Svetovalec za skladnost dokumentacije ISMS | ISMS Document Compliance Consultant

Uvod

Ta tridnevni program usposabljanja zagotavlja celovit vpogled v upravljanje dokumentacijo znotraj sistema upravljanja informacijske varnosti (ISMS), s posebnim poudarkom na zahtevah standarda ISO/IEC 27001:2022. Program je zasnovan izrazito praktično, z namenom razvijanja konkretnih veščin, potrebnih za razvoj, vzdrževanje in preverjanje funkcionalnosti dokumentacije skozi simulacije resničnih situacij in zahtev zunanjih nadzorov.
Udeleženci med usposabljanjem pridobijo kompetence, potrebne za prevzem vloge svetovalca za skladnost dokumentacije ISMS. Ta vloga vključuje svetovanje organizacijam glede strukturiranja in vzdrževanja dokumentacije ISMS v skladu z regulativnimi zahtevami, standardi in interno dokumentacijo. Oseba s takšnimi kompetencami prepozna slabosti dokumentacijskega sistema, pripravlja ali izboljšuje predloge dokumentov ter nudi strokovno podporo pri pripravah na notranje in zunanje presoje, pri čemer dokumentirane informacije postanejo ključni dokaz o učinkovitosti in skladnosti sistema upravljanja.

Vsebina usposabljanja

1. Uvod v upravljanje dokumentacije ISMS
Uvodno poglavje je namenjeno predstavitvi namena in pomena upravljanja dokumentacije znotraj sistema upravljanja informacijske varnosti (ISMS). Udeleženci bodo razumeli vlogo dokumentiranih informacij v kontekstu zahtev standarda ISO/IEC 27001:2022 ter ustreznih smernic, kot je ISO 10013:2021. Poudarek je na temeljnih načelih dokumentacije, razlikah med vrstami dokumentov ter povezavi dokumentacije s sistemi upravljanja tveganj in incidentov. Obravnavan je tudi življenjski cikel dokumenta, vključno z ustvarjanjem, nadzorom različic, odobravanjem in arhiviranjem. Cilj poglavja je razviti temeljno razumevanje sistematičnega pristopa k upravljanju dokumentiranih informacij kot temelja ISMS.
 

2. Priročnik ISMS (Manual)
Priročnik ISMS je pregleden dokument, ki celovito opisuje sistem upravljanja informacijske varnosti. To poglavje obravnava njegov namen, vsebino in povezavo z drugimi dokumenti. Udeleženci bodo spoznali, kako strukturirati priročnik, da bo uporaben pripomoček pri nadzoru, komunikaciji in izvajanju ISMS – z zajemom obsega ISMS, ključnih procesov, politik, odgovornosti in medsebojnih povezav.

Vaja 1: Struktura priročnika ISMS
Udeleženci pripravijo osnutek strukture priročnika ISMS, ki vključuje ključne elemente, kot so obseg, politike, procesi in povezave z drugimi dokumenti. Cilj vaje je omogočiti razumevanje vloge priročnika ter kako ga prilagoditi posebnostim organizacije. Vaja dodatno razvija sposobnost oblikovanja preglednega dokumenta, ki olajša notranjo komunikacijo in zunanji nadzor.
 

3. Politike
Obravnavani so vrste in namen ključnih politik ISMS, kot so politika informacijske varnosti, politika klasifikacije informacij, politika uporabe sredstev ipd. Poseben poudarek je na zahtevah standarda ISO 27001, usklajenosti z varnostnimi cilji, odobravanju s strani vodstva ter rednem pregledu politik.

Vaja 2: Oblikovanje politike informacijske varnosti
Udeleženci analizirajo primer politike informacijske varnosti in predlagajo spremembe, da bi bila skladna z zahtevami standarda ISO 27001. Cilj vaje je razumeti, kako oblikovati skladno, izvedljivo in nadzorovano politiko. Vaja prav tako razvija razumevanje povezave med strateškimi cilji, organizacijsko kulturo in dokumentiranimi obveznostimi.
 

4. Metodologije
To poglavje obravnava dokumentirane metodologije, kot so metodologije za ocenjevanje in obravnavo tveganj, ocenjevanje incidentov, upravljanje skladnosti in druga ključna področja. Obravnava se struktura metodologije ter povezava s standardoma ISO/IEC 27005 in ISO 31000.

