QF-koulutukset

Tehokas tietoturva-auditointi ja sen toteuttaminen (ISO 27001:2017)

Kysy lisää

Sisäinen auditointi on järjestelmällinen, riippumaton ja dokumentoitu prosessi, jossa hankitaan objektiivisesti arvioitavaa todistusaineistoa sen määrittämiseksi, missä määrin auditointikriteerit on täytetty. Uudistetut johtamisjärjestelmästandardit korostavat aiempaa kattavammin johtajuuden roolia ja vastuita, henkilöstön osallistamista jatkuvaan parantamiseen, strategisten painotusten seurantaa, sidosryhmien tarpeiden ja odotusten huomioon ottamista, riskien ja mahdollisuuksien hallintaa, erilaisten tunnuslukujen analysointia ja hyödyntämistä jne. Tehokas auditointi vaatii auditoijilta sitoutumista ja omistautumista paitsi itse auditointitehtävien suunnitteluun kuin myös itsensä jatkuvaan kehittämiseen.

Nykyistä auditointia voisi kutsua entistä painokkaammin liiketoimintaedellytysten tutkinnaksi, asiakaslupausten toteutumisen seurannaksi, toimintakulttuurin toimivuuden havainnoimiseksi, prosessien ja arvovirtojen sujuvoittamiseksi kuin auditoitavien aktivoinniksi tunnistamaan kehittämismahdollisuuksia asiakaskokemusten parantamiseksi. 2020-luvun auditointi vaatii auditoijilta ja organisaatioiden johdolta vahvaa panostusta yhteiseen suunnitteluun mitä auditoidaan, mitä tulevilta auditoinneilta odotetaan, miten auditoijien kompetensseja pitää jatkuvasti kehittää.

Tässä koulutuksessa paneudutaan tietoturvallisuuden hallintajärjestelmän ISO 27001:2017 vaatimusten ja kehittämistarpeiden auditointiin niin johtamisjärjestelmänäkökulmasta kuin ko standardin erityispiirteisiin painottuen.  Painopisteinä ovat johtajuuden auditointi, riskienhallinnan ja hallintakeinojen auditointi, henkilöstön tietoisuuden ja järjestelmän ylläpitoon ja käyttöön liittyvien roolien ja vastuiden auditointi, tietoturvamittareiden soveltamisen auditointiin ja järjestelmän jatkuvan parantamisen auditointi.

Oppimismenetelmät

Koulutus on yksipäiväinen ja koostuu alustavista luennoista, käytännön esimerkeistä ja käytäntöön soveltavista harjoitteista.

Osallistujat saavat erilaisia malleja, auditointiaihiotyöpohjia ja välineitä organisaatiokohtaisen sisäisten ISO 27001 auditointien tueksi. Osallistujat saavat koulutuksesta todistuksen.

Näin Arterin etäkoulutukset toimivat käytännössä:

  • Koulutus tapahtuu videoyhteyden kautta. Näin kouluttaja ja opiskelijat pääsevät olemaan aidossa vuorovaikutuksessa keskenään pidemmänkin matkan päästä.
  • Kaikille osallistujille lähetetään linkki, jonka kautta he pääsevät mukaan koulutukseen. Tämä ei vaadi erillisten ohjelmien asentamista tietokoneelle.
  • Opetus tapahtuu klo 9-16 välillä. Koulutuksesta pidetään joitakin noin 10 min taukoja ja lisäksi tunnin mittainen lounastauko.
  • Osallistujat saavat käyttöönsä kattavan sähköisen kurssimateriaalin opiskelun tueksi.

Miksi osallistua?

  • Saat vankan perehdytyksen ISO 27001 tietoturvajärjestelmän auditointiin ja välineet suunnitella, toteuttaa, raportoida auditointeja linjassa niin ko standardin kuin organisaation omien tietoturvavelvoitteiden kanssa
  • Opit kokemuspohjaisia painotuksia mihin kannattaa ko auditoinneissa kiinnittää huomiota
  • Jos olet vasta rakentamassa ISO 27001 tietoturvallisuuden johtamisjärjestelmää, saat hyviä valmiuksia mihin panostaa itse järjestelmän rakentamis- ja käyttöönottovaiheessa

Aikataulu

8:30
Aamupala ja ilmoittautuminen
9:00
Avaus ja koulutuksen tavoitteet
  • Esittäytyminen
  • Ohjelma
  • Tavoitteet
Auditoinnin määritelmä ja perusteet
  • Auditoinnin määritelmä
    • Vaatimusten ja odotusten arviointi
    • Kehittämismahdollisuuksien tunnistaminen
  • Auditointiperusteet kuten ISO 27001 ja kohteen oma dokumentaatio: tietoturvadokumentaatio
  • Uudistetun ISO 19011:2018 auditointistandardin ja ISO 27005 auditointioppaan painotuksia

