ISO27001 Uygulama Eğitimi (BTRWatch Simulasyonlu)

Amaç

Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.

ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.

Eğitim, katılımcılara etkinliği kanıtlanmış, amacına uygun ve verimli bir metod ile ISO27001 standardının gereksinimlerine uygun bir bilgi güvenliği yönetim sistemini kurabilecek yetkinliği kazandırmayı hedeflemektedir.

Eğitim sırasında uygulanacak egzersizler, BTRWatch Bilgi Güvenliği Yönetim Sistemi çözümümüz üzerinde gerçekleştirilecek ve katılımcılar yönetim sisteminin uygulanmasına ilişkin pratik deneyim elde edeceklerdir.

Ön Koşullar

Eğitim sırasında ISO27002 dokümanında bulunan bilgi güvenliği kontrollerine değinilecektir. Ancak katılımcıların bilgi güvenliği kontrolleri hakkında temel bilgilere sahip olmasında fayda vardır.

Katılımcılar

Bilgi güvenliği yöneticileri, bilgi güvenliği ve bilgi teknolojileri denetçileri, bilgi güvenliği kontrollerini geliştirme ve uygulama sorumluluğu bulunan bilgi teknolojileri personeli eğitime katılabilir. Kalite yönetim ekipleri ve bilgi güvenliği sorumlulukları bulunan diğer birim personelleri eğitime katılabilir ve yönetim sisteminin temel süreçlerine ilişkin bölümlerden fayda sağlayabilir, ancak teknik risklere ilişkin bölümlerde gerekli önbilgi eksikliği hissedebilirler.

