Plan Szkolenia
Cel:
Ostatecznym celem jest zdanie egzaminu CISA za pierwszym razem.
Proces audytu systemu informatycznego (21%)
Świadczenie usług audytowych zgodnie ze standardami audytu IT w celu wsparcia organizacji w ochronie i kontroli systemów informatycznych.
- 1.1 Opracować i wdrożyć strategię audytu IT opartą na ryzyku zgodnie ze standardami audytu IT, aby zapewnić uwzględnienie kluczowych obszarów.
- 1.2 Planowanie określonych audytów w celu ustalenia, czy systemy informatyczne są chronione, kontrolowane i zapewniają wartość dla organizacji.
- 1.3 Przeprowadza audyty zgodnie ze standardami audytu IT, aby osiągnąć zaplanowane cele audytu.
- 1.4 Raportowanie wyników audytu i formułowanie zaleceń dla kluczowych interesariuszy w celu komunikowania wyników i wprowadzania zmian w razie potrzeby.
- 1.5 Prowadzenie działań następczych lub przygotowywanie raportów o statusie w celu zapewnienia, że odpowiednie działania zostały podjęte przez kierownictwo w odpowiednim czasie.
Zarządzanie i Management IT (17%)
Zapewnienie, że niezbędne przywództwo oraz struktura i procesy organizacyjne są na miejscu, aby osiągnąć cele i wspierać strategię organizacji.
- 2.1 Ocena skuteczności struktury zarządzania IT w celu określenia, czy decyzje, kierunki i wydajność IT wspierają strategie i cele organizacji.
- 2.2 Ocena struktury organizacyjnej IT i zarządzania zasobami ludzkimi (personelem) w celu ustalenia, czy wspierają one strategie i cele organizacji.
- 2.3 Ocena strategii IT, w tym kierunku IT, oraz procesów opracowywania, zatwierdzania, wdrażania i utrzymywania strategii pod kątem zgodności ze strategiami i celami organizacji.
- 2.4 Ocena polityk, standardów i procedur IT organizacji oraz procesów ich opracowywania, zatwierdzania, wdrażania, utrzymywania i monitorowania w celu ustalenia, czy wspierają one strategię IT i są zgodne z wymogami regulacyjnymi i prawnymi.
- 2.5 Ocena adekwatności systemu zarządzania jakością w celu ustalenia, czy wspiera on strategie i cele organizacji w sposób efektywny kosztowo.
- 2.6 Ocena zarządzania IT i monitorowania kontroli (np. ciągłe monitorowanie, QA) pod kątem zgodności z polityką, standardami i procedurami organizacji.
- 2.7 Ocena inwestycji, wykorzystania i alokacji zasobów IT, w tym kryteriów ustalania priorytetów, pod kątem zgodności ze strategiami i celami organizacji.
- 2.8 Ocena strategii i polityk zawierania umów IT oraz praktyk zarządzania umowami w celu ustalenia, czy wspierają one strategie i cele organizacji.
- 2.9 Ocena praktyk zarządzania ryzykiem w celu ustalenia, czy ryzyko związane z IT w organizacji jest odpowiednio zarządzane.
- 2.10 Ocena praktyk w zakresie monitorowania i zapewniania wiarygodności w celu ustalenia, czy zarząd i kierownictwo wykonawcze otrzymują wystarczające i terminowe informacje na temat wydajności IT.
- 2.11 Ocena planu ciągłości działania organizacji w celu określenia zdolności organizacji do kontynuowania podstawowych operacji biznesowych w okresie zakłóceń IT.
Pozyskiwanie, rozwój i wdrażanie systemów informatycznych (12%)
Zapewnienie, że praktyki nabywania, rozwoju, testowania i wdrażania systemów informatycznych spełniają strategie i cele organizacji.
- 3.1 Ocena uzasadnienia biznesowego dla proponowanych inwestycji w nabycie, rozwój, utrzymanie i późniejsze wycofanie systemów informatycznych w celu ustalenia, czy spełniają one cele biznesowe.
- 3.2 Ocena praktyk zarządzania projektami i kontroli w celu ustalenia, czy wymagania biznesowe są osiągane w sposób efektywny kosztowo, przy jednoczesnym zarządzaniu ryzykiem dla organizacji.
- 3.3 Przeprowadzanie przeglądów w celu ustalenia, czy projekt postępuje zgodnie z planami projektu, jest odpowiednio poparty dokumentacją, a raportowanie statusu jest dokładne.
- 3.4 Ocenia kontrole systemów informatycznych na etapie wymagań, pozyskiwania, rozwoju i testowania pod kątem zgodności z politykami, standardami, procedurami i obowiązującymi wymogami zewnętrznymi organizacji.
- 3.5 Ocena gotowości systemów informatycznych do wdrożenia i migracji do produkcji w celu ustalenia, czy wyniki projektu, kontrole i wymagania organizacji są spełnione.
- 3.6 Przeprowadzanie przeglądów powdrożeniowych systemów w celu ustalenia, czy spełnione są wymagania projektu, kontroli i organizacji.
