Tehokas tietoturva-auditointi ja sen toteuttaminen (ISO 27001:2022)

Kesto: 1.0 pv
Kurssia ei ole tällä hetkellä aikataulutettu. Ota yhteyttä ja sovi asiakaskohtainen koulutus.

Tuotekuvaus

Sisäinen auditointi on järjestelmällinen, riippumaton ja dokumentoitu prosessi, jossa hankitaan objektiivisesti arvioitavaa todistusaineistoa sen määrittämiseksi, missä määrin auditointikriteerit on täytetty. Tehokas auditointi vaatii auditoijilta sitoutumista ja omistautumista paitsi itse auditointitehtävien suunnitteluun kuin myös itsensä jatkuvaan kehittämiseen.

Opi tietoturva-auditoinnin toteuttaminen

Tässä koulutuksessa paneudutaan tietoturvallisuuden hallintajärjestelmän ISO 27001:2017 -standardin vaatimusten ja kehittämistarpeiden auditointiin niin johtamisjärjestelmänäkökulmasta kuin kyseisen standardin erityispiirteisiin painottuen. Koulutuksen painopisteinä ovat:

  • johtajuuden auditointi,
  • riskienhallinnan ja hallintakeinojen auditointi,
  • henkilöstön tietoisuuden ja järjestelmän ylläpitoon sekä käyttöön liittyvien roolien ja vastuiden auditointi,
  • tietoturvamittareiden soveltamisen auditointiin ja järjestelmän jatkuvan parantamisen auditointi.

Oppimismenetelmät

Koulutus on yksipäiväinen ja koostuu alustavista luennoista, käytännön esimerkeistä ja käytäntöön soveltavista harjoitteista.

Osallistujat saavat erilaisia malleja, auditointiaihiotyöpohjia ja välineitä organisaatiokohtaisen sisäisten ISO 27001 auditointien tueksi. Osallistujat saavat koulutuksesta todistuksen.

Miksi osallistua?

  • ymmärrät ISO 27001:2017 keskeiset vaatimukset
  • tulkitsemme vaatimusten soveltamista
  • vaatimusten käytännön toteutus helpottuu
  • saat hyviä vinkkejä tietoturvajärjestelmän rakentamiseen
  • saat valmiuksia tietoturvajärjestelmän sisäiseen auditointiin

Kenelle?

Johdolle, tietoturvasta vastaaville, sisäisille ja toimittaja-auditoijille, esimiehille, johtamisjärjestelmien kehittämisestä vastaaville ja muille kyberturvallisuudesta kiinnostuneille.



9:00 Avaus ja koulutuksen tavoitteet

  • Esittäytyminen
  • Ohjelma
  • Tavoitteet

Auditoinnin määritelmä ja perusteet

  • Auditoinnin määritelmä
    • Vaatimusten ja odotusten arviointi
    • Kehittämismahdollisuuksien tunnistaminen
  • Auditointiperusteet kuten ISO 27001 ja kohteen oma dokumentaatio: tietoturvadokumentaatio
  • Uudistetun ISO 19011:2018 auditointistandardin ja ISO 27005 auditointioppaan painotuksia

Soveltavia pohdintoja, kysymyksiä ja keskustelua

Sisäisten auditointien suunnittelu

  • Tietoturva-auditointien vuosisuunnitelma
  • Auditointipäivän ohjelma, haastateltavat, ajankäyttö ja vinkit sisällöstä
    • Aikataulutus
    • Haastateltavat eri vastuutasoilta (johto, lähiesimiehet, asiantuntijat, muu henkilöstö)
    • Haastattelujärjestys ja ajankäyttö
    • Kenttäkierroshavainnointi tietoturvamielessä
    • Auditoinnin agendan suunnittelu
  • Auditointiryhmän tehokas toiminta
  • Painopistealueiden valinta
  • Auditoijien taito- ja osaamisvaatimukset, vaatimusten tietäminen, suojattavan tieto-omaisuuden sisäistäminen, tekninen puoli
  • Haastattelu- ja vuorovaikutustaidot

Soveltuvia pohdintoja, kysymyksiä ja keskustelua

11:30 Lounas

12:35 Auditointiin valmistautuminen ja toteuttaminen

  • ISO 27001 vaatimukset auditoijan silmin – mihin pureutua?
  • Valmistelevat toimenpiteet – tietoturvadokumentaation hyödyntäminen, tunnuslukujen, palautteiden, ongelmien, häiriöiden ym. informaation hyödyntäminen auditoinnissa
  • Kysymysten laatiminen ja todennettavat, halutaan nähdä asiat
  • Auditoinnin aloituspalaveri

14:00 Kahvi

Auditointiin valmistautuminen ja toteuttaminen jatkuu

  • Toiminta auditoinnissa kohdattavien henkilöiden kanssa, haastattelut, varmistukset
  • Esimerkkien katsominen tai pyytäminen toimitettavaksi etänä
  • Kehittämismahdollisuuksista keskustelu
  • Henkilöstön toiminnan havainnointi, paikan päällä, sivusta
  • Fyysinen kenttäkierros ja havaintojen teko

Soveltuvia pohdintoja, kysymyksiä ja keskustelua

Auditointikeskusteluharjoitus

Auditoinnin raportointi ja tulosten esittäminen

  • Auditoinnin yhteenvedon laatiminen
  • Poikkeamat, kehittämiskohteet ja positiiviset havainnot
  • Hyvän havainnon vaatimuksia ja kirjoittamisen periaatteita
  • Työkalut, lomakkeet ja raporttimallit

Soveltavia harjoitteita

Auditointiraporin havaintojen seuranta, vaikutusten arviointi ja menettelyn kriittinen arviointi

  • Korjaavat toimenpiteet
  • Poikkeamien ja kehittämiskohteiden käsittely
  • Positiivisten havaintojen hyödyntäminen muualla organisaatiossa
  • Auditointimenettelyn itsensä riskejä, kriittinen tarkastelu ja jatkuva parantaminen

Soveltavia harjoitteita

Päivän yhteenveto ja keskustelua

  • Miten jatkaa tästä?
  • Tietolähteitä auditoijien käyttöön

16:00 Koulutuksen päätös

Peruutusehdot
Mikäli ilmoittautuja ei pääse kurssille, voi hänen sijastaan tulla toinen henkilö. Mikäli ilmoittautumisen peruutus tehdään vähemmän kuin kaksi (2) viikkoa ennen kurssin alkua, veloitamme toimisto- ja varauskuluina 50% kurssimaksusta. Mikäli ilmoittautunut jää saapumatta kurssille ilman peruutusilmoitusta, veloitamme koko osallistumismaksun. Kurssimateriaalin toimittamisesta oppilaalle peruuntumistapauksessa veloitamme lisäksi 100 EUR. Peruutusmaksut veloitetaan myös sairastapauksissa.

Oma koulutus tai tapahtuma Oppia.fi:hin?

Ota yhteyttä!