İçerik
  • Sürekli iyileştirme yaklaşımı
    • Planla
    • Uygula
    • Kontrol et
    • Önlem al
  • Etkili bir yönetim sistemi için kritik aktiviteler ve kaynaklar
    • Yönetim sistemi hedeflerinin organizasyonun ana hedeflerini destekler biçimde belirlenmesi
      • Organizasyonun dış gereksinimlerinin belirlenmesi
      • Organizasyonun iç gereksinimlerinin belirlenmesi
    • Yönetim desteği
      • Yönetimin planlama sonuçlarını onaylaması ve gerekli kaynakları sağlaması
      • Yönetim gözden geçirme çalışmalarının gerçekleştirilmesi
    • Denetim
      • Yönetim sisteminin objektif olarak gözden geçirilmesi için denetim faaliyetinin periyodik olarak gerçekleştirilmesi
      • Denetim ekibi temel özellikleri
    • Sürekli iyileşme için düzeltici faaliyet sürecinin uygulanması
      • Düzeltici faaliyet planlaması
      • Düzeltici faaliyetlerin takibi ve hedeflerine ulaşıp ulaşmadıklarının değerlendirilmesi
    • Yönetim sistemi kurallarının, sonuçlarının iletişimi ve personel farkındalığının sürekli olarak sağlanması
      • Yönetim sistemi kültürünün benimsenmesi
      • Periyodik farkındalık eğitimleri
    • Farklı yönetim sistemi süreçleri arasında gerekli entegrasyonun sağlanması
      • Olay yönetimi ve planlama süreçleri entegrasyonu
      • Planlama ve iç denetim süreçleri entegrasyonu
      • Düzeltici faaliyet ve iç denetim süreçleri entegrasyonu
    • Doküman ve kayıt yönetim disiplini
      • Politika ve prosedür kültürünün oluşturulması
      • Yönetim sistemi etkinliğinin izlenebilmesi için gerekli kayıtların oluşturulması ve kayıt erişim kontrollerinin uygulanması
  • Bilgi güvenliği ihtiyaçları
    • Gizlilik
    • Bütünlük
    • Erişilebilirlik
    • İnkar edilemezlik
    • Güçlü kullanıcı doğrulama
  • Örnek bir organizasyon için organizasyonun ürettiği hizmet ve ürünlerinin anlaşılması (örnek organizasyonun faaliyet alanı katılımcı profiline uygun olarak belirlenir)
  • Örnek bir organizasyon için dış ve iç bilgi güvenliği gereksinimlerinin belirlenmesi (BTRWatch simülasyonu ile)
  • ISO27001 standardı gereksinimleri
    • Organizasyonun gereksinimleri
    • Liderlik
    • Planlama
    • Destek
    • Operasyon
    • Performans değerlendirme
    • Gelişim
  • Temel risk analiz kavramları
    • Bilgi varlığı
    • Tehdit
    • Zaafiyet
    • Risk
    • Risk formülü
  • Örnek bir organizasyon için risk analizi ve önemli bilgi varlıklarının belirlenmesi (BTRWatch simülasyonu ile)
    • ISO27002 kontrol alanları için uygulanabilirlik kararlarının verilmesi
    • ISO27002 kontrol alanlarının açıklanması ve risk analizi için analistlere atanması
      • Bilgi güvenliği politikaları
      • Bilgi güvenliğinin organizasyonu
      • İnsan kaynağı güvenliği
      • Varlık yönetimi
      • Erişim kontrolü
      • Kriptografi
      • Fiziksel ve çevresel güvenlik
      • Operasyonel güvenlik
      • İletişim güvenliği
      • Sistem tedarik, geliştirme ve bakımı
      • Tedarikçi ilişkileri
      • Bilgi güvenliği olay yönetimi
      • İş sürekliliği ile ilgili bilgi güvenliği konuları
      • Uyum
    • ISO27002 kontrol alanları için mülakat ve doküman inceleme yöntemleri ile risk analizinin gerçekleştirilmesi
    • Risk yanıt stratejilerinin belirlenmesi
    • Uygulanabilirlik bildirgesi taslağının hazırlanması
  • Risk işleme planının hazırlanması ve uygulanması
    • Bilgi güvenliği süreçleri
      • ISO yaklaşımına göre sürecin tanımı
      • Kontroller hangi seviyede ve miktarda dokümante edilmelidir
    • Bilgi güvenliği altyapısı
      • Bilgi güvenliği risklerini azaltan güvenlik konfigürasyonlarına örnekler
      • Bilgi güvenliği risklerini azaltan güvenlik çözümlerine örnekler
    • İnsan odaklı bilgi güvenliği kontrolleri
      • Farkındalık eğitimleri
      • Görev ve sorumlulukların belirlenmesi, güvenlik eğitimleri
      • Organizasyonel yapının kurulması
    • Düzeltici faaliyetlerin üretilmesi (BTRWatch simülasyonu ile)
    • Artık risklerin belirlenmesi ve yönetim tarafından onaylanması (BTRWatch simülasyonu ile)
  • Bilgi güvenliği kontrollerinin etkinliğinin sürekli izlenmesi
  • Bilgi güvenliği olay ve zayıflıklarının yönetilmesi (BTRWatch simülasyonu ile)
    • Olay, zayıflık, gereksinim kaydı üretilmesi
    • Düzeltici faaliyet üretilmesi
  • Bilgi güvenliği yönetim sisteminin iç denetimi (BTRWatch simülasyonu ile)
    • ISO27001 gereksinimlerinin denetimi
    • Tamamlanmış düzeltici faaliyetlerin hedeflerine ulaşıp ulaşmadıklarının denetimi
    • Denetlenecek bilgi güvenliği kontrollerinin seçimi ve denetimi
    • İç denetim sonucu tespit edilen uygunsuzluklar için düzeltici faaliyetlerin üretilmesi
  • Yönetim gözden geçirme faaliyetinin gerçekleştirilmesi
    • Yönetim kararları sonucu gereksinim kaydı üretilmesi (BTRWatch simülasyonu ile)
    • Gereksinim kayıtları için düzeltici faaliyet üretilmesi (BTRWatch simülasyonu ile)
  • Risk analizinin tazelenmesi (BTRWatch simülasyonu ile)
    • Risk analizinin risk işleme planının uygulanma durumuna göre bir sonraki döneme taşınması
    • Güncel yeni risklerin tanımlanması
    • Risk yanıt stratejilerinin ve düzeltici faaliyetlerin planlanması
  • Dış denetim süreci ve bilgi güvenliği yönetim sisteminin sürdürülmesi
    • Belgelendirme denetim kapsamı, yöntemleri ve zamanlaması
    • Yerine getirilmesi gereken periyodik ve sürekli BGYS aktiviteleri
 
Süre / Yer

Süre: 3 gün

Yer: İstanbul