Vaja 3: Oblikovanje metodologije za ocenjevanje tveganj
Udeleženci pripravijo enostaven, a funkcionalen osnutek metodologije za ocenjevanje tveganj, vključno s kriteriji, viri podatkov in logiko odločanja. Cilj vaje je razumeti, kako metodološki pristop postane temelj za sistemsko odločanje in evidentiranje. Vaja pomaga tudi pri razlikovanju med strukturo metodologije in postopki.
 

5. Postopki
Obravnava se oblikovanje postopkov, ki omogočajo izvajanje politik in metodologij, vključno s postopki za upravljanje incidentov, sprememb, dostopov, nadzora itd. Poudarjena je pomembnost jasne strukture in opredeljenih vlog.

Vaja 4: Oblikovanje postopka za upravljanje incidentov
Udeleženci oblikujejo postopek za upravljanje informacijskih incidentov v skladu z zahtevami standarda ISO/IEC 27035. Cilj vaje je razviti sposobnost oblikovanja operativno uporabnega in jasno opredeljenega postopka. Vaja tudi uči povezovanje posameznih korakov z ustreznimi evidencami in odgovornostmi.
 

6. Načrti
Načrti predstavljajo konkretne korake za dosego ciljev ISMS. Obravnavani so načrti usposabljanja, poslovne kontinuitete, okrevanja, odziva na incidente ipd., s poudarkom na povezavi z analizo tveganj in cilji organizacije.

Vaja 5: Načrt ozaveščanja in usposabljanja osebja ISMS
Udeleženci oblikujejo načrt za izvedbo internega usposabljanja in ozaveščanja o informacijski varnosti, z določenimi cilji, odgovornostmi in roki. Cilj vaje je povezati načrtovane aktivnosti s poslovnimi cilji ISMS in merili njihove učinkovitosti. Vaja vključuje tudi pripravo predlogov kazalnikov uspešnosti.
 

7. Evidence
Evidence služijo kot dokaz o izvedbi aktivnosti v okviru ISMS. Obravnavane so vrste zapisov, način njihovega nadzora, hranjenja in povezovanja s presojami ter korektivnimi ukrepi.

Vaja 6: Oblikovanje predloge evidence za varnostne incidente
Udeleženci oblikujejo predlogo evidence, ki omogoča strukturirano beleženje, analizo in spremljanje varnostnih incidentov. Cilj vaje je strukturirati uporabne zapise, ki podpirajo analizo, spremljanje trendov in nadzor. Vaja spodbuja kritično razmišljanje o potrebnih informacijah za učinkovito obravnavo in korektivne ukrepe.

8. Registri
Registri omogočajo spremljanje sredstev, tveganj, incidentov, dostopov in drugih elementov ISMS. Poglavje se osredotoča na strukturo, vzdrževanje in funkcionalno vlogo registrov pri odločanju in presojah.

Vaja 7: Oblikovanje registra tveganj
Udeleženci oblikujejo funkcionalen register tveganj na podlagi prej pripravljene metodologije, vključno z identifikatorji, ravnmi tveganja, obravnavami in statusom. Cilj vaje je razumeti pomen ažurnih in sistemsko vodenih registrov pri upravljanju ISMS. Vaja razvija tudi spretnosti kategorizacije in dinamičnega posodabljanja vsebine na podlagi novih podatkov.

9. Poročila
Poročila služijo za formalno komunikacijo znotraj organizacije in do pristojnih organov. Obravnavana so poročila o presojah, pregledih s strani vodstva, incidentih in skladnosti s predpisi. Poudarek je na strukturi, jasnosti in povezavi z dokumentacijo.

Vaja 8: Povzetek poročila o učinkovitosti ISMS za vodstvo
Udeleženci oblikujejo povzetek poročila, ki temelji na ključnih ugotovitvah, analizah in priporočilih za izboljšave. Cilj vaje je naučiti se strukturirati poročila, ki podpirajo odločanje in izpolnjevanje nadzornih zahtev. Vaja krepi sposobnost predstavitve podatkov ciljnim skupinam (npr. vodstvo, nadzorni organ).
 

10. Drugi dokumenti
Poglavje obravnava dokumente, kot so izjave o uporabnosti (SoA), razdelitve odgovornosti, komunikacijske matrike, notranji obrazci in pomožni zapisi. Razložena je njihova funkcionalna vloga, vzdrževanje in povezava s formalnimi dokumenti.

