Global Information Security Sp

HOLISTYCZNE
ZARZĄDZANIE
INFORMACJĄ
bezpieczeństwo informacji
zarządzanie ryzykiem
ochrona danych osobowych
optymalizacja procesów biznesowych
Zarządzanie ryzykiem – COSO ERM Framework
- szkolenie (2dni, 15 godzin ) oraz warsztaty z wykorzystaniem standardu COBIT i ITIL
na przykładzie „case study” (2dni, 15 godzin)
Wdrożenie COSO ERM Framework w obszarze zarządzania technologią
30 godzin zajęć – możliwość uzyskania 30 CPE
Miejsce: Warszawa lub okolice
Odbiorcy:
Warsztaty kierowane są w szczególności do:
•
osób odpowiedzialnych za zarządzanie ryzykiem
•
osób odpowiedzialnych za wszelkie aspekty bezpieczeństwa w organizacji
•
osób będących Koordynatorami Bezpieczeństwa w Pionach,
•
osób zainteresowanych maksymalizacją efektu synergii w zarządzaniu
Cel zajęć:
"Zarządzanie ryzykiem wg COSO ERM (Enterprise Risk Management)" połączone z
warsztatami zarządzania ryzykiem na przykładzie Case Study w oparciu o polską
lokalizację językową oprogramowania Magic oraz Galileo firmy Horwath Software
Services
1. Zapoznanie z koncepcją COSO ERM ogólnofirmowego zarządzania ryzykiem
2. Określenie i przypisanie ryzyk do:
a. Celów (firmy, obszaru technologii, raportowania, zgodności z wymogami prawa,
standardów i uregulowań),
b. Właścicieli i Komórek organizacyjnych,
c. Procesów biznesowych,
3. Określenie apetytu na ryzyko
Global Information Security sp. z o.o.
ul. Królowej Jadwigi 7 lok. 16
05-200 Wołomin
NIP 1251382695
www.globinfosec.pl
Telefon (0-22) 406 1985
Telefon komórkowy 605651763
E-mail:
[email protected]
wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XIV Wydział
Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000254640;
Kapitał zakładowy: 75.000 PLN
4. Oszacowanie ryzyka
5. Grupowanie i raportowanie ryzyka wzwyż
6. Reagowanie na ryzyko
7. Określenie poziomu mechanizmów kontrolnych uzasadnionych ekonomicznie
Co osiągniesz przez udziałów szkoleniu? (cele szkoleniowe)
•
Poznasz:
o COSO ERM – standard zarządzania ryzykiem w skali firmy,
o COSO standard szeroko rozumianej kontroli wewnętrznej
o COBITv4.1 sprawdzoną platformę i język współpracy między obszarem
technologii, biznesu, kontroli i zarządzania.
•
Zaznajomisz się z przejrzystymi sposobami przedstawiania procesów w obszarze
IT, ich oceny i odpowiedzialności za poszczególne jej aspekty .
•
Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru:
o Pomiaru ryzyka, (skale oceny ryzyka, mapy ryzyka, apetyt na ryzyko)
o Metody szacowania ryzyka,
o Procesowe podejście do Zarządzania IT ,
o Zarządzania ryzykiem IT,
•
Poznasz w praktyce ocenę ryzyka związaną z:
o Celami jednostek, procesów, pod procesów, usług biznesowych i usług IT,
o Modelem oceny dojrzałości procesów IT do oceny ryzyka w obszarach IT.
o Mapowaniem ryzyka na procesy, serwisy, usługi, jednostki organizacyjne,
o konsolidacja ryzyka z mniejszych jednostek (np. zespołów) na większe (np.
departamenty), konsolidacją ryzyka w grupy obszarowe np. ryzyka prawne,
zgodności z wymogami zewnętrznymi,
o Raportowaniem ryzyka,
o Praktyczne struktury zapewniające efektywne zarządzanie ryzykiem i
utrzymanie aktualności informacji o ryzyku.
•
Zdobędziesz lub usystematyzujesz sobie wiedzę z obszaru zastosowania ryzyka
w:
o Procesie audytu systemów informatycznych,
o Zarządzaniu IT,
o Zarządzaniu biznesem uzależnionym od IT,
o Zarządzaniu cyklem życia infrastruktury i systemów informatycznych,
o Dostarczaniu usług i wsparcia biznesu przez IT,
o Ochronie zasobów informacyjnych ,
o We właściwym przygotowaniu Planów Ciągłości działania biznesu oraz
odtwarzania biznesu i IT po katastrofie.
