycznych , o Zarządzania IT (w tym), o Zarządzania ryzykiem IT, o Zarządzania cyklem Ŝycia infrastruktury i systemów informatycznych, o Dostarczania usług i wsparcie biznesu przez IT, o Ochrony zasobów informacyjnych, o Ciągłości działania biznesu i odtwarzania biznesu i IT po katastrofie UWAGA! Egzamin odbywa się w języku duńskim, angielskim, francuskim, niemieckim, hebrajskim, włoskim, japońskim, koreańskim i hiszpańskim. Komu polecamy szkolenie? (grupa celowa, wymagania wstępne) • • • Audytorom (w szczególności audytorom systemów informatycznych), Kadrze kierowniczej i analitykom IT, MenadŜerom odpowiedzialnym za operacyjne zarządzanie obszarem technologii informatycznej, • Osobom zaangaŜowanym w zapewnienie bezpieczeństwa informacji i ciągłości działania biznesu • Specjalistom i osobom nadzorującym obszar kontroli wewnętrznej IT Wymagania wstępne: Podstawowa wiedza z obszaru działania technologii informatycznej, wsparcia biznesu przez technologie informatyczną i kontroli wewnętrznej. Znajomość (w stopniu umoŜliwiającym czytanie i rozumienie tekstów technicznych) jednego z języków w których jest przeprowadzany egzamin np. język angielski, hiszpański, włoski, francuski. Jak długo trwa? (liczba dni, godzin dydaktycznych) 7 dni (56 godz. dydaktycznych) Jak przebiegają zajęcia? Zajęcia mają formę warsztatowo- szkoleniową. Odbywają się one w oparciu o oficjalny program ramowy certyfikatu CISA. Zajęcia będą poświęcone usystematyzowaniu wiedzy (część szkoleniowo- wykładowa) oraz rozpatrywaniu poszczególnym „studium przypadku” i przedyskutowaniu w grupie poszczególnych zagadnień. Będą prowadzone w języku polskim. PoniewaŜ sam egzamin nie odbywa się w języku polskim, celem lepszego przygotowania się do egzaminu, uczestnicy otrzymają podręcznik ISACA „CISA Review Manual 2008 English Edition” wydany w języku angielskim lub ich odpowiedniki w językach francuskim, włoskim lub hiszpańskim. Celem właściwego przygotowania się do certyfikatu uczestnicy będą proszeni o wcześniejsze zapoznanie się z daną partia materiału z w/w podręcznika. KaŜdy dzień zajęć będzie składał się z 6 godzin wykładów połączonych z dyskusją oraz z 2 godzin zajęć warsztatowych w podgrupach (do 8 osób), na zakończenie których omówione będą przykłady pytań związanych z daną partią materiału występujących w testach egzaminacyjnych. Jaki jest zakres tematyczny szkolenia? Wstęp Wymogi certyfikatu CISA Część I Procesu Audytu systemów informatycznych, • Audyt – funkcja i rola w firmie, • Planowanie audytu, zarządzanie zasobami, • Standardy i podręczniki audytu informatycznego ISACA, • Analiza ryzyka i szeroko rozumiana kontrola wewnętrzna w audycie • Praktyki i techniki audytu informatycznego o Planowanie, o przeprowadzanie audytu, o próbkowanie o spotkania audytowe, o obserwacja wydajności personelu o Gromadzenie informacji i zabezpieczenie dowodów. o Ryzyka. • Technika CSA (Control Self Assesment),. • Zmiany w procesie I w planie audytu Część II Zarządzania obszarem Technologii Informatycznej, • Corporate Governance • Praktyki zarządcze na poziomie zarządu, o Najlepsze praktyki w obszarze zarządzania IT, o Komitet Strategiczny IT o ZrównowaŜona Karta wyników • Strategia IT, o Planowanie strategiczne, o Komitet Sterujący, • Zasady i procedury, • Zarządzanie ryzykiem, o Proces Zarządzania Ryzykiem, o Metody analizy ryzyka, o Standardy