Kontakt Vstop za stranke
SLO
Search
SLO
Nazaj
Nazaj na seznam storitev

Upravljanje dokumentacije ISMS v civilnem letalstvu

08. - 10. 09. 2025
💡 Ta vsebina je del usposabljanja Akademija informacijske varnosti v civilnem letalstvu – PART-IS Manager.
To izobraževanje ponuja celovit vpogled v upravljanje dokumentacije znotraj sistema upravljanja informacijske varnosti (ISMS), s posebnim poudarkom na zahtevah Part-IS.I.OR in standardu ISO/IEC 27001:2022. Enajst tematskih poglavij pokriva vse ključne kategorije dokumentacije – od priročnikov ISMS, politik in metodologij do načrtov, evidenc, registrov in poročil. Posebno poglavje je posvečeno preverjanju operativne uporabnosti dokumentacije in pripravi na zunanji nadzor, s čimer se dodatno poudarja pomen njene funkcionalnosti.
Program je zasnovan izrazito praktično, s poudarkom na aktivnem sodelovanju udeležencev. Vključuje devet konkretnih vaj, ki omogočajo izdelavo predlog, uporabo znanja v resničnih scenarijih in simulacijo nadzora. S tem se zagotovi, da udeleženci ne le razumejo zahteve glede dokumentacije, temveč jih znajo povezati z organizacijskimi procesi in dokazati njihovo učinkovitost. Cilj izobraževanja je usposobiti udeležence za samostojen razvoj, ocenjevanje in vzdrževanje dokumentacije ISMS v skladu z regulativnimi zahtevami in dobrimi praksami.

Vsebina

➤ Uvod v upravljanje z dokumentacijo ISMS
Uvodno poglavje predstavlja namen in pomen upravljanja z dokumentacijo znotraj sistema upravljanja informacijske varnosti (ISMS). Udeleženci bodo razumeli vlogo dokumentiranih informacij v kontekstu zahtev Part-IS.I.OR in standarda ISO/IEC 27001:2022 ter ustreznih smernic, kot je ISO 10013:2021. Poudarek je na temeljnih načelih dokumentacije, razlikah med vrstami dokumentov ter povezavi dokumentacije s sistemi upravljanja tveganj in incidentov. Obravnavan je tudi življenjski cikel dokumenta, vključno z ustvarjanjem, nadzorom različic, odobravanjem in arhiviranjem. Cilj poglavja je razviti temeljno razumevanje sistematičnega pristopa k upravljanju dokumentiranih informacij kot temelja ISMS v letalskem sektorju.

➤ Priročnik ISMS (Manual)

Priročnik ISMS je pregledni dokument, ki celovito opisuje sistem upravljanja informacijske varnosti. To poglavje obravnava njegov namen, vsebino in povezavo z drugimi dokumenti. Udeleženci bodo spoznali, kako strukturirati priročnik, da bo uporaben pripomoček pri nadzoru, komunikaciji in izvajanju ISMS – z zajemom obsega ISMS, ključnih procesov, politik, odgovornosti in medsebojnih povezav.
Vaja 1: Struktura priročnika ISMS
Udeleženci pripravijo osnutek strukture priročnika ISMS, ki vključuje ključne elemente, kot so obseg, politike, procesi in povezave z drugimi dokumenti. Cilj vaje je omogočiti razumevanje vloge priročnika ter kako ga prilagoditi posebnostim organizacije. Vaja dodatno razvija sposobnost oblikovanja preglednega dokumenta, ki olajša notranjo komunikacijo in zunanji nadzor.

➤ Politike

Obravnavane so vrste in namen ključnih politik ISMS, kot so politika informacijske varnosti, politika klasifikacije informacij, politika uporabe sredstev ipd. Poseben poudarek je na zahtevah Part-IS.I.OR in standarda ISO 27001, usklajenosti z varnostnimi cilji, odobravanju s strani vodstva ter rednemu pregledu politik.
Vaja 2: Oblikovanje politike informacijske varnosti
Udeleženci analizirajo primer politike informacijske varnosti in predlagajo spremembe, da bi bila skladna z zahtevami Part-IS in ISO 27001. Cilj vaje je razumeti, kako oblikovati skladno, izvedljivo in nadzorovano politiko. Vaja prav tako razvija razumevanje povezave med strateškimi cilji, organizacijsko kulturo in dokumentiranimi obveznostmi.

