Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Тренинг: "Аудит IT систем"

Краткое описание

Данный тренинг представляет теоретические знания и практические навыки в области IТ аудита,  практические рекомендации по успешной реализации и повышению эффективности IТ аудита; практические навыки описания IТ - контролей и мер реагирования на информационные риски.

Целевая аудитория

  • Высшее руководство, руководители и старшие менеджеры, ответственные за ИТ-управление и управление рисками предприятия
  • Руководители и специалисты в области IТ
  • Специалисты в области информационных и операционных рисков
  • Специалисты в области безопасности информационных систем
  • Специалисты в области внутреннего контроля и IТ аудита
  • Специалисты по обеспечению соответствия регулятивным требованиям (Compliance)

Цели обучения

  • Понимание концепции, подходов и методов, целей и задач IТ-аудита, его место в системе внутреннего контроля;
  • Получение необходимых знаний для планирования и проведения аудита, сбор информации и сохранение свидетельств аудита;
  • Понимание концепции, подходов и методов, позволяющих обеспечить эффективное проведения аудита и оценки эффективности системы контролей в области управления, операционной деятельности и поддержки IT;
  • Понимание концепции, подходов и методов, позволяющих обеспечить эффективное управление информационными рисками и проведение аудита ИБ.

Программа курса

ДЕНЬ 1

Блок 1: Место IT аудита в системе внутреннего контроля

  • Введение в ІТ аудит, основные определения, виды аудитов, цели и задачи ІТ аудита и системы внутреннего контроля.
  • Нормативные требования и требования регулятора к системе внутреннего контроля, IT аудита и информационной безопасности.
  • Основные международные стандарты, методики, подходы и лучшие практики проведения IT аудита

Блок 2: Управление IT рисками

  • Основные задачи, необходимость, возможности, результаты, успешность процесса управления рисками, основные понятия и определения.
  • Документация по управлению рисками, обзор основных подходов к управлению рисками (NIST, FAIR, MESARI, OCTAVE, IRAM)
  • Стратегия и процесс обработки рисков (снижение, избежание, передача, принятие), остаточный риск.
  • Установка базы данных контролей, определение ключевых информационных рисков, определение и выбор контролей, создание плана действий для уменьшения рисков.

Блок 3: Обзор основных ІТ рисков

  • Процесс разработки, внедрения и внесение изменений в программное обеспечение и риски, возникающие при этом
  • Обслуживание программного, аппаратного обеспечения, баз данных и сетевой инфраструктуры и риски, возникающие при этом.
  • Риски, связанные с контролем доступа, окружающей средой, использованием человеческих ресурсов, взаимодействием с третьими сторонами и т.д.

ДЕНЬ 2

Блок 4: Процесс проведения IT-аудита

  • Определение целей, задач рамок аудита, подготовка к аудиту и создание плана аудита.
  • Обзор методик проведения аудита, подходы к аудиторским выборкам, виды и типы выборок,  методов  тестирования контролей.
  • Сбор доказательств, их систематизация, анализ результатов тестирование, документирование.
  • Составление рекомендаций на выявленные уязвимости и недостатки системы контролей, создание и презентация отчета аудита.
  • Программное обеспечение, используемое для автоматизации процесса тестирования системы контролей, анализа и корреляции результатов, сбора и защиты доказательств.

Блок 5: Система контролей в области ІТ

  • Типы и характеристики контролей (управленческие, общие, контроли в бизнес приложениях) и их классификация (превентивные, детективные, восстанавливающие).
  • Подходы и методы тестирования контролей, оценка эффективности системы контролей, сбора документальных доказательств.

Необходимые условия

Отсутствуют

Подход к обучению

  • Данный тренинг включает в себя теорию и практику:
    • Лекции, иллюстрированные примерами из практики;
    • Повторительные упражнения для подготовки к экзамену;
    • Тренировочный тест, подобный сертификационному экзамену.
  • Для извлечения максимальной пользы из практических занятий количество участников тренинга ограничено.

Даты тренинга: 23-24 июня 2014