Kursus: Information Security for InfoSec Specialists

Building a Competent and Effective Organization for Information Security (ISO 27001)
  • Forstå hvilke ledelsesmæssige, organisatoriske og tekniske foranstaltninger der kræves for informationssikkerhed og for at implementere ISO 27001
  • Forstå den overordnede struktur af et ISO 27001 ledelsessystem
  • Forstå hvordan arbejdet med risikoidentifikation og risikohåndtering kan organiseres – eks. ved at følge ISO 27005
  • Forstå behovet for dokumentation af risici og beslutninger herom, herunder Statement of Applicability (SoA)
  • Se behovet for bevidsthed (awareness) og uddannelse
  • Forstå hvordan ledelsessystemet er struktureret og sikrer kontinuert forbedring og værdi
  • Få indsigt i mål og kontroller til informationssikkerhed
  • Få eksempel på databehandleraftale
  • Byg en plan for implementering, som leder til overensstemmelse og potentielt også certificering

Informationssikkerhed dækker og tiltag til at sikre informationer i forhold til fortrolighed, integritet og tilgængelighed (ofte benævnt "CIA", dvs confidentiality, integrity, availability). Dette omfatter blandt andet organisering af sikkerheden, påvirkning af adfærd, arbejdsgange for håndtering af informationer, styring af leverandører og tekniske sikkerhedsløsninger. Informationssikkerhed bliver i praksis kompliceret af, at det kræver involvering på alle niveauer og adgang til tekniske og specialiserede kompetencer.

Behovet for informationssikkerhed og cybersikkerhed bliver desværre kun mere og mere evident i den moderne verden, hvor organisationer bliver mere og mere sårbare. Det er nødvendigt at beskytte dit firmas omdømme og image gennem effektiv ledelse af informationssikkerhed ellers stiger både risikoen og konsekvensen af succesfulde angreb. Et ledelsessystem for informationssikkerhed (kaldet et ISMS) giver praktiske mekanismer til at holde vigtige og fortrolige oplysninger sikkert opbevaret og håndteret i egen organisation.

Informationssikkerhed dækker bredt i en organisation; ledelsen stiller krav og følger op, specialisterne skaber løsninger og implementerer, mens alt i praksis afhænger af medarbejdernes handlinger og indstilling. Et ISMS giver organisatorisk struktur og fokus, da ansvar knyttes til personer. Og det gør deling af informationer til en styret affære.

Ledelsessystemer knytter organisationens aktiviteter sammen. Det sker med udgangspunkt i behov og mål for informationssikkerhed som bl.a. udtrykkes gennem politikker. Der skal etableres en organisation, hvor roller og ansvar er defineret og fordelt for informationssikkerhed.

Risikoledelse er helt central for en brugbar ISO 27001 implementering, da der i praksis er krav om at løse to større konkrete opgaver. ISO 27005 definerer, hvordan dette kan udføres.

For det første skal risikohåndteringen omfatte etablering af kontroller til informationssikkerhed (også kaldet sikkerhedskontroller). Disse er tiltag som beskytter, eller udgør modforanstaltninger, i forhold til risici. De kan opdeles på flere måder eks. som præventive, detekterende eller korrigerende kontroller. Andre finder værdi i en opdeling i strategiske, taktiske og operationelle kontroller.

Der udføres løbende analyse og evaluering af implementeringen og dens værdi. Dette sker dels gennem målinger og audit. Resultaterne analyseres og giver anledning til forbedring samt rapportering og beslutning på flere niveauer. Håndteringen giver input til kontinuert forbedring.

Endelig giver kurset overblik over, hvordan implementering kan håndteres.

Indhold

  • Introduktion til ISO 27000 standarderne
  • Informationssikkerhed og ledelsessystemet
    • Formål, forankring og tilpasning
    • Fortrolighed, integritet og tilgængelighed
    • Viden, processer og systemer
    • Trusler, sårbarhed og risici
    • Relationen governance, risikoledelse og overensstemmelse
  • Organisationens behov og forventninger
    • Omfanget af ledelsessystemet
    • Mål for ledelsessystemet
  • Organisering
    • Politikker
    • Ansvar og beføjelser
  • Planlægning
    • Risikoregistre
    • Kontroller
    • SoA-dokumentet (beslutninger)
  • Drift
    • Centrale funktioner
    • Distribuerede funktioner
    • Leverandørstyring
  • Support
    • Krævet dokumentation
    • Struktur og opbygning
    • Uddannelse og oplysning
  • Evaluering
    • Monitorering, måling og analyse
    • Evidenser og audit
    • Ledelsens review
  • Forbedring
    • Hændelseshåndtering
    • Kontinuert forbedring
    • Årshjul
  • Implementering af standarden

Varianter

Kurset anbefales i en to dages version med fokus på praktisk implementering og overholdelse af ISO 27001.

