bilgi güvenliği risk yönetimi

BV 418
ISO/IEC 27005:2011 BİLGİ TEKNOLOJİSİ - GÜVENLİK
TEKNİKLERİ - BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ
KATILIMCILAR
İşletme bünyesindeki risk yöneticileri ve risk yönetim
takım üyeleri, IT Risk yöneticileri ve takım üyeleri, IT
yöneticileri, bilgi güvenliği yöneticileri ve takım üyeleri,
IT yöneticileri, IT ve risk yönetiminden sorumlu orta
seviye organizasyon yöneticileri, iç kontrol ve denetim
ekip üyeleri, IT uzmanları ve danışmanlar.
EĞİTİMİN ÖZETİ
Risk yönetimi eğitimi bilgi teknolojileri alanında
denetim yapacak kişiler için temel bir eğitimdir. Bilgi
teknolojileri ile ilgili olarak tespit edilmiş veya
raporlanmış her türlü zayıflığın değerlendirilmesi,
gerekli kontrollerin geliştirilmesi ve kontrol etkinliğinin
izlenmesi için risk yönetimi süreçlerinin bilinmesi
gereklidir. Katılımcılar eğitimi tamamladıklarında
temel risk kavramlarını ve bilgi güvenliği risk
terminolojisini öğrenmiş, ISO27005 standardına göre
bilgi güvenliği risk yönetimi yapabilecek seviyeye
ulaşmış, bilgi güvenliğinde bağlam oluşturma, risk
değerlendirme, risk işleme, risk kabulü, risk
haberleşmesi, risk izleme ve iyileştirme yöntemlerini
tanımış, bilgi güvenliği risk yönetimi sürecinin tüm
bileşenleri için girdileri, aksiyonları ve uygulama ip
uçlarını öğrenmiş, işletmelerinde bilgi güvenliği risk
yönetimi
süreci
kurabilecek,
denetleyebilecek,
işletebilecek veya mevcut olan süreci iyileştirebilecek
seviyeye geleceklerdir.
ZAMAN PLANI
Eğitim 1 gün olarak planlanmıştır:
09:30 – 17:00
İÇERİĞİ






























Temel risk kavramı ve bilgi güvenliği risk terminolojisi
Risk, varlık, açıklık, tehdit, kontrol
Bilgi güvenliği risk yönetimi sürecinin özeti ve ana
bileşenlerinin tanıtımı
Bağlam (context) oluşturma, Risk değerlendirme, Risk
işleme, Risk kabulü, Risk haberleşmesi, Risk izleme ve
iyileştirme
Bağlam oluşturma
Sürecin girdileri, aksiyonları ve uygulama ipuçları
Temel Kriterlerin oluşturulması
o Risk değerleme (evaluation) kriteri
oluşturma
o Etki kriteri belirleme
o Risk kabul kriteri belirleme
Kapsam ve sınırlamalar
Bilgi güvenliği risk Yönetimi organizasyonunun
oluşturulması
Bilgi güvenliği risk değerlendirmesi (risk assessment)
Genel tanımlar, sürecin girdileri, aksiyonları ve uygulama
ipuçları
Risk analizi
o Risk tanımlama metodolojisi
Risk tanımlamaya giriş, varlıkların ve tehditlerin
belirlenmesi
Mevcut kontrollerin belirlenmesi, açıklıkların saptanması
Riskin gerçekleşmesi durumunda olası sonuçlarının tespit
edilmesi
o Risk tahmini
Risk tahmin metodolojisi
Riskin olası sonuçlarının değerlendirilmesi
Olayın olma olasılığının tahmin edilmesi
Risk değerlemesi (Risk evaluation)
o Sürecin girdileri, aksiyonları ve uygulama
ipuçları
Bilgi güvenliği risk işleme
Risk işleme tanımları, sürecin girdileri, aksiyonları ve
uygulama ipuçları
Risk azaltma
Risk transferi
Riskten kaçınma
Bilgi güvenliği risk kabulü
Bilgi güvenliği risk haberleşmesi
Bilgi güvenliği risk izleme ve gözden geçirme
Risk faktörlerinin izlenmesi ve gözden geçirilmesi
Risk yönetiminin gözden geçirilmesi ve iyileştirilmesi
Denenmiş, uygulanan bilgi güvenliği risk yönetimi
metodoloji örnekleri