Побудова сучасної системи управління інформаційною безпекою (ISO/IEC 27001:2022) – Outline

Детальна програма курсу

МОДУЛЬ 1

Вступ до ISO/IEC 27001 та архітектури ISMS

4 години Теми

  • Інформаційна безпека як система управління
  • Що таке ISMS
  • Бізнес і безпека
  • Структура ISO/IEC 27001:2022
  • High Level Structure
  • Контекст організації
  • Stakeholders
  • Межі ISMS
  • PDCA
  • Практика
  • Аналіз кейсової організації
  • Визначення scope ISMS

МОДУЛЬ 2

Управління активами та класифікація інформації

4 години Теми

  • Типи активів
  • Ownership
  • Інформаційні потоки
  • Класифікація даних
  • CIA
  • Shadow IT
  • Shadow AI
  • Життєвий цикл інформації
  • Практика
  • Побудова Asset Register
  • Класифікація інформації

МОДУЛЬ 3

Управління ризиками та залежностями

6 годин Теми

  • Risk-based approach
  • Threats
  • Vulnerabilities
  • Impact
  • Likelihood
  • Residual Risk
  • Risk Appetite
  • Risk Treatment

Унікальний блок

Залежності процесів та cascading failure

  • Критичні точки
  • Single Point of Failure
  • Залежні сервіси
  • Вплив інцидентів на бізнес
  • Системна деградація
  • Практика
  • Побудова Risk Matrix
  • Аналіз ризиків кейсової компанії

МОДУЛЬ 4
Annex A та сучасні контролі безпеки 8 годин Теми

Organizational Controls

  • Governance
  • Supplier Security
  • Secure Development
  • Change Management

People Controls

  • Awareness
  • Insider Threat
  • HR Security

Physical Controls

  • Workplace Security
  • Equipment Protection

Technological Controls

  • IAM
  • Logging
  • Monitoring
  • Backup
  • Encryption
  • Vulnerability Management
  • EDR/XDR
  • SIEM

Сучасна архітектура безпеки

  • Cloud Security
  • Zero Trust
  • DevSecOps
  • SaaS Governance
  • Remote Workforce Security

Практика

  • Mapping controls
  • GAP Analysis
  • Security Roadmap

МОДУЛЬ 5

Документація ISMS

3 години Теми

  • Security Policies
  • Procedures
  • Statement of Applicability
  • KPI/KRI
  • Evidence Management
  • Incident Procedures
  • Практика
  • Створення:
    o Security Policy
    o SoA
    o Risk Register

МОДУЛЬ 6
Incident Management та Business Continuity

3 години Теми

  • Incident Management
  • Detection & Response
  • Lessons Learned
  • Business Continuity
  • Disaster Recovery
  • Crisis Management
  • Ransomware Scenarios
  • Практика
  • Tabletop Exercise
  • Incident Simulation

МОДУЛЬ 7

Аудит, зрілість та сертифікація

4 години Теми

  • Internal Audit
  • Evidence-based Audit
  • Nonconformities
  • CAPA
  • Management Review
  • Maturity Assessment
  • Сертифікаційний аудит

Унікальний блок

Чому ISMS провалюються

  • Fake Compliance
  • Формальна безпека
  • Саботаж процесів
  • Перевантаження контролями
  • Політичні конфлікти
  • Залежність від ключових співробітників
  • Практика
  • Mock Audit
  • Аналіз невідповідностей

Підсумковий результат курсу

Протягом навчання слухачі поступово будують:

  • модель ISMS,
  • Risk Register,
  • Security Policies,
  • Statement of Applicability,
  • Security Roadmap,
  • базову архітектуру системи безпеки.