CORSO 24 ORE AUDITOR / LEAD AUDITOR
ISO/IEC 27001 INFORMATION SECURITY MANAGEMENT SYSTEM
Tipo di Corso:
Corso Qualificato AICQ Sicev n 329
Un corso qualificato è un corso necessario per accedere all’esame di certificazione delle competenze.
Corso Professionalizzante
Corso di Aggiornamento
Professione:
Lead Auditor
Il Lead Auditor è la figura che all’interno del Gruppo di Audit possiede le conoscenze e le competenze necessarie per coordinare e condurre gli audit di 3° parte (audit di certificazione), verificare i fornitori (audit di 2° parte) e verificare internamente il proprio sistema di gestione(audit di1° parte)
Settore:
Information security, cybersecurity and privacy protection — Information security management systems
(ISO/IEC 27001:2022)
La norma specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell’informazione adatti alle esigenze dell’organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura
Obiettivi
- a definirie il campo di applicazione del Sistema di Gestione;
- le tecniche di analisi organizzativa:
- valutaziore il contesto e le parti interssate;
- i concetti e i fondamenti della analisi e gestione del rischio;
- a identificare deficienze e efficenze nell'impostazione e nella realizzazione del Sistema di Gestione.
- entrare in relazione con gli altri;
- presentare, condividere e promuovere le proprie idee;
- gestire il conflitto;
- comunicare, persuadere, convincere.
Didattica
Programma
Introduzione norma ISO/IEC 27001:2022
Standard di riferimento Nazionali e Internazionali
La struttura di alto livello (HLS)
ISMS Family of Standard
Le linee guida ISO/IEC 27017; ISO/IEC 27018; ISO/IEC 27701
Il Contesto e i confini del Campo di Applicazione del ISMS
Contesto Organizzativo (fattori interni ed esterni)
Parti Interessate e loro esigenze e requisiti
I confini e l’applicabilità del Sistema di Gestione ISMS
Leadership e Ruoli: visione di Insieme
Policy ISMS
Ruoli organizzativi
Pianificare & Supportare un ISMS
Metodologie di analisi dei rischi (UNI ISO 31000, ISO/IEC 27005; AS NZS 4360; NIST 800-30)
Analisi & Gestione
Il Supporto e le Attività Operative
Le risorse: Competenza, Consapevolezza e Comunicazione
Le Informazioni documentate
Pianificazione e Controlli Operativi
Valutazione del Rischio
Trattamento del rischio
La valutazione e il Miglioramento
Audit interni
Riesame di Direzione
Miglioramento (Non Conformità e Azioni Correttive)
I Controlli operativi –ISO/IEC 27002
Information , cybersecurity and privacy protection — Information security controls
Controlli organizzativi & le relative misure di controllo
Controlli delle Persone & le relative misure di controllo
Controlli Fisici & le relative misure di controllo
Controlli tecnologici & le relative misure di controllo
i concetti di sicurezza informatica
Identifica – Identify
Proteggi – Protect
Rileva – Detect
Rispondi – Respond
Recupera – Recover
i tipi di controllo
Preventivo – Preventive
Rilevazione – Detective
Correttivo – Corrective
Le proprietà preservate:
Riservatezza – Confidentiality
Integrità – Integrity
Disponibilità – Availability
Casi Studio - Role Play
Stage 1in una azienda di automazione: campo di applicazione & Politica
Stage 1in una azienda di automazione:gestione del rischio & SoA
Stage 1in una azienda di automazione: preparazione e presentazione Audit Report ST1
Stage 2 da un fornitore: simulazione verifica operativa
Stage 2 in una azienda di automazione: simulazione verifica operativa, preparazione e presentazione Audit Report ST2
Regole del Corso
A tutti gli iscritti verrà sottoposto un test di Autovalutazione
(per 2 o più partecipanti stessa organizzazione sconto 15% a partire dal secondo)
- Copie slides;
- Rapporti di verifica;
- Check list