Uddannelsens opbygning
Uddannelsen består af fire moduler fordelt på ni undervisningsdage. Indholdet på de enkelte moduler er struktureret, så vi i de efterfølgende moduler tager udgangspunkt i det lærte på tidligere moduler og bygger videre på de indsigter og kompetencer, du som deltager løbende får. Uddannelsen afsluttes med en eksamen, som tester din viden om indholdet i alle fire moduler. Det er derfor en forudsætning, at du deltager i alle fire moduler af uddannelsen for at afslutte forløbet med eksamen.
Se beskrivelse af de fire moduler nedenfor.
Modul 1 – Kickoff og introduktion til ledelsessystemer
På Modul 1 sætter vi rammen for Informationssikkerhedslederuddannelsen. Vi gennemgår programmet for de ni kursusdage, så du har et godt overblik over, hvad du kan forvente i løbet af kursets fire moduler og hvordan du selv kan bidrage til, at du får størst muligt udbytte af det lærte under og efter kurset.
Du bliver ligeledes præsenteret for principperne for et ledelsessystem, som effektivt værktøj til at drive processer for informationssikkerhed og endelig tager vi et første kig på kravene ISO/IEC 27001 i en lærerig øvelse.
Indhold – Modul 1
- Formål og program for uddannelsens fire moduler
- Hvad kan du forvente og hvad forventer vi af dig
- Introduktion til ledelsessystemer: Hvad er ledelse og hvorfor ledelsessystemer
- Effekten af ledelsessystemer
- Rundt om ISO/IEC 27001 standarden
Modul 2 – Rammen for informationssikkerhedsledelse – standarder, regulatoriske krav og forsyningskædesikkerhed
På Modul 2 sætter vi scenen for god informationssikkerhedsledelse. På modulets første dag dykker vi dybere ned i ISO/IEC 27001 og principperne for et effektivt ledelsessystem. Vi gennemgår vigtige elementer i standarden, så du forstår sammenhængen mellem interessenters krav, organisationens kontekst, politik og målsætninger og det effektive ledelsessystem. Herudover får du det nødvendige overblik over andre vigtige standarder og rammeværk, som sikrer dig en grundlæggende forståelse for forretningskritisk informationssikkerhed.
På modulets anden dag stiller vi skarpt på de regulatoriske krav til informationssikkerhed, der både er komplekse og under stor udvikling. Mange organisationer er omfattet af et eller flere regelsæt med krav til informationssikkerheden, der bl.a. kan omfatte konkrete sikkerhedskrav, ledelsesansvar og bøder. Derudover er der et stort forretningsmæssigt og regulatorisk fokus på informationssikkerhed i forsyningskæden via leverandørkontrakter. Informationssikkerhed er dermed ikke kun en forretningsmæssig disciplin, men også en juridisk disciplin. Vi giver overblik over den relevante lovgivning og gennemgår, hvordan det juridiske arbejde med informationssikkerhed kan tilgås med respekt for forretningen.
Indhold – Modul 2
- Principper for informationssikkerhed
- ISO/IEC 27000-serien: hvilke standarder findes og hvad kan de bruges til
- Interessenter og kontekst
- Lederskab, politik og målsætninger
- Scope og ramme for arbejdet med ledelsessystemet for informationssikkerhed og certificering
- Andre rammeværk for informationssikkerhed: NIST, CIS, IEC 62443, Statens tekniske minimumskrav
- Introduktion til gældende lovgivning for informationssikkerhed
- Gennemgang af konkrete tilgange til at opnå og dokumentere efterlevelse af regulatoriske krav til informationssikkerhed
- Understøttelse af forsyningskædesikkerhed via leverandørkontrakter
Deltagerne opfordres til at medbringe deres politik og scope for deres eksisterende eller kommende ledelsessystemer , hvis disse er formuleret. Det er desuden en fordel, hvis virksomheden har en overordnet forretningsstrategi, at deltagerne kender denne og i det omfang, at virksomheden har formuleret en strategi for informationssikkerhed, at deltagerne kender den.
Modul 3 – Risk Management, Foranstaltninger og Adfærd
På Modul 3 sætter vi fokus på risici og muligheder som udgangspunktet for beskrivelse af effektive processer for informationssikkerhed. Vi dykker ned i principperne for Risk Thinking, og du får viden og metoder til, hvordan du effektivt identificerer og håndterer informationssikkerhedsrisici med udgangspunkt i ISO/IEC 27002 om foranstaltninger og ISO/IEC 27005 om håndtering af risici. Efter modulet er du i stand til at facilitere en risikovurdering af din virksomheds informationssikkerhedsprocesser og omsætte resultatet af risikovurderingerne til en informationssikkerhedspolitik, der understøtter mål og handlingsplaner.
På modulet får du herudover viden og konkrete værktøjer til, hvordan man skaber en god sikkerhedskultur, sikrer ”Awareness” bredt i organisationen og hvordan du via forandringsledelse, adfærdsdesign og nudging får mere ud af organisationens indsats.
Indhold – Modul 3
- Introduktion til Risk Thinking
- Adressering af informationssikkerhedstrusler
- ISO/IEC 27002 – Foranstaltninger til informationssikkerhed
- ISO/IEC 27005 – Vedledning i håndtering af informationssikkerhedsrisici
- Proces for identificering og håndtering af informationssikkerhedsrisici
- Implementering, sikkerhedskultur og awareness
- Forandringsledelse, nudging og adfærdsdesign
Deltagerne opfordres til at medbringe eksempler på Awareness aktiviteter, hvis de er tilgængelige.
Modul 4 – Processer, beredskab og løbende forbedringer
På Modul 4 stiller vi skarpt på de processer i ledelsessystemet for informationssikkerhed, der sikrer et passende beredskab, udvikling og løbende forbedringer; med andre ord at dine processer løbende og til enhver tid understøtter de udfordringer, risici og muligheder, der er i din forretning. Efter modulet er du i stand til at udarbejde en beredskabsplan, du har du styr på principperne for løbende forbedringer (PDCA), og du ved hvordan du planlægger og gennemfører målopfølgning og intern audit af virksomhedens processer for informationssikkerhed.
Indhold – Modul 4
- Betydningen af effektive processer
- Styring af sikkerhedskompetencer
- Beredskab
- Leverandørstyring
- Hvad er audit?
- Audit management
- Audit af processer for informationssikkerhed
- Overvågning af mål og processer
- Styring af hændelser og afvigelser
- Ledelsens evaluering
- Løbende forbedring – Plan, Do, Check, Act
- Uddannelsesresumé og eksamen
Deltagerne opfordres til at medbringe rapporter fra intern audit som udgangspunkt for arbejdet med den interne audit.