Koulutuksen kuvaus

ISO 27001:2017 TIETOTURVAJÄRJESTELMÄN RAKENTAMINEN JA AUDITOINTI 28.10.2019

Tietoturva ry järjestää yhteistyössä Arterin ja Qualitas Fennican kanssa tietoturva-auditointi ja sen toteuttaminen -koulutuksen.

ISO 27001:2017 tähtää tietoturvallisuustason ja riskitietoisuuden nostoon, korostaa johdon omaa roolia tietoturvallisuuden hallinnassa sekä aktivoi johtoa kannustamaan henkilökuntaa parantamaan jatkuvasti tietoturvallisuustoimintaa. Koulutus antaa osallistujille kiteytettynä kattavat tiedot ja monipuolisen työkalusetin lomakepohjineen ja lukuisine esimerkkeineen ISO 27001:2017 ja sitä tukevan opastavan ISO 27003:2017 standardin mukaisen Tietoturva-johtamisjärjestelmän (TT;tietoturvallisuus) rakentamiseen, ylläpitoon ja kehittämiseen. Koulutus sisältää pohjustuksia ja kytkentöjä suomalaisiin laki- ja viranomaisvaatimuksiin, kouluttajien kokemuksiin vuosien varrelta ja runsaasti ryhmätyöharjoitteita, joista osallistujat saavat vielä lisäkokemuksia toinen toisiltaan. Koulutusharjoitteisiin sisältyy myös aikaisempien koulutusten harjoitusvinkkejä.

Miksi osallistua?

  • Opit ISO 27001:2017 vaatimukset ja sitä tukevan opastavan standardin ISO 27003:2017 ideat ja niiden soveltaminen tietoturva-johtamisjärjestelmän rakentamisessa
  • Saat ideoita nykyaikaisen tietoturvallisuusjohtamisen kehittämiseen
  • Opit miten osallistaa henkilöstö aktiivisesti kehittämiseen ja jatkuvan parantamisen kulttuurin rakentamisessa Lean-tekniikkaa hyödyntäen
  • Opit laajentamaan prosessiajattelua omassa organisaatiossasi viemällä tietoturvallisuusasiat prosesseihin
  • Hahmotat entistä paremmin miten tietoturvallisuusasiat integroidaan muihin johtamisjärjestelmästandardeihin

Kohderyhmä

Koulutus on tarkoitettu - tietoturvallisuusjärjestelmän rakentamisesta vastaaville, - niin ylimmälle kuin linjajohdolle, - tietoturvallisuusjärjestelmän auditoijille, - prosessinomistajille ja - toimintajärjestelmien kehittäjille.

Koulutuksen ohjelma:

09:00 Päivän avaus

  • Esittäytyminen ja päivän ohjelma
  • Auditoinnin määritelmä
  • Vaatimusten ja odotusten arviointi
  • Kehittämismahdollisuuksien tunnistaminen
  • Auditointiperusteet kuten ISO 27001 ja kohteen oma dokumentaatio tietoturvadokumentaatio
  • Uudistetun ISO 19011:2018 auditointistandardin ja ISO 27005 auditointioppaan painotuksia

Soveltavia pohdintoja, kysymyksiä ja keskustelua

Sisäisten auditointien suunnittelu

  • Tietoturva-auditointien vuosisuunnitelma
  • Auditointipäivän ohjelma, haastateltavat, ajankäyttö ja vinkit sisällöstä
  • Aikataulutus
  • Haastateltavat eri vastuutasoilta (johto, lähiesimiehet, asiantuntijat, muuhenkilöstö)
  • Haastattelujärjestys ja ajankäyttö
  • Kenttäkierroshavainnointi tietoturvamielessä
  • Auditoinnin agendan suunnittelu
  • Auditointiryhmän tehokas toiminta
  • Painopistealueiden valinta
  • Auditoijien taito- ja osaamisvaatimukset, vaatimusten tietäminen, suojattavan tieto-omaisuuden sisäistäminen, tekninen puoli
  • Haastattelu- ja vuorovaikutustaidot

Soveltuvia pohdintoja, kysymyksiä ja keskustelua

11:30 LOUNAS

12:15 Auditointiin valmistautuminen ja toteuttaminen

  • ISO 27001 vaatimukset auditoijan silmin – mihin pureutua?
  • Valmistelevat toimenpiteet – tietoturvadokumentaation hyödyntäminen, tunnuslukujen, palautteiden, ongelmien, häiriöiden ym. informaation hyödyntäminen auditoinnissa
  • Kysymysten laatiminen ja todennettavat, halutaan nähdä asiat
  • Auditoinnin aloituspalaveri
  • Toiminta auditoinnissa kohdattavien henkilöiden kanssa, haastattelut, varmistukset
  • Esimerkkien katsominen tai pyytäminen toimitettavaksi etänä
  • Kehittämismahdollisuuksista keskustelu
  • Henkilöstön toiminnan havainnointi, paikan päällä, sivusta
  • Fyysinen kenttäkierros ja havaintojen teko

Soveltuvia pohdintoja, kysymyksiä ja keskustelua Auditointikeskusteluharjoitus

14:00 Kahvi

14:15 Edellinen jatkuu

15:00 Auditoinnin raportointi ja tulosten esittäminen

Auditoinnin yhteenvedon laatiminen

  • Poikkeamat, kehittämiskohteet ja positiiviset havainnot
  • Hyvän havainnon vaatimuksia ja kirjoittamisen periaatteita
  • Työkalut, lomakkeet ja raporttimallit

Soveltavia harjoitteita

Auditointiraporin havaintojen seuranta, vaikutusten arviointi ja menettelyn kriittinen arviointi

  • Korjaavat toimenpiteet
  • Poikkeamien ja kehittämiskohteiden käsittely
  • Positiivisten havaintojen hyödyntäminen muualla organisaatiossa
  • Auditointimenettelyn itsensä riskejä, kriittinen tarkastelu ja jatkuva parantaminen

Soveltavia harjoitteita

Miten jatkaa tästä?

  • Päivän yhteenveto ja keskustelua
  • Tietolähteitä auditoijien käyttöön

16:00 Koulutuspäivä päättyy

 

Paikka: Sofigate, Tekniikantie 12, 02150 Espoo

Ilmoittautumisinfo: Tilaisuus on tarkoitettu ainoastaan Tietoturva ry:n ja ISACA:n jäsenille ja jäsenmaksu pitää olla maksettuna ennen ensimmäistä koulutuspäivää. Koulutuksen voi maksaa verkkopankissa, luottokortilla tai laskulla. Laskutuslisä paperilaskuihin on 5 €. 

Koulutuksen hinta: Koulutuksen omavastuu on 150 € + alv. 24 %. Ilmoittautuminen on sitova. Koulutuksen peruminen on mahdollista maksutta viimeistään 8 vrk ennen ensimmäistä koulutuskertaa.