Komu polecamy szkolenie? (grupa celowa, wymagania wstępne)
•
Kadrze kierowniczej i analitykom IT,
•
Specjalistom i osobom nadzorującym obszar kontroli wewnętrznej IT
•
Menadżerom odpowiedzialnym za operacyjne zarządzanie obszarem technologii
informatycznej,
•
Audytorom (w szczególności audytorom systemów informatycznych),
•
Osobom zaangażowanym w zapewnienie bezpieczeństwa informacji i ciągłości
działania biznesu
Wymagania wstępne:
Podstawowa wiedza z obszaru działania technologii informatycznej, wsparcia biznesu przez
technologie informatyczną i kontroli wewnętrznej.
Jak długo trwa? (liczba dni, godzin dydaktycznych)
Lp.
Termin zajęć:
Cena
1.
5 – 6 luty 2009 roku
Szkolenie
netto 2840 PLN+22 % VAT
(brutto 3464,80 PLN)
2.
17 – 18 marzec 2009 roku
warsztaty
netto 2840 PLN+22 % VAT
(brutto 3464,80 PLN)
Jak przebiegają zajęcia?
Zajęcia mają formę warsztatowo- szkoleniową. Odbywają się one w oparciu o uznane
metodologie i standardy takie jak COSO ERM (standard zarządzania ryzkiem), COBIT
(sprawdzoną platformę i język współpracy między obszarem technologii, biznesu,
kontroli i zarządzania), COSO (standard szeroko rozumianej kontroli wewnętrznej oraz w
oparciu o wytyczne IT Governance Institute. Zajęcia będą poświęcone
usystematyzowaniu wiedzy (część szkoleniowo- wykładowa) oraz rozpatrywaniu
poszczególnym „studium przypadku” i przedyskutowaniu w grupie poszczególnych
zagadnień. Na życzenie strony zlecającej na zakończenie szkolenia może odbyć się
egzamin testowy , na podstawie wyników którego zostaną wydane zaświadczenia (certyfikaty) świadomych zarządców ryzyka IT.
Jaki jest zakres tematyczny szkolenia?
Wstęp Co to jest ryzyko i dlaczego do ryzyka IT potrzebne są jeszcze inne normy i
standardy
•
Zarządzanie ryzykiem,
o Proces Zarządzania Ryzykiem,
o Metody analizy ryzyka,
o Standardy zarządzania ryzykiem,
o Analiza Ryzyka podstawą zarządzania firmy (finansowego, usługami,
operacyjnego, bezpieczeństwa informacji, polityki bezpieczeństwa, ciągłości
działania biznesu itp.)
Część I standard COSO jako podstawa ładu Corporate Governance,
•
Kontrola wewnętrzna
•
Audyt – funkcja i rola w firmie,
•
Planowanie audytu, zarządzanie zasobami,
•
Standardy i podręczniki audytu informatycznego ISACA,
•
Analiza ryzyka i szeroko rozumiana kontrola wewnętrzna w audycie
•
Praktyki i techniki audytu informatycznego
o Planowanie,
o przeprowadzanie audytu,
o próbkowanie
o spotkania audytowi,
o obserwacja wydajności personelu
o Gromadzenie informacji i zabezpieczenie dowodów.
o Ryzyka.
•
Technika CSA (Control Self Assessment),.
•
Zmiany w procesie I w planie audytu
Część II COSO ERM
•
Co to jest ryzyko,
•
Możliwości i zagrożenia
•
Jednostki operacyjne, cele ryzyka,
•
Procesy biznesowe, cele i ich ryzyka,
•
·Zarządzanie usługami, portfel usług, usługi IT,
•
Role i odpowiedzialności za zarządzanie ryzykiem,
•
Środowisko działania firmy, a zarządzanie ryzykiem firmy,
•
Technika CSA (Control Self Assessment),
•
Mapy ryzyka .
Część III standard COBIT - Koncepcja Zarządzania procesowego IT
•
Informacje zarządcza IT
o Bechmarking – porównywanie dojrzałości procesów (skala, wyznaczniki
poziomów, ocena naszej firmy, potrzeba biznesowa),
o Obszary, cele i miary procesów IT,
o Cele działań zapewniających sprawowanie kontroli nad procesami IT
•
Obszary IT Governance
o Spójne działanie (włączenie celów biznesu w cele IT)
o Dostarczanie wartości,
o Zarządzania zasobami,
o Zarządzanie ryzykiem
o Zarządzanie wydajnością.
•
Komponenty COBIT
o Domeny i procesy IT,
o Cele i składniki procesów (wejścia, wyjścia, czynności),
o Kluczowe aktywności (działania) i mechanizmy kontrolno zabezpieczające,
o Odpowiedzialności wskaźniki wydajności, przychodu, poziomy dojrzałości
procesów,
•
Dlaczego i jak COBIT nastawiony jest na:
o Biznes,
o Zarządzanie procesowe,
o Spójność biznesu i Iloraz
o Rozliczalność IT.