zarządzania ryzykiem, • Praktyki zarządzania IT, o Zarządzanie personelem, o Zarządzanie usługami i zasobami technicznymi, o Zarządzanie zmianami (budŜet, zarządzanie jakością, zarządzanie bezpieczeństwem, optymalizacja wydajności) • Struktury i odpowiedzialności w IT, o Rozgraniczenie zakresów obowiązków, o Rozdzielenie mechanizmów kontrolno-zabezpieczających Część • • • • • • • • • • • III Zarządzania systemami i cyklem Ŝycia infrastruktury, Realizacja biznesu: Zarządzanie projektem w realizacji biznesu, Praktyki zarządzanie projektem. Rozwój aplikacji biznesowych. Rozwój infrastruktury. Praktyki utrzymania systemów informatycznych. Praktyki optymalizacyjne biznesu. Struktura Zarządzania projektem, Aplikacyjne mechanizmy kontrolno- zabezpieczające, Audyt rozwoju, utrzymania i nabywania systemów informatycznych. Biznesowe systemy aplikacyjne. Część • • • • • • • • IV Dostarczanie usług i wsparcie Zarządzanie operacjami systemów informatycznych i usługami IT, Monitorowanie uŜycia zasobóow, Help Desk, monitorowanie zmian. Zarządzanie release’ami. Zapewnienie jakości. Zarządzanie bezpieczeństwem. Architektura systemów informatycznych. Infrastruktura sieciowa. Audyt infrastruktury i operacji IT. Część V Ochrony Zasobów informacyjnych, • Proces zarządzania bezpieczeństwem informacji. • ZagroŜenia dostępu logicznego. o Identyfikacja, autentykacja. o Social Engenering. o Aspekty autoryzacji. o Przechowywanie, transport i usuwanie poufnych informacji. • Bezpieczeństwo infrastruktury sieci. o Bezpieczeństwo sieci lokalnych, o Bezpieczeństwo rozwiązań Klient-Serwer, o ZagroŜenia dostępu bezprzewodowego i łagodzenie ryzyka, o Aspekty bezpieczeństwa Internetu. Ataki pasywne i aktywne, Typowe podatności na atak z Internetu, Mechanizmy kontrolno- zabezpieczające przed atakiem, Firewall’e, Systemy IDS/IPS, Przynęty. • Szyfrowanie. o Kluczowe elementy systemów szyfrujących, o systemy klucza prywatnego, o Systemy klucza publicznego, o Podpisy cyfrowe, o Koperta cyfrowa, o Infrastruktura klucza publicznego, o Ryzyka szyfrowania i ochrona hasła, • Wirusy, • Voice-over IP. • • • • Część • • • • • • • • • • • PBX. Audyt bezpieczeństwa informacji. Audyt bezpieczeństwa infrastruktury sieci. ZagroŜenia środowiskowe i mechanizmy kontrolno-zabezpieczające. VI Ciągłości Biznesu i odtwarzanie po katastrofie. Ciągłość biznesu/ odtwarzanie po katastrofie. Zdarzenia, incydenty, problemy. Analiza wpływu na biznes ( BIA). Krytyczność procesów i usług. Scenariusze. Wybór obszarów odtwarzania. Czas odtworzenia, minimalny poziom działania , wydajności, maksymalny czas odtworzenia. Komponenty planu BCP. o Personel podejmujący kluczowe decyzje, o Kopie zapasowe, o Metody odtworzenia sieci telekomunikacyjnych, o Macierze dysków, o Ubezpieczenie, Testowanie. Backup i odtworzenie, powrót do działań w stanie normalnym. Audyt planów ciągłości działania i odtwarzania po katastrofie. Kto będzie prowadził zajęcia? Marek Pióro, CISA, CISM – audytor praktyk z 10 letnim doświadczeniem zawodowym z obszaru IT i telekomunikacji oraz wiedzą z zakresu: 1. Audytu obszaru technologii (IT i Techniki) 2. Zarządzania Bezpieczeństwem informacji, 3. Zarządzania Technologią Informatyczną, 4. Ochrony Zasobów Informatycznych i informacyjnych, 5. Utrzymania Ciągłości biznesu i odtwarzania po katastrofie, 6. Zarządzania Ryzykiem W/w doświadczenie