Kurset kan også afholdes på én dag, hvor fokus er på overblik så organisationen derefter kan beslutte den videre plan (se kursuskonfigurator).

Hvem retter kurset sig imod?

Personer som skal udføre, eller udfører, specialistopgaver i forbindelse med en funktion, der varetager informationssikkerhed. Dette omfatter implementering, vedligehold og auditering af et ISMS.

Hvad er form og varighed?

Kurset afholdes på dansk eller engelsk. Kursusmaterialet er på engelsk. Gennemgået materiale udleveres sammen med en praktisk daglig guide.

Kurset er en kombination af undervisning, dialog samt øvelser og workshops. Sidstnævnte afhænger af valget af kursets længde.

Kurset afholdes som et firmakursus.

Proces360 er kompetence og erfaring indenfor
Analyse & Rådgivning
Udvikling & Implementering
Realisering & Optimering

Ring eller skriv til os for en nærmere, uforpligtende dialog.

Carsten Højmose Kristensen (Vestdanmark)
  +45 3089 3091
chk@proces360.dk

Diego Børresen Lladó (Østdanmark)
  +45 2420 5136
dbl@proces360.dk

Relaterede emner
Informationssikkerhed dækker og tiltag til at sikre informationer i forhold til fortrolighed, integritet og tilgængelighed. Her beskriver vi, hvorfor ISO 27001 er en af de standarder, hvis udbredelse vokser hurtigst.
Vurdering af virksomhedens R&D funktion, modenhedsniveau og kultur. CMMI (Capability Maturity Model Integration). Prioriterede indsatsområder. Projektrettede forslag til forbedringer.
To virksomheder samarbejder omkring større offentlige udbud. Hver virksomhed fik sin tilpassede innovationsproces. Fortsatte på egen hånd.
Offentlig IT-udviklingsafdeling. Ønskede effektivisering og modning. Store udfordringer. Fortsatte modningsprocessen ved egen hjælp.
Del 1 af 3: Anvendelsesmuligheder
Del 2 af 3: Strukturelle modelændringer
Del 3 af 3: Ændringer af modellens praktikker
Struktureret innovation
Udvidelse af at ISO 9001 system med ISO 27001 - her er punkterne som man skal være opmærksom på
Kvalitetsstyring der leder til bedre resultater
Understanding the Model
Managing towards Effective Information Security and Cybersecurity (ISO 27001)
Best Practice for Information Security and Cybersecurity Controls (ISO 27001 and ISO 27002)
Overview to decide Strategy, Goals and Policies for Information Security and Cybersecurity (ISO 27001)
Designing for CMMI Success
Her gives et overblik over kontroller til informationssikkerhed jf. ISO 27001 og 27002
Relaterede specialer
Implementering og drift af din Informations- og cybersikkerhed, evt. vha. ISO27001
Få styr på implementering og drift af persondata
Managing towards Effective Information Security and Cybersecurity (ISO 27001)
Best Practice for Information Security and Cybersecurity Controls (ISO 27001 and ISO 27002)
Strategiimplementering, transformationsledelse, procesimplementering
Overview to decide Strategy, Goals and Policies for Information Security and Cybersecurity (ISO 27001)
IDA-IT gå-hjem mødet gennemgik, hvordan man skal håndtere et databrud - juridisk såvel som teknisk.
Informationssikkerhed dækker og tiltag til at sikre informationer i forhold til fortrolighed, integritet og tilgængelighed. Her beskriver vi, hvorfor ISO 27001 er en af de standarder, hvis udbredelse vokser hurtigst.
Udvidelse af at ISO 9001 system med ISO 27001 - her er punkterne som man skal være opmærksom på
Her gives et overblik over kontroller til informationssikkerhed jf. ISO 27001 og 27002
// -- Tracking af telefonnummer clicks - sat op i Google Adwords