•
Ocena dojrzałości procesów IT
•
Sposób opisu procesu IT i jego znaczenie – kostka COBIT
Część IV Wybrane procesy domeny „Planowanie i organizowanie”- do wyboru 4procesy
z poniższych (proponujemy PO1, PO5, PO8, PO9)
PO1 Define a Strategic IT Plan
PO2 Define the Information Architecture
PO3 Determine Technological Direction
PO4 Define the IT Processes, Organisation and Relationships
PO5 Manage the IT Investment
PO6 Communicate Management Aims and Direction
PO7 Manage IT Human Resources
PO8 Manage Quality
PO9 Assess and Manage IT Risks
PO10 Manage Projects
Część V Wybrane procesy i ryzyka domeny „Nabywanie i Implementowanie” ”- do
wyboru 3 procesy z poniższych (proponujemy AI2, AI4, AI6)
AI1 Identify Automated Solutions
AI2 Acquire and Maintain Application Software
AI3 Acquire and Maintain Technology Infrastructure
AI4 Enable Operation and Use
AI5 Procure IT Resources
AI6 Manage Changes
AI7 Install and Accredit Solutions and Changes
Część VI Wybrane procesy i ryzyka domeny „Dostarczanie i wsparcie”- do wyboru 5
procesów z poniższych (proponujemy DS1, DS3, DS4, DS6, DS8)
DS1 Define and Manage Service Levels
DS2 Manage Third-party Services
DS3 Manage Performance and Capacity
DS4 Ensure Continuous Service
DS5 Ensure Systems Security
DS6 Identify and Allocate Costs
DS7 Educate and Train Users
DS8 Manage Service Desk and Incidents
DS9 Manage the Configuration
DS10 Manage Problems
DS11 Manage Data
DS12 Manage the Physical Environment
DS13 Manage Operations
Część VII Wybrane procesy i ryzyka domeny „Monitorowanie i ocena” ”- do wyboru 2
procesy z poniższych (proponujemy ME1, ME2)
ME1 Monitor and Evaluate IT Performance
ME2 Monitor and Evaluate Internal Control
ME3 Ensure Compliance With External Requirements
ME4 Provide IT Governance
Kto będzie prowadził zajęcia?
Marek Pióro, CISA, CISM – audytor praktyk z 10 letnim doświadczeniem zawodowym z
obszaru IT i telekomunikacji oraz wiedzą z zakresu:
1. Audytu obszaru technologii (IT i Techniki)
2. Zarządzania Bezpieczeństwem informacji,
3. Zarządzania Technologią Informatyczną,
4. Ochrony Zasobów Informatycznych i informacyjnych,
5. Utrzymania Ciągłości biznesu i odtwarzania po katastrofie,
6. Zarządzania Ryzykiem
W/w doświadczenie zdobył pracując w jednego z integratorów IT oraz u operatora
telekomunikacyjnego, współpracując z czołowymi dostawcami z obszaru IT i
bezpieczeństwa oraz prowadząc własna firmę (Global Information Security Sp. z o. o) i
wykładając na uczelniach (SGH). Posiada certyfikaty Certified Information Systems
Auditor (CISA) oraz Certified Information Security Manager (CISM), wydane przez ISACA
(Information Systems Audit and Control Association - Stowarzyszenie ds. Audytu i
Kontroli Systemów Informatycznych).
Materiały, pomoce dydaktyczne, sprzęt
•
Dla uczestników:
o podręcznik w formie wydrukowanej prezentacji, pojedyncze kartki ze
scenariuszami ćwiczeń,
o COBIT (Control Objectives for IT and realated Technology) v. 4.1
•
Używane przez trenera: prezentacja PP wyświetlana podczas zajęć
•
Sprzęt: laptop, projektor LCD
___________________________________________________________________
W skład ceny szkolenia wchodzą materiały przygotowane przez prowadzących, serwis kawowy i konsultacje indywidualne.
Szkolenia odbywają się pod warunkiem, że na dany termin zgłosi się wymagana liczba uczestników
(minimalna liczebność grupy 6 osób).
W cenę nie są wliczone koszty ewentualnych noclegów.
Organizatorzy mogą na życzenie uczestników kursów zarezerwować im noclegi w tym samym obiekcie lub w niedalekiej okolicy.
Istnieje możliwość zorganizowania w/w szkoleń zamkniętych dla zakładów pracy lub wybranych grup
(np. wyłącznie dla członków Zarządów itp.) w dowolnej lokalizacji na terenie Polski.