zdobył pracując w jednego z integratorów IT oraz u operatora telekomunikacyjnego (Plus GSM), współpracując z czołowymi dostawcami z obszaru IT i bezpieczeństwa oraz prowadząc własna firmę (Global Information Security Sp. z o. o) i wykładając na uczelniach (SGH). Posiada certyfikaty Certified Information Systems Auditor (CISA) oraz Certified Information Security Manager (CISM), wydane przez ISACA (Information Systems Audit and Control Association - Stowarzyszenie ds. Audytu i Kontroli Systemów Informatycznych). Ile wynosi odpłatność? Liczebność grupy 5600 zł + VAT Grupy 6- 8 osób KONSPEKT SZKOLENIA – część 2. Szczegółowy plan szkolenia – metody i tematyka Dzień I Moduł I Proces Audytu systemów informatycznych Wprowadzenie Przedstawienie się trenera (15 min.) Krótkie przedstawienie się uczestników: czym się zajmują, jakie są ich oczekiwania odnośnie szkolenia Prezentacja planu szkolenia Prezentacja Wymogi certyfikatu CISA, Audyt – funkcja i rola w firmie, (75 minut) planowanie audytu, zarządzanie zasobami, Standardy i podręczniki audytu informatycznego ISACA Prezentacja z Analiza ryzyka i szeroko rozumiana kontrola wewnętrzna dyskusją podstawy (90 minut) Cele mechanizmów kontrolno – zabezpieczających Technika CSA (Control Self Assesment) – wbudowywania mechanizmów kontrolno zabezpieczających w procesy biznesowe Prezentacja z Praktyki i techniki audytu informatycznego dyskusją Planowanie, przeprowadzanie audytu, Gromadzenie informacji i (90 minut) zabezpieczenie dowodów. Ryzyka Warsztaty Ocena, uzgadnianie wyników, raportowanie. (90 minut) Plan audytu w skali firmy i jego aktualizacja (zmiany). Ryzyka w podgrupach) Dzień II Moduł II IT Governance Prezentacja z Monitoring i dobre praktyki zarządcze IT na poziomie zarządu i dyskusją kadry kierowniczej. Strategia IT, plany taktyczne, operacyjne, (90 minut) standardy, zasady, procedury. Zarządzanie ryzykiem IT Prezentacja z Zarządzanie personelem, Zarządzanie usługami, Zarządzanie dyskusją finansowe w IT, Zarządzanie jakością, Zarządzanie (90 minut) Bezpieczeństwem informacji, optymalizacja wydajności. Ryzyka Dyskusją Struktura organizacyjna, role i odpowiedzialności w IT. Ryzyka (90 minut) Warsztaty Audytu IT. Studium przypadku, testy. (90 minut) Audyt IT Governance. Studium przypadku, test w podgrupach Dzień III Moduł III Zarządzanie cyklem Ŝycia infrastruktury i systemów informatycznych Test, Test wstępny Prezentacja Zarządzanie projektem w realizacji biznesu. Ryzyka (90 minut) Prezentacja z Praktyki zarządzanie projektem. Rozwój aplikacji biznesowych. dyskusją Rozwój infrastruktury. Praktyki utrzymania systemów (90 minut) informatycznych. Praktyki optymalizacyjne biznesu. Ryzyka Prezentacja z Aplikacyjne mechanizmy kontrolno- zabezpieczające, Audyt dyskusją rozwoju, utrzymania i nabywania systemów informatycznych. (90 minut) Biznesowe systemy aplikacyjne. Ryzyka Warsztaty, Audyt Cyklu Ŝycia infrastruktury i systemów informatycznych, Dyskusja studium przypadku, test. (90 minut) Dzień IV Moduł IV – Dostarczanie usług i wsparcie Prezentacja z Test wstępny dyskusją Zarządzanie operacjami systemów informatycznych i usługami IT. (90 minut) Ryzyka Prezentacja z Monitorowanie uŜycia zasobów, Help Desk, monitorowanie dyskusją zmian. Zarządzanie release’ami. Zapewnienie jakości. (90 minut) Zarządzanie bezpieczeństwem. Ryzyka Prezentacja z Architektura