Kursus: Information Security for Technology Practitioners

Best Practice for Information Security and Cybersecurity Controls (ISO 27001 and ISO 27002)
  • Forstå væsentlige begreber og terminologi indenfor informationssikkerhed
  • Forstå koblingen mellem organisationens risikoanalyse, kontroller til informationssikkerhed og Statement of Applicability (beslutningsdokumentet)
  • Oplev fordelene ved en tilpasset implementering med udgangspunkt i risikoanalyse af bl.a. organisatoriske og tekniske forhold
  • Få indsigt i mål og kontroller til informationssikkerhed
  • Find løsninger til disse mål og kontroller
  • Lær at udfylde Statement of Applicability som resultatet af den samlede proces
  • Byg en plan for implementering af kontroller, som leder til overensstemmelse og potentielt også certificering

Digital transformation, Internet of Things, løsninger i skyen, big data, personlige data – disse trends vokser massivt og har et enormt potentiale. Men de medfører også store udfordringer for virksomheder, da store mængder af data bliver samlet og skal anvendes 24/7, hvilket udgør en meget stor sikkerhedsrisiko for virksomheden. Hackere og andre tyve vil lokalisere og udnytte svagheder, og det nødvendige modtræk er informationssikkerhed.

Informationssikkerhed dækker tiltag til at sikre vigtige informationer (data, dokumentation mv.) i forhold til fortrolighed, integritet og tilgængelighed (ofte benævnt "CIA"). Dette omfatter blandt andet organisering af sikkerheden, påvirkning af adfærd, arbejdsgange for håndtering af informationer, styring af leverandører og tekniske sikkerhedsløsninger. Informationssikkerhed bliver i praksis kompliceret af, at det kræver involvering på alle niveauer og adgang til tekniske og specialiserede kompetencer.

Dette er organiseret gennem et ledelsessystem for informationssikkerhed (kaldet et ISMS), som giver praktiske mekanismer til at holde vigtige og fortrolige oplysninger inde i egen organisation. Informationssikkerhed dækker bredt i en organisation; ledelsen stiller krav og følger op, specialisterne skaber løsninger og implementerer, mens alt i praksis afhænger af medarbejdernes handlinger og indstilling.

I kurset gennemgås standardkontroller som angivet i ISO 27001 Annex A og deres best practice implementering beskrevet i ISO 27002. Gennemgangen har fokus på at skabe sammenhæng mellem de enkelte elementer, så de blive nemmere at forstå, etablere og vedligeholde.

En central del af ISO 27001 er informationsmål og informationskontroller. I kurset gives en struktur af, og et overblik over, standardens mange kontroller. Det er vigtigt fordi organisationen skal tage beslutninger om, hvor håndtering af de risici sker gennem disse kontroller og dokumentet dette gennem det såkaldte SoA-dokument (Statement of Applicability).

Endelig giver kurset overblik over, hvordan implementering kan håndteres.

Indhold

  • Ledelsessystemet
    • Fortrolighed, integritet og tilgængelighed
    • Viden, processer og systemer
    • Trusler, sårbarhed og risici
  • Kontrolforanstaltninger
    • Mål for informationssikkerhed
    • Forebyggelse
    • Detektion
    • Korrektion
  • Risikoanalysen
    • Risikoidentifikation
    • Risikohåndtering
    • Resultatet af risikoanalysen
  • Kontroller
    • Strategiske ledelseskontroller
    • Taktiske ledelseskontroller
    • Driftskontroller
    • Miljøkontroller (fysiske sikring og sikring af organisationens miljøer, herunder informationer, netværk og kommunikation)
    • Systemkontroller
  • Dokumentation
    • SoA-dokumentet (beslutninger)
  • Implementering af resultatet

Varianter

Kurset anbefales i en to dages version med fokus på praktisk implementering og overholdelse af ISO 27001. Kurset kan også afholdes på én dag, hvor fokus er på overblik, så organisationen derefter kan beslutte den videre plan (se kursuskonfigurator).

Hvem retter kurset sig imod?

Personer der skal implementere informationssikkerhed i praksis. Det kan være personer beskæftiget med

  • netværk,
  • it,
  • software,
  • databaser,
  • teknisk administration,
  • risicis,
  • compliance,
  • sikkerhed og
  • informationssikkerhed.

Hvad er form og varighed?

Kurset afholdes på dansk eller engelsk. Kursusmaterialet er på engelsk. Gennemgået materiale udleveres sammen med en praktisk daglig guide.

Kurset er en kombination af undervisning, dialog og korte øvelser. Sidstnævnte afhænger af valget af kursets længde.

Kurset afholdes som et firmakursus.

Proces360 er kompetence og erfaring indenfor
Analyse & Rådgivning
Udvikling & Implementering
Realisering & Optimering

Ring eller skriv til os for en nærmere, uforpligtende dialog.

Carsten Højmose Kristensen (Vestdanmark)
  +45 3089 3091
chk@proces360.dk

Diego Børresen Lladó (Østdanmark)
  +45 2420 5136
dbl@proces360.dk

Relaterede emner
Kvalitetsstyring der leder til bedre resultater
Arbejdsgange en organisation kan implementere for at få bedre styr på udviklingsprocesser
Artiklen ser på, hvordan virksomheden med den risikobaserede tilgang til kvalitetsledelse kan optimere processer og kvalitetssikring uden at gå på kompromis med ISO9001 standardens krav, men endnu vigtigere ikke forringer kvaliteten ved afbureaukratiseringen.
Implementering og drift af din Informations- og cybersikkerhed, evt. vha. ISO27001
Understanding the Model
Relaterede specialer
Implementering og drift af din Informations- og cybersikkerhed, evt. vha. ISO27001
Få styr på implementering og drift af persondata
Managing towards Effective Information Security and Cybersecurity (ISO 27001)
Strategiimplementering, transformationsledelse, procesimplementering
Building a Competent and Effective Organization for Information Security (ISO 27001)
// -- Tracking af telefonnummer clicks - sat op i Google Adwords