PRESENTAZIONE
CORSO 24 ORE AUDITOR / LEAD AUDITOR
ISO/IEC 27001 INFORMATION SECURITY MANAGEMENT SYSTEM
Tipo di Corso:
Corso Qualificato AICQ Sicev n 329
La certificazione delle competenze di un professionista è una valutazione delle abilità, conoscenze e esperienze acquiste rispetto una norma, ovverosia la conferma ufficiale, secondo norme precise, di una professionalità già acquisita.
Un corso qualificato è un corso necessario per accedere all’esame di certificazione delle competenze.
Corso Professionalizzante
Significa che il corso permette l’acquisizione di nozione e strumenti utile per ottenere le qualifiche necessarie per svolgere una professione.
Corso di Aggiornamento
Per i professionisti della privacy (Privacy Specialist, Privacy Manager, Responsabile della Protezione dei Dati -DPO-), che devono mantenere tale conformita dimostrando annualmente, con idonea documentazione così come richiesto dalla UNI 11697 (Profili professionali relativi al trattamento e alla protezione dei dati personali), di aver superato un corso di aggiornamento sui temi afferenti rispettivamente al trattamento o alla protezione dei dati della durata minima di 8 ore (aumentate a 16 ore per il Responsabile della protezione dati).
Professione:
Lead Auditor
Il Lead Auditor è la figura che all’interno del Gruppo di Audit possiede le conoscenze e le competenze necessarie per coordinare e condurre gli audit di 3° parte (audit di certificazione), verificare i fornitori (audit di 2° parte) e verificare internamente il proprio sistema di gestione(audit di1° parte)
La norma specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell’informazione adatti alle esigenze dell’organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura
Sapere
Intendere i concetti della norma in maniera approfondita, da una angolazione diversa, con la visuale di chi deve trovare le evidenze, valutarle in modo oggettivo allo scopo di stabilire in quale misura i requisiti normativi siano stati applicati dall'Organizzazione oggetto di Audit
Saper Fare
Imparerai:
- a definirie il campo di applicazione del Sistema di Gestione;
- le tecniche di analisi organizzativa:
- valutaziore il contesto e le parti interssate;
- i concetti e i fondamenti della analisi e gestione del rischio;
- a identificare deficienze e efficenze nell'impostazione e nella realizzazione del Sistema di Gestione.
Saper Essere
Esercitazioni di gruppo per:
- entrare in relazione con gli altri;
- presentare, condividere e promuovere le proprie idee;
- gestire il conflitto;
- comunicare, persuadere, convincere.
Auditor prestati alla docenza
Tutti i docenti sono ``in primis`` degli Auditor che portano la loro esperienza di campo in aula
Casi Studio
Consistono nell'analisi della descrizione di porzioni di Audit che vedono coinvolti colleghi ``immaginari`` ovvero la conduzione in prima persona di attività di audit simulate
Domande
Perchè è impossibile fare senza!!!
Esercitazioni di gruppo
Per confrontare le opinioni individuali e convogliarle nell'opinione comune
Correzioni di Gruppo
Perchè non eiste la risposta giusta pre-definita ma diversi modi di interpretare il problmea e risolverlo
Esame individuale
Perchè ognuno è unico e merita tutta la nostra attenzione
Introduzione norma ISO/IEC 27001:2022
Standard di riferimento Nazionali e Internazionali
La struttura di alto livello (HLS)
ISMS Family of Standard
Le linee guida ISO/IEC 27017; ISO/IEC 27018; ISO/IEC 27701
Il Contesto e i confini del Campo di Applicazione del ISMS
Contesto Organizzativo (fattori interni ed esterni)
Parti Interessate e loro esigenze e requisiti
I confini e l’applicabilità del Sistema di Gestione ISMS
Leadership e Ruoli: visione di Insieme
Policy ISMS
Ruoli organizzativi
Pianificare & Supportare un ISMS
Metodologie di analisi dei rischi (UNI ISO 31000, ISO/IEC 27005; AS NZS 4360; NIST 800-30)
Analisi & Gestione
Il Supporto e le Attività Operative
Le risorse: Competenza, Consapevolezza e Comunicazione
Le Informazioni documentate
Pianificazione e Controlli Operativi
Valutazione del Rischio
Trattamento del rischio
La valutazione e il Miglioramento
Audit interni
Riesame di Direzione
Miglioramento (Non Conformità e Azioni Correttive)
I Controlli operativi –ISO/IEC 27002
Information , cybersecurity and privacy protection — Information security controls
Controlli organizzativi & le relative misure di controllo
Controlli delle Persone & le relative misure di controllo
Controlli Fisici & le relative misure di controllo
Controlli tecnologici & le relative misure di controllo
i concetti di sicurezza informatica
Identifica – Identify
Proteggi – Protect
Rileva – Detect
Rispondi – Respond
Recupera – Recover
i tipi di controllo
Preventivo – Preventive
Rilevazione – Detective
Correttivo – Corrective
Le proprietà preservate:
Riservatezza – Confidentiality
Integrità – Integrity
Disponibilità – Availability
Stage 1in una azienda di automazione: campo di applicazione & Politica
Stage 1in una azienda di automazione:gestione del rischio & SoA
Stage 1in una azienda di automazione: preparazione e presentazione Audit Report ST1
Stage 2 da un fornitore: simulazione verifica operativa
Stage 2 in una azienda di automazione: simulazione verifica operativa, preparazione e presentazione Audit Report ST2
Pre-Requisiti
E' auspicabile avere una buona conoscenza dello e standard ISO/IEC 27001 e dei principi fondamentali di un sistema di gestione della sicurezza informazioni.
A tutti gli iscritti verrà sottoposto un test di Autovalutazione
Criteri di valutazione dell'esame finale
Possono accedere all’esame finale del corso in oggetto, tutti i candidati che hanno frequentato le lezioni; non abbiamo superato il limite di ore di assenza consentita; hanno partecipato attivamente alle esercitazioni e sono in regola con i pagamenti
Quota di partecipazione
€ 650,00 + IVA
(per 2 o più partecipanti stessa organizzazione sconto 15% a partire dal secondo)
Aspiranti Auditor / Lead Auditor
Per coloro che fossero interessati alla qualifica di Auditor/Lead Auditor, oltre ad aver superato un esame relativo alle norme UNI EN ISO 19011 :2018 e UNI CEI EN ISO/IEC 17021-l :2015 è consigliato avere esperienza nell'ambito degli audit di prima o seconda parte sui sistemi di gestione sicurezza informazioni.
Assenze
I Docenti hanno la facoltà di autorizzare preventivamente assenze di durata non superiore al 20% della durata del modulo con un massimo di 4 ore
Materiale Fornito
- Documentazione didattica;
- Copie slides;
- Rapporti di verifica;
- Check list
