Агентство Активного Аудиту

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Тренінг: "Аудит IT систем"

Стислий опис

Даний тренінг представляє теоретичні знання та практичні навички в області IТ аудиту, практичні рекомендації щодо успішної реалізації та підвищення ефективності IТ аудиту; практичні навички опису IТ - контролів і заходів реагування на інформаційні ризики.

Цільова аудиторія

  • Вище керівництво, керівники та старші менеджери, відповідальні за ІТ-управління та управління ризиками підприємства
  • Керівники та фахівці в галузі IТ
  • Фахівці в галузі інформаційних та операційних ризиків
  • Фахівці в галузі безпеки інформаційних систем
  • Фахівці в області внутрішнього контролю та IТ аудиту
  • Фахівці щодо забезпечення відповідності регулятивним вимогам (Compliance)

Мета навчання

  • Розуміння концепції, підходів і методів, цілей і завдань IТ-аудиту, його місце в системі внутрішнього контролю;
  • Отримання необхідних знань для планування і проведення аудиту, збір інформації та збереження доказів аудиту;
  • Розуміння концепції, підходів і методів, що дозволяють забезпечити ефективне проведення аудиту та оцінки ефективності системи контролів в галузі управління, операційної діяльності та підтримки IT;
  • Розуміння концепції, підходів і методів, що дозволяють забезпечити ефективне управління інформаційними ризиками і проведення аудиту ІБ.

Програма курсу

ДЕНЬ 1

Блок 1: Місце IT аудиту в системі внутрішнього контролю

  • Вступ до ІТ аудиту, основні визначення, види аудитів, цілі і завдання ІТ аудиту та системи внутрішнього контролю.
  • Нормативні вимоги і вимоги регулятора до системи внутрішнього контролю, IT аудиту та інформаційної безпеки.
  • Основні міжнародні стандарти, методики, підходи та найкращі практики проведення IT аудиту

Блок 2: Управління IT ризиками

  • Основні завдання, необхідність, можливості, результати, успішність процесу управління ризиками, основні поняття і визначення.
  • Документація з управління ризиками, огляд основних підходів до управління ризиками (NIST, FAIR, MESARI, OCTAVE, IRAM)
  • Стратегія і процес обробки ризиків (зниження, уникнення, передача, прийняття), залишковий ризик.
  • Установка бази даних контролів, визначення ключових інформаційних ризиків, визначення та вибір контролів, створення плану дій для зменшення ризиків.

Блок 3: Огляд основних ІТ ризиків

  • Процес розробки, впровадження та внесення змін в програмне забезпечення і ризики, що виникають при цьому
  • Обслуговування програмного, апаратного забезпечення, баз даних і мережевої інфраструктури і ризики, що виникають при цьому.
  • Ризики, пов'язані з контролем доступу, навколишнім середовищем, використанням людських ресурсів, взаємодією з третіми сторонами і т.д.

ДЕНЬ 2

Блок 4: Процес проведення IT-аудиту

  • Визначення цілей, рамок аудиту, підготовка до аудиту і створення плану аудиту.
  • Огляд методик проведення аудиту, підходи до аудиторських виборок, види і типи виборок, методів тестування контролів.
  • Збір доказів, їх систематизація, аналіз результатів тестування, документування.
  • Складання рекомендацій на виявлені уразливості і недоліки системи контролів, створення та презентація звіту аудиту.
  • Програмне забезпечення, що використовується для автоматизації процесу тестування системи контролів, аналізу та кореляції результатів, збору та захисту доказів.

Блок 5: Система контролів в області ІТ

  • Типи і характеристики контролів (управлінські, загальні, контролі в бізнес додатках) та їх класифікація (превентивні, детективні, відновлювальні).
  • Підходи і методи тестування контролів, оцінка ефективності системи контролів, збору документальних доказів.

Необхідні умови

Відсутні

Підхід до навчання

  • Даний тренінг включає в себе теорію і практику:
    • Лекції, ілюстровані прикладами з практики;
    • Повторювальні вправи для підготовки до іспиту;
    • Тренувальний тест, подібний сертифікаційного іспиту.
  • Щоб отримати максимальну користь з практичних занять, кількість учасників тренінгу обмежена.

Дати тренінгу: 23-24 червня 2014