Obsługa systemów informatycznych i Business odporność (23%)
Zapewnienie, że procesy obsługi, konserwacji i wsparcia systemów informatycznych spełniają strategie i cele organizacji.
- 4.1 Przeprowadzanie okresowych przeglądów systemów informatycznych w celu określenia, czy nadal spełniają one cele organizacji.
- 4.2 Ocena praktyk zarządzania poziomem usług w celu ustalenia, czy poziom usług świadczonych przez wewnętrznych i zewnętrznych dostawców usług jest zdefiniowany i zarządzany.
- 4.3 Ocena praktyk zarządzania stronami trzecimi w celu ustalenia, czy poziomy kontroli oczekiwane przez organizację są przestrzegane przez dostawcę.
- 4.4 Ocena operacji i procedur użytkownika końcowego w celu ustalenia, czy zaplanowane i niezaplanowane procesy są zarządzane do końca.
- 4.5 Ocena procesu utrzymania systemów informatycznych w celu ustalenia, czy są one skutecznie kontrolowane i czy nadal wspierają cele organizacji.
- 4.6 Ocena praktyk administrowania danymi w celu określenia integralności i optymalizacji baz danych.
- 4.7 Ocena wykorzystania narzędzi i technik monitorowania pojemności i wydajności w celu określenia, czy usługi IT spełniają cele organizacji.
- 4.8 Ocena praktyk zarządzania problemami i incydentami w celu określenia, czy incydenty, problemy lub błędy są rejestrowane, analizowane i rozwiązywane w odpowiednim czasie.
- 4.9 Ocena praktyk zarządzania zmianami, konfiguracją i wydaniami w celu ustalenia, czy zaplanowane i niezaplanowane zmiany wprowadzone do środowiska produkcyjnego organizacji są odpowiednio kontrolowane i dokumentowane.
- 4.10 Ocena adekwatności przepisów dotyczących tworzenia kopii zapasowych i przywracania w celu określenia dostępności informacji wymaganych do wznowienia przetwarzania.
- 4.11 Ocena planu odzyskiwania po awarii organizacji w celu ustalenia, czy umożliwia on odzyskanie zdolności przetwarzania IT w przypadku awarii.
Ochrona zasobów informacyjnych (27%)
Zapewnienie, że polityka bezpieczeństwa, standardy, procedury i kontrole organizacji zapewniają poufność, integralność i dostępność zasobów informacyjnych.
- 5.1 Ocena polityk, standardów i procedur bezpieczeństwa informacji pod kątem kompletności i zgodności z ogólnie przyjętymi praktykami.
- 5.2 Ocena projektu, wdrożenia i monitorowania systemowych i logicznych mechanizmów kontroli bezpieczeństwa w celu weryfikacji poufności, integralności i dostępności informacji.
- 5.3 Ocena projektu, wdrożenia i monitorowania procesów i procedur klasyfikacji danych pod kątem zgodności z polityką, standardami, procedurami i obowiązującymi wymogami zewnętrznymi organizacji.
- 5.4 Ocena projektu, wdrożenia i monitorowania kontroli dostępu fizycznego i kontroli środowiska w celu ustalenia, czy zasoby informacyjne są odpowiednio chronione.
- 5.5 Ocena procesów i procedur wykorzystywanych do przechowywania, odzyskiwania, transportu i utylizacji zasobów informacyjnych (np. nośników kopii zapasowych, przechowywania poza siedzibą firmy, danych w formie papierowej/drukowanej i nośników w formie elektronicznej) w celu ustalenia, czy zasoby informacyjne są odpowiednio chronione.
Wymagania
- 5 lat doświadczenia zawodowego w audycie IT lub w obszarze bezpieczeństwa
- Podstawowa wiedza z zakresu funkcjonowania technologii informatycznych, wsparcia biznesu przez technologie informatyczne oraz kontroli wewnętrznej.
Możliwe jest skrócenie wymaganego doświadczenia zawodowego do 4 lat, jeśli kandydat posiada tytuł licencjata lub do 3 lat, jeśli posiada tytuł magistra.
Do egzaminu można przystąpić z niespełnionymi wymaganiami dotyczącymi doświadczenia zawodowego. Jest to jednak warunek, który należy spełnić w ciągu 5 lat od daty przystąpienia do egzaminu. Jeśli nie uda się tego zrobić w ciągu 5 lat, zdany wynik egzaminu zostanie uznany za nieważny.
Publiczność
- audytorzy
- audytorzy systemów informatycznych
- menedżerowie infrastruktury IT,
- kierownicy ds. zarządzania ryzykiem lub ciągłością działania,
- osoby odpowiedzialne za wszystkie aspekty zarządzania IT
Opinie uczestników (3)
The training was excellent, than you Ditmar.
Maria Gagliardi - EY Global Services (Poland) Sp. z o.o.
Szkolenie - CISSP - Certified Information Systems Security Professional
Podejście prowadzącego oraz jego entuzjazm.
Łukasz Cichoń - LSI Software S.A.
Szkolenie - Bezpieczeństwo aplikacji internetowych
I liked the in-depth knowledge about the subject of the trainer, good explanation, highlighting important things!.