Vaja 9: Dokumentiranje odgovornosti ekipe za incidente
Cilj vaje je razumeti, kako dokumentirana razdelitev odgovornosti znotraj IRT (Incident Response Team) zagotavlja funkcionalno povezavo vlog, komunikacije in pristojnosti ter kako tak dokument podpira učinkovit odziv na incidente in skladnost s formalnimi zahtevami SoA, komunikacijskih matric in drugih ključnih zapisov.

11. Operativna uporabnost dokumentacije ISMS
Učinkovitost dokumentacije ISMS ni v njenem obstoju, temveč v njeni operativni uporabnosti – sposobnosti, da podpira dejanske organizacijske procese, zagotavlja skladnost z regulativo in olajša odločanje. Dokumenti, kot so politike, postopki, evidence in poročila, morajo biti funkcionalno povezani s poslovnimi dejavnostmi ter jasno kazati, kako se informacije v praksi varujejo in upravljajo. Usposabljanje udeležencem omogoča testiranje učinkovitosti dokumentacije v simuliranem okolju in razvoj spretnosti, potrebnih za dokazovanje njene uporabe.

Vaja 10: Simulacija dokazovanja učinkovitosti dokumentacije v procesu
Udeleženci analizirajo en organizacijski proces in pripravijo dokumentacijo za simuliran nadzor. Cilj vaje je dokazati funkcionalnost dokumentacije in sposobnost njene uporabe kot dokaza skladnosti in učinkovitosti. Vaja vključuje tudi predstavitev pripravljenega paketa "presojevalcu" in zagovor skladnosti dokumentov.
 

12. Pisno preverjanje znanja
Na koncu usposabljanja se izvede pisno preverjanje znanja (zaključni izpit), ki zajema vse tematske sklope. Izpit vključuje kombinacijo teoretičnih vprašanj, praktičnih nalog in scenarijev. Cilj izpita je potrditi razumevanje sistema dokumentacije ISMS in sposobnost njegove uporabe v organizacijskem kontekstu.

Ciljna skupina

Usposabljanje je namenjeno osebam, ki sodelujejo pri razvoju, vzdrževanju in nadzoru dokumentacije ISMS, vključno z vodji informacijske varnosti, vodji kakovosti, člani ekip ISMS, notranjimi presojevalci, vodji procesov, ter vsem, ki pripravljajo organizacijo na zunanjo presojo v skladu z zahtevami standarda ISO/IEC 27001.

Učni izidi

Po zaključku usposabljanja bodo udeleženci:

• poznali ključne vrste dokumentacije ISMS in razumeli njihovo povezavo s procesi,
• znali strukturirati in razvijati dokumente v skladu z regulativnimi zahtevami,
• prepoznali razliko med politikami, metodologijami, postopki in evidencami,
• znali izdelati predloge in pravilno upravljati z različicami in statusi dokumentov,
• obvladali spretnosti priprave dokumentacije za zunanjo presojo,
• dokazali operativno učinkovitost dokumentacije s pomočjo praktične simulacije,
• razvili sposobnost ocenjevanja, vzdrževanja in stalnega izboljševanja sistema dokumentacije.

Potrdilo

Po uspešno zaključenem usposabljanju boste pridobili naziv Svetovalec za skladnost dokumentacije ISMS | ISMS Document Compliance Consultant

Literatura

• ISO/IEC 27001:2022 – Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems – Requirements
• ISO/IEC 27002:2022 – Code of Practice for Information Security Controls
• ISO 10013:2021 – Quality Management Systems – Guidance for Documented Information
• ISO/IEC 27005:2022 – Information Security, Cybersecurity and Privacy Protection – Guidance on Managing Information Security Risks
• ISO/IEC 27035-1:2023 – Information Security Incident Management 
• ISO 31000:2018 – Risk Management – Guidelines 

Nastanitev: Ker izobraževanje traja več dni zapored, vam ponujamo možnost prenočitve v Ljubljani. SIQ Ljubljana ima sklenjen poseben dogovor s hotelom Austria Trend Ljubljana, ki se nahaja približno 20 minut hoje od naših predavalnic. Kot alternativna možnost je na voljo tudi hotel Ibis Styles Ljubljana Centre v središču mesta. Za več informacij glede nastanitve nas prosimo kontaktirajte. 

Dodatne informacije: Bojan Varga, telefon: (01) 477 81 08,, e-pošta: bojan.varga@siq.si