systemów informatycznych. Infrastruktura sieciowa. dyskusją Audyt infrastruktury i operacji IT. Ryzyka (90 minut) Warsztaty Audyt - Dostarczanie usług i wsparcie - studium przypadku, test (90 minut) podsumowujący w podgrupach Dzień V Moduł V – Ochrona zasobów informacyjnych Test, Test wstępny Prezentacja Proces zarządzania bezpieczeństwem informacji. Ryzyka (90 minut) Prezentacja z ZagroŜenia dostępu logicznego. dyskusją • Identyfikacja, autentykacja. (90 minut) • Social Engenering. • Aspekty autoryzacji. • Przechowywanie, transport i usuwanie poufnych informacji. Prezentacja z Ryzyka i bezpieczeństwo infrastruktury sieci . dyskusją • Bezpieczeństwo sieci lokalnych, (90 minut) • Bezpieczeństwo rozwiązań Klient-Serwer, • ZagroŜenia dostępu bezprzewodowego i łagodzenie ryzyka, • Aspekty bezpieczeństwa Internetu Warsztaty Audyt bezpieczeństwa infrastruktury sieci., studium przypadku, (90 minut) test. w podgrupach Dzień VI Moduł V. – Ochrona zasobów informacyjnych - kontynuacja Test, Test wstępny. Ryzyka i bezpieczeństwo infrastruktury sieci Prezentacja kontynuacja: (90 minut) • Aspekty bezpieczeństwa Internetu: o Ataki pasywne i aktywne, o Typowe podatności na atak z Internetu, o Mechanizmy kontrolno- zabezpieczające przed atakiem, o Firewall’e, o Systemy IDS/IPS, o Przynęty Prezentacja z Szyfrowanie. dyskusją • Kluczowe elementy systemów szyfrujących, (90 minut) • systemy klucza prywatnego, • Systemy klucza publicznego, • Podpisy cyfrowe, Prezentacja z dyskusją (90 minut) Warsztaty (90 minut) w podgrupach • Koperta cyfrowa, • Infrastruktura klucza publicznego, • Ryzyka szyfrowania i ochrona hasła ZagroŜenia komunikacja głosowa, faxowa, Voice-over IP, centrale firmowe PBX. Audyt bezpieczeństwa informacji. Audyt bezpieczeństwa infrastruktury sieci., studium przypadku, test. Dzień VII Moduł VI – Ciągłość biznesu i odtwarzanie po katastrofie Prezentacja z Test wstępny dyskusją Ciągłość biznesu/ odtwarzanie po katastrofie. Ryzyka (45 minut) Prezentacja z Zdarzenia, incydenty, problemy. Analiza wpływu na biznes ( BIA). dyskusją Krytyczność procesów i usług. Scenariusze. Wybór obszarów odtwarzania. Czas odtworzenia, minimalny poziom działania , (90 minut) wydajności, maksymalny czas odtworzenia. Ryzyka Dyskusją Komponenty planu BCP. Testowanie. Backup i odtworzenie, (90 minut) powrót do działań w stanie normalnym. Audyt planów ciągłości działania i odtwarzania po katastrofie. Ryzyka Warsztaty Audyt - Ciągłość biznesu i odtwarzanie po katastrofie - studium (90 minut) przypadku, test podsumowujący w podgrupach Materiały, pomoce dydaktyczne, sprzęt • Dla uczestników: o podręcznik w formie wydrukowanej prezentacji, pojedyncze kartki ze scenariuszami ćwiczeń, o „CISA Review Manual 2008 English Edition” podręcznik w języku angielskim, wydany przez ISACA obejmujący całość materiału merytorycznego egzaminu testowego (cena 135USD) o The CISA Practice Question Database v8 2008 – oprogramowanie - baza pytań (w języku angielskim) z poprzednich testów kompetencyjnych pozwalająca na przetestowanie poprawności własnej wiedzy z komentarzami (cena 195USD) • • UŜywane przez trenera: prezentacja PP wyświetlana podczas zajęć Sprzęt: laptop, projektor LCD Kiedy odbędzie się szkolenie? I zjazd II zjazd III zjazd IV zjazd - 11-12 października 2008 - 25-26 października 2008 - 8-9 listopada 2008 - 22-23 listopada 2008