➤ Metodologije
To poglavje obravnava dokumentirane metodologije, kot so metodologije za ocenjevanje in obravnavo tveganj, ocenjevanje incidentov, upravljanje skladnosti in druga ključna področja. Obravnava se struktura metodologije ter povezava s standardoma ISO/IEC 27005 in ISO 31000.
Vaja 3: Oblikovanje metodologije za ocenjevanje tveganj
Udeleženci pripravijo enostaven, a funkcionalen osnutek metodologije za ocenjevanje tveganj, vključno s kriteriji, viri podatkov in logiko odločanja. Cilj vaje je razumeti, kako metodološki pristop postane temelj za sistemsko odločanje in evidentiranje. Vaja pomaga tudi pri razlikovanju med strukturo metodologije in postopki.

Postopki
Obravnava se oblikovanje postopkov, ki omogočajo izvajanje politik in metodologij, vključno s postopki za upravljanje incidentov, sprememb, dostopov, nadzora itd. Poudarjena je pomembnost jasne strukture in opredeljenih vlog.
Vaja 4: Oblikovanje postopka za upravljanje incidentov
Udeleženci oblikujejo postopek za upravljanje informacijskih incidentov v skladu z zahtevami Part-IS in standarda ISO/IEC 27035. Cilj vaje je razviti sposobnost oblikovanja operativno uporabnega in jasno opredeljenega postopka. Vaja tudi uči povezovanje posameznih korakov z ustreznimi evidencami in odgovornostmi.

Načrti
Načrti predstavljajo konkretne korake za dosego ciljev ISMS. Obravnavani so načrti usposabljanja, poslovne kontinuitete, okrevanja, odziva na incidente ipd., s poudarkom na povezavi z analizo tveganj in cilji organizacije.
Vaja 5: Načrt ozaveščanja in usposabljanja osebja ISMS
Udeleženci oblikujejo načrt za izvedbo internega usposabljanja in ozaveščanja o informacijski varnosti, z določenimi cilji, odgovornostmi in roki. Cilj vaje je povezati načrtovane aktivnosti s poslovnimi cilji ISMS in merili njihove učinkovitosti. Vaja vključuje tudi pripravo predlogov kazalnikov uspešnosti.

➤ Evidence
Evidence služijo kot dokaz o izvedbi aktivnosti v okviru ISMS. Obravnavane so vrste zapisov, način njihovega nadzora, hranjenja in povezovanja s presojami ter korektivnimi ukrepi. Poseben poudarek je na zahtevi Part-IS.I.OR.245.
Vaja 6: Oblikovanje predloge evidence za varnostne incidente
Udeleženci oblikujejo predlogo evidence, ki omogoča strukturirano beleženje, analizo in spremljanje varnostnih incidentov. Cilj vaje je strukturirati uporabne zapise, ki podpirajo analizo, spremljanje trendov in nadzor. Vaja spodbuja kritično razmišljanje o potrebnih informacijah za učinkovito obravnavo in korektivne ukrepe.

➤ Registri
Registri omogočajo spremljanje sredstev, tveganj, incidentov, dostopov in drugih elementov ISMS. Poglavje se osredotoča na strukturo, vzdrževanje in funkcionalno vlogo registrov pri podpori odločanja in presoje.
Vaja 7: Oblikovanje registra tveganj
Udeleženci oblikujejo funkcionalen register tveganj na podlagi prej pripravljene metodologije, vključno z identifikatorji, ravnmi tveganja, obravnavami in statusom. Cilj vaje je razumeti pomen ažurnih in sistemsko vodenih registrov pri upravljanju ISMS. Vaja razvija tudi spretnosti kategorizacije in dinamičnega posodabljanja vsebine na podlagi novih podatkov.

➤ Poročila
Poročila služijo za formalno komunikacijo znotraj organizacije in do pristojnih organov. Obravnavana so poročila o presojah, pregledih s strani vodstva, incidentih in skladnosti s predpisi. Poudarek je na strukturi, jasnosti in povezavi z dokumentacijo.
Vaja 8: Povzetek poročila o učinkovitosti ISMS za vodstvo
Udeleženci oblikujejo povzetek poročila, ki temelji na ključnih ugotovitvah, analizah in priporočilih za izboljšave. Cilj vaje je naučiti se strukturirati poročila, ki podpirajo odločanje in izpolnjevanje nadzornih zahtev. Vaja krepi sposobnost predstavitve podatkov ciljnim skupinam (npr. vodstvo, nadzorni organ).

