Bilgi Güvenliği Yönetimi

Bilgi Güvenliğinde Risk Yönetimi - ISO27005 Eğitimi (1 Gün, Uygulamalı)

Risk yönetimi eğitimi bilgi teknolojileri alanında denetim yapacak kişiler için temel bir eğitimdir. Bilgi teknolojileri ile ilgili olarak tespit edilmiş veya raporlanmış her türlü zayıflığın değerlendirilmesi, gerekli kontrollerin geliştirilmesi ve kontrol etkinliğinin izlenmesi için risk yönetimi süreçlerinin bilinmesi gereklidir. Katılımcılar eğitimi tamamladıklarında temel risk kavramlarını ve bilgi güvenliği risk terminolojisini öğrenmiş, ISO27005 standardına göre bilgi güvenliği risk yönetimi yapabilecek seviyeye ulaşmış, bilgi güvenliğinde bağlam oluşturma, risk değerlendirme, risk işleme, risk kabulü, risk haberleşmesi, risk izleme ve iyileştirme yöntemlerini tanımış, bilgi güvenliği risk yönetimi sürecinin tüm bileşenleri için girdileri, aksiyonları ve uygulama ip uçlarını öğrenmiş, işletmelerinde bilgi güvenliği risk yönetimi süreci kurabilecek, denetleyebilecek, işletebilecek veya mevcut olan süreci iyileştirebilecek seviyeye geleceklerdir.

Kimler Katılmalıdır?

İşletme bünyesindeki risk yöneticileri ve risk yönetim takım üyeleri, IT Risk yöneticileri ve takım üyeleri, IT yöneticileri, bilgi güvenliği yöneticileri ve takım üyeleri, IT yöneticileri, IT ve risk yönetiminden sorumlu orta seviye organizasyon yöneticileri, iç kontrol ve denetim ekip üyeleri, IT uzmanları ve danışmanlar.

Eğitim İçeriği

• Temel risk kavramı ve bilgi güvenliği risk terminolojisi

         o Risk, varlık, açıklık, tehdit, kontrol

• Bilgi güvenliği risk yönetimi sürecinin özeti ve ana bileşenlerinin tanıtımı

         o Bağlam (context) oluşturma, Risk değerlendirme, Risk işleme, Risk kabulü, Risk haberleşmesi, Risk izleme ve iyileştirme

• Bağlam oluşturma

         o Sürecin girdileri, aksiyonları ve uygulama ipuçları

         o Temel Kriterlerin oluşturulması

             * Risk değerleme (evaluation) kriteri oluşturma

             * Etki kriteri belirleme

             * Risk kabul kriteri belirleme

         o Kapsam ve sınırlamalar

         o Bilgi güvenliği risk Yönetimi organizasyonunun oluşturulması

• Bilgi güvenliği risk değerlendirmesi (risk assessment)

         o Genel tanımlar, sürecin girdileri, aksiyonları ve uygulama ipuçları

         o Risk analizi

             * Risk tanımlama metodolojisi

                  • Risk tanımlamaya giriş, varlıkların ve tehditlerin belirlenmesi

                  • Mevcut kontrollerin belirlenmesi, açıklıkların saptanması

                  • Riskin gerçekleşmesi durumunda olası sonuçlarının tespit edilmesi

             * Risk tahmini

                  • Risk tahmin metodolojisi

                  • Riskin olası sonuçlarının değerlendirilmesi

                  • Olayın olma olasılığının tahmin edilmesi

         o Risk değerlemesi (Risk evaluation)

             * Sürecin girdileri, aksiyonları ve uygulama ipuçları

• Bilgi güvenliği risk işleme

         o Risk işleme tanımları, sürecin girdileri, aksiyonları ve uygulama ipuçları

         o Risk azaltma

         o Risk transferi

         o Riskten kaçınma

• Bilgi güvenliği risk kabulü

• Bilgi güvenliği risk haberleşmesi

• Bilgi güvenliği risk izleme ve gözden geçirme

         o Risk faktörlerinin izlenmesi ve gözden geçirilmesi

         o Risk yönetiminin gözden geçirilmesi ve iyileştirilmesi

• Denenmiş, uygulanan bilgi güvenliği risk yönetimi metodoloji örnekleri