- Forstå hvilke ledelsesmæssige, organisatoriske og tekniske foranstaltninger, der kræves for informationssikkerhed og for at implementere ISO 27001
- Forstå hvordan arbejdet med risikoidentifikation og – håndtering kan organiseres
- Forstå behovet for dokumentation af risici og beslutninger herom, herunder Statement of Applicability (SoA)
- Se behovet for bevidsthed (awareness) og uddannelse
- Forstå hvordan ledelsessystemet kan struktureres, så det sikrer kontinuert forbedring og værdi
- Få indsigt i mål og kontroller til informationssikkerhed
- Byg en plan for implementering, som leder til overensstemmelse og potentielt også certificering
Informationssikkerhed dækker tiltag til at sikre informationer i forhold til fortrolighed, integritet og tilgængelighed (ofte benævnt "CIA"). Dette omfatter blandt andet organisering af sikkerheden, påvirkning af adfærd, arbejdsgange for håndtering af informationer, styring af leverandører og tekniske sikkerhedsløsninger. Informationssikkerhed bliver i praksis kompliceret af, at det kræver involvering på alle niveauer og adgang til tekniske og specialiserede kompetencer.
Behovet for informationssikkerhed og cybersikkerhed bliver desværre kun mere og mere evident i den moderne verden, hvor organisationers sårbarhed er stigende. Det er nødvendigt at beskytte dit firmas omdømme og image gennem effektiv ledelse af informationssikkerhed ellers stiger både risikoen og konsekvensen af succesfulde angreb. Et ledelsessystem for informationssikkerhed (kaldet et ISMS) giver praktiske mekanismer til at holde vigtige og fortrolige oplysninger sikkert opbevaret og håndteret i egen organisation.
Informationssikkerhed dækker bredt i en organisation; ledelsen stiller krav og følger op, specialisterne skaber løsninger og implementerer, mens alt i praksis afhænger af medarbejdernes handlinger og indstilling. Et ISMS giver organisatorisk struktur og fokus, da ansvar knyttes til personer. Og det gør deling af informationer til en styret affære.
En central del af ISO 27001 er informationsmål og informationskontroller. I kurset gives en struktur af, og et overblik over, standardens mange kontroller. Det er vigtigt fordi organisationen skal tage beslutninger om, hvor håndtering af de risici sker gennem disse kontroller og dokumentet dette gennem det såkaldte SoA-dokument (Statement of Applicability).
Endelig giver kurset overblik over, hvordan implementering kan håndteres
Indhold
- Introduktion til ISO 27000 standarderne
- Informationssikkerhed og ledelsessystemet
- Formål, forankring og tilpasning
- Fortrolighed, integritet og tilgængelighed
- Viden, processer og systemer
- Trusler, sårbarhed og risici
- Relationen governance, risikoledelse og overensstemmelse
- Ledelsessystemet
- Organisering
- Planlægning
- Drift og support
- Evaluering og forbedring
- Kontrolforanstaltninger
- Præventive
- Detektion
- Korrektion
- Krævet dokumentation
- Risikoregistre
- SoA-dokumentet (beslutninger)
- Struktur og opbygning
- Evidenser og audit
- Implementering af standarden
- Egen organisation
- Leverandørstyring
- Hændelseshåndtering
- Beredskabsplanlægning
- Uddannelse og oplysning
Varianter
Kurset kan afholdes på én dag, hvor fokus er på overblik, så organisationen derefter kan beslutte den videre plan. Kurset tilbydes også i en to dages version med fokus på praktisk implementering og overholdelse af ISO 27001 (se kursuskonfigurator).
Hvem retter kurset sig imod?
Ledere i virksomheder, der arbejder med ledelsessystemer og informationssikkerhed eks.
- ledere af informationssikkerhed,
- ledere af it,
- kvalitetsledelse og
- linjefunktioner med væsentlige betydning for sikkerhed (herunder softwareudvikling og -drift).
Hvad er form og varighed?
Kurset afholdes på dansk eller engelsk. Kursusmaterialet er på engelsk. Gennemgået materiale udleveres sammen med en praktisk daglig guide.
Kurset er en kombination af undervisning, dialog samt øvelser og workshops. Sidstnævnte afhænger af valget af kursets længde.
Kurset afholdes som et firmakursus.