➤ Drugi dokumenti
Poglavje obravnava dokumente, kot so izjave o uporabnosti (SoA), razdelitve odgovornosti, komunikacijske matrike, notranji obrazci in pomožni zapisi. Razložena je njihova funkcionalna vloga, vzdrževanje in povezava s formalnimi dokumenti.
Vaja 9: Dokumentiranje odgovornosti ekipe za incidente
Cilj vaje je razumeti, kako dokumentirana razdelitev odgovornosti znotraj IRT (Incident Response Team) zagotavlja funkcionalno povezavo vlog, komunikacije in pristojnosti ter kako tak dokument podpira učinkovit odziv na incidente in skladnost s formalnimi zahtevami SoA, komunikacijskih matric in drugih ključnih zapisov.

Operativna uporabnost dokumentacije ISMS
Učinkovitost dokumentacije ISMS ni v njenem obstoju, temveč v njeni operativni uporabnosti – sposobnosti, da podpira dejanske organizacijske procese, zagotavlja skladnost z regulativo in olajša odločanje. Dokumenti, kot so politike, postopki, evidence in poročila, morajo biti funkcionalno povezani s poslovnimi dejavnostmi ter jasno kazati, kako se informacije v praksi varujejo in upravljajo. Delavnica udeležencem omogoča testiranje učinkovitosti dokumentacije v simuliranem okolju in razvoj spretnosti, potrebnih za dokazovanje njene uporabe.
Vaja 10: Simulacija dokazovanja učinkovitosti dokumentacije v procesu
Udeleženci analizirajo en organizacijski proces in pripravijo dokumentacijo za simuliran nadzor. Cilj vaje je dokazati funkcionalnost dokumentacije in sposobnost njene uporabe kot dokaza skladnosti in učinkovitosti. Vaja vključuje tudi predstavitev pripravljenega paketa "presojevalcu" in zagovor skladnosti dokumentov.

➤ Zaključni izpit
Na koncu izobraževanja se izvede zaključni izpit, ki zajema vse tematske sklope. Izpit vključuje kombinacijo teoretičnih vprašanj, praktičnih nalog in scenarijev. Cilj izpita je potrditi razumevanje sistema dokumentacije ISMS in sposobnost njegove uporabe v organizacijskem kontekstu.

Komu je izobraževanje namenjeno?

Izobraževanje je namenjeno osebam, ki sodelujejo pri razvoju, vzdrževanju in nadzoru dokumentacije ISMS, vključno z vodji informacijske varnosti, vodji kakovosti, člani ekip ISMS, notranjimi presojevalci, vodji procesov, vodstvom letalskih organizacij, ter vsem, ki pripravljajo organizacijo na zunanji nadzor v skladu z zahtevami PART-IS.I.OR in standardom ISO/IEC 27001.

Učni izidi

Po zaključku izobraževanja bodo udeleženci:

  • razumeli ključne vrste dokumentov ISMS in njihovo povezavo s procesi,
  • znali strukturirati in razvijati dokumente v skladu z regulativnimi zahtevami,
  • prepoznali razliko med politikami, metodologijami, postopki in evidencami,
  • znali izdelati predloge in pravilno upravljati z različicami in statusi dokumentov,
  • obvladali spretnosti priprave dokumentacije za zunanjo presojo,
  • dokazali operativno učinkovitost dokumentacije na podlagi praktične simulacije,
  • razvili sposobnost ocenjevanja, vzdrževanja in stalnega izboljševanja sistema dokumentacije.

Literatura

  • PART-IS.I.OR – Information Security and Oversight Requirements (EASA)
  • ISO/IEC 27001:2022 – Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems – Requirements
  • ISO/IEC 27002:2022 – Code of Practice for Information Security Controls
  • ISO 10013:2021 – Quality Management Systems – Guidance for Documented Information
  • ISO/IEC 27005:2022 – Information Security, Cybersecurity and Privacy Protection – Guidance on Managing Information Security Risks
  • ISO/IEC 27035-1:2023 – Information Security Incident Management
  • ISO 31000:2018 – Risk Management – Guidelines

Popusti

  • 15 % popust ob prijavi dveh ali več udeležencev iz iste organizacije
  • Več o dodatnih ugodnostih si lahko preberete na povezavi.

Dodatne informacije: Bojan Varga, telefon: (01) 477 81 08, e-mail: bojan.varga@siq.si

Povpraševanje za zaključene skupine
Kotizacijo plačajte najkasneje tri dni pred izobraževanjem, če ni drugače navedeno, na račun SIQ Ljubljana, NLB: 02922-0012897988. Sklic: 18718. Več v Splošnih pogojih.

Obveščanje o izobraževanjih

Bodite pravočasno obveščeni o aktualnih izobraževanjih in brezplačnih dogodkih.

Prijavite se

Cenimo in nagrajujemo vašo zvestobo

Zato uvajamo Bonus zvestobe za nagrajevanje naših zvestih udeležencev.

Več o bonusu zvestobe