Soveltavia pohdintoja, kysymyksiä ja keskustelua

Sisäisten auditointien suunnittelu
  • Tietoturva-auditointien vuosisuunnitelma
  • Auditointipäivän ohjelma, haastateltavat, ajankäyttö ja vinkit sisällöstä
    • Aikataulutus
    • Haastateltavat eri vastuutasoilta (johto, lähiesimiehet, asiantuntijat, muu henkilöstö)
    • Haastattelujärjestys ja ajankäyttö
    • Kenttäkierroshavainnointi tietoturvamielessä
    • Auditoinnin agendan suunnittelu
  • Auditointiryhmän tehokas toiminta
  • Painopistealueiden valinta
  • Auditoijien taito- ja osaamisvaatimukset, vaatimusten tietäminen, suojattavan tieto-omaisuuden sisäistäminen, tekninen puoli
  • Haastattelu- ja vuorovaikutustaidot

 

Soveltuvia pohdintoja, kysymyksiä ja keskustelua

11:30
Lounas
12:35
Auditointiin valmistautuminen ja toteuttaminen
  • ISO 27001 vaatimukset auditoijan silmin – mihin pureutua?
  • Valmistelevat toimenpiteet – tietoturvadokumentaation hyödyntäminen, tunnuslukujen, palautteiden, ongelmien, häiriöiden ym. informaation hyödyntäminen auditoinnissa
  • Kysymysten laatiminen ja todennettavat, halutaan nähdä asiat
  • Auditoinnin aloituspalaveri

 

14:00
Kahvi
Auditointiin valmistautuminen ja toteuttaminen jatkuu
  • Toiminta auditoinnissa kohdattavien henkilöiden kanssa, haastattelut, varmistukset
  • Esimerkkien katsominen tai pyytäminen toimitettavaksi etänä
  • Kehittämismahdollisuuksista keskustelu
  • Henkilöstön toiminnan havainnointi, paikan päällä, sivusta
  • Fyysinen kenttäkierros ja havaintojen teko

Soveltuvia pohdintoja, kysymyksiä ja keskustelua

Auditointikeskusteluharjoitus

Auditoinnin raportointi ja tulosten esittäminen
  • Auditoinnin yhteenvedon laatiminen
  • Poikkeamat, kehittämiskohteet ja positiiviset havainnot
  • Hyvän havainnon vaatimuksia ja kirjoittamisen periaatteita
  • Työkalut, lomakkeet ja raporttimallit

Soveltavia harjoitteita

Auditointiraporin havaintojen seuranta, vaikutusten arviointi ja menettelyn kriittinen arviointi
  • Korjaavat toimenpiteet
  • Poikkeamien ja kehittämiskohteiden käsittely
  • Positiivisten havaintojen hyödyntäminen muualla organisaatiossa
  • Auditointimenettelyn itsensä riskejä, kriittinen tarkastelu ja jatkuva parantaminen

Soveltavia harjoitteita

Päivän yhteenveto ja keskustelua
  • Miten jatkaa tästä?
  • Tietolähteitä auditoijien käyttöön
16:00
Koulutuksen päätös

Opettajat

Jussi Moisio

Vanhempi Konsultti

jussi.moisio@arter.fi +358 50 041 2619
Tietoa Tietoa

Jussi Moisio on toinen Arterin perustajajäsenistä ja vanhempi konsultti. Hänellä on vuosikymmenten kokemus laadunhallinnan, ympäristö- ja turvallisuusasioiden, riskien hallinnan, jatkuvan parantamisen, prosessiajattelun ja prosessien mittaamisen sekä erilaisten arviointien ja auditointien parista.

Jussi on menestyksellisesti ohjannut kymmeniä toimintajärjestelmän rakennus- ja jatkokehitysprojekteja ja toimii myös Inspecta Oy:n pääarvioijana. Jussi on tehnyt laajoja yksityisen alan kuin julkisen alan prosessien arviointeja, taustaselvityksiä ja haastatteluja sekä priorisoinut niiden perustalta kehittämiskohteet niin Suomessa kuin kansainvälisesti.

Varaa oma koulutuspäivä organisaatioosi

Ota yhteyttä ja räätälöidään organisaationne tarpeisiin soveltuva koulutuskokonaisuus!

Kysy lisää


Kaisa Halsas

Koulutuspäällikkö (QF)

kaisa.halsas@arter.fi +358 45 173 8212
Tietoa Tietoa

Kaisa Halsas toimii Qualitas Fennican koulutuspäällikkönä. Hänen vastuulla on QF-koulutusten järjestäminen ja koulutustarjonnan kehittäminen.

Kaisan sydäntä lähellä on elinikäinen oppiminen ja jatkuva kehittyminen. Kaisaan voi olla yhteydessä kaikissa Arterin koulutuksiin liittyvissä asioissa, oli toiveena sitten osallistuminen avoimeen koulutukseen tai räätälöidyn organisaatiokohtaisen koulutuksen järjestäminen.