Popis kurzu
Kurz přehledně s praktickými příklady vysvětlí základní metody, legislativu a používané standardy pro zavedení auditních programů a postupů vůči systémům řízení bezpečnosti informací (ISMS) nebo systémem řízení kybernetické bezpečnosti (CSMS).
V rámci kurzu jsou vysvětleny postupy a metody, které za použití standardů, norem a legislativy vztažené i k ZoKB a VoKB naplňují každodenní činnost role auditora ISMS / CSMS.
Kurz je vhodný pro aktivní nebo aspirující auditory kybernetické bezpečnosti, ať již jde o potřeby ze Zákona a vyhlášky o kybernetické bezpečnosti (ČR 181/2014 Sb. a 82/2018 Sb. nebo SR 69/2018 Z.z. a 362/2018 Z.z.) nebo dle European Cybersecurity Skills Framework (ECSF) vyvinutý agenturou ENISA.
Cíle kurzu
- Představit úkoly role auditora kybernetické bezpečnosti ze strategického, taktického i operačního pohledu.
- Přinést jasno v termínech a souvislostech a původu potřeb pro dobré zvládání role.
- Doporučit postupy pro zpřístupnění této oblasti širokému okruhu konzumentů katalogizovaných bezpečnostních služeb.
Určeno pro
- (Aspirující) Interní nebo externí auditor ISMS/CSMS/BCMS spolupracující s manažerem bezpečnosti, popř. CISA
- Projektový vedoucí nebo manažer bezpečnostních projektů
Obsah kurzu
1. den - teoretické základy- Pojmy kybernetické bezpečnosti (vysvětlení přesahů a legislativy)
- Obecné zásady implementace procesního řízení
- PDCA aplikované na ISMS
- Bezpečnostní role – legislativa ČR vs. ENISA – srovnání
- Kritická infrastruktura vs. kritická informační infrastruktura
- ZoKB – úvodní informace o ISMS – požadavky (auditní oblast)
- VoKB – úvodní informace ve vztahu k ISMS – opatření (auditní oblast)
- Vysvětlení postupů a souvislostí z norem a standardů:
- ISO 19011:2018,
- ISO/IEC TS 17012:2024,
- ISO/IEC 27007:2020,
- ISO/PAS 5112:2022 (automotive),
- ENX TISAX® - VDA, ISA (automotive),
- ISO 22301:2019, ISO 22313:2020, ISO/TS 22318:2021
- Secure Controls Framework (SCF)
2. den - praktická cvičení - pohled ZKB, VKB, ISO, ENISA, CISA- Audity systémů managementu - druhy
- Detaily a charakteristiky interního auditu
- Zásady auditování
- Řízení programu auditů v detailu
- Provádění auditu - specifika
- Komunikace při auditu - procesy, druhy
- Neverbální komunikace, efektivní komunikace (7C)
- Účely auditů a souvislosti - viz. standardy (1. den)
- Hlavní cíle interního auditu v detailu
- Charakteristika role auditora
- Povinnosti a odpovědnosti vedoucího auditora
- Kritéria auditu, techniky a zásady auditování
- Obsah plánu auditu
- Zjištění neshody během auditu, vypořádání neshody
- Příklady obsahu zprávy z auditu
- Další zpracování zjištění při auditu
- Komunikační dovednosti
- Ukázky - VoKB Checklist, SCF Evidence Request List (ERL), CISA ITAF
Předpoklady
Přehled v procesním fungování podniku (IT, byznys, bezpečnost, strategie, taktika, operativa, B2C/B2B vztahy), zkušenosti s řízením procesů kvality, logické a strukturované myšlení, vnímání potřeby dlouhodobého komplexního řízení rizik při ochraně aktiv řešeného podniku.Studijní materiály
Materiály v elektronické formě.