KURZ: Audit IT – třídenní seminář pro interní auditory, kteří nejsou specialisty IT

Program kurzu

Objasnit, jakými základními postupy lze auditovat útvar IS/IT.
OBSAH SEMINÁŘE Úvodní otázky:

• Proč auditovat útvar IT?
• Outsourcing auditu, penetrační test, bezpečnostní management nebo interní audit?
• Jaké typy prověrek přicházejí v úvahu?
• Využití výsledků jiných prověrek.

Legislativní základna auditu IT:

• Doporučení dle ISO 27001 / 27002.
• ISVS.
• Zákon o kybernetické bezpečnosti NIS2 a DORA (stručný úvod).
• Nařízení GDPR a ochrana osobních údajů.
• Cíle a postupy pro tvorbu bezpečnostních politik v organizaci.
• Plán kontinuity a havarijní plán.

Fyzická bezpečnost:

• Zabezpečení výpočetních sálů a routerů.
• Zabezpečení proti připojení cizích síťových karet.
• Personální bezpečnost a sociální hacking.
• Sociální sítě (Facebook atd.).

Prověrka zabezpečení počítače:

• Zabezpečení počítače na fyzické úrovni – BIOS, bootování, šifrování.
• Viry, spyware a další havěť.
• Politiky (GROUP POLICY) a co zejména by neměly povolit.

Prověrka přístupových oprávnění:

• Potřebné úvodní informace (domény, servery, seznam zaměstnanců, používané aplikace).
• Lokální a globální uživatelé a skupiny.
• Jak získat seznam přístupů a skupin.
• Použití příkazů z příkazové řádky.
• Vyhodnocení práv pomocí MS Excel.
• Výběr uživatelů / skupin z MS WINDOWS.
• Přístupová oprávnění k aplikacím.
• Kdo práva povoluje a proč.
• Politika přístupových oprávnění v organizaci (omezení časů, komplexita apod.).
• Audit rolí na databázovém serveru.
• Přístupová práva v MS Share Point.
• Ochrana šifrováním.

Jednoduchá prověrka zabezpečení sítě:

• Pasivní a aktivní prvky sítí.
• Protokoly.
• MAC adresa a IP adresa.
• Topologie sítě.
• Použití základních příkazů z příkazové řádky (PING, IPCONFIG, TRACERT, NSLOOKUP, NET…).
  
  
• K čemu slouží demilitarizovaná zóna.
• Co jsou to otevřené porty a jak je nalézt.
• Údaje o Vaší síti ve veřejně dostupných zdrojích.
• K čemu slouží service packy a patche.
• Možnost nasazení security scanneru při auditu.
• Některé techniky často zneužívané hackery a obrana proti nim.

Prověrka řízení a organizace útvaru IT:

• Zálohování a zálohovací plány a jejich audit.
• Antiviry a jejich aktualizace.
• Helpdesk a vyřizování požadavků uživatelů.
• Projekty v IT.
• Fáze projektu, postup projektu, Ganttův diagram.
• Změnová řízení.
• Skladové hospodářství v IT.
• Veřejná výběrová řízení v IT.
• Práce bezpečnostních specialistů a nástroje a postupy, které mají k dispozici.
• Logování, jeho význam a jeho audit.
• Vzdálený přístup do organizace a jeho audit.
• Použití a zabezpečení elektronických podpisů a časových razítek.
• Cloud a Microsoft 365.

Prověrka správy licencí:

• Druhy dokladů týkajících se počtu licencí.
• Softwarový audit pro ověření licenční politiky v organizaci.
• Jak zjistit počet skutečně nainstalovaných licencí.

Ochrana osobních údajů a utajovaných skutečností v IT:

• Legislativní požadavky – GDPR, zákon o ochraně utajovaných skutečností atd.
• Prověrka přístupů nového uživatele.
• Prověrka přístupů k jednotlivým nebezpečným kategoriím webových stránek.
• Opatření proti úniku utajovaných skutečností.

Další možnosti interního auditu v oblasti IT, IS a ICT. Součástí všech částí semináře jsou:

• Případové studie: plán prověrky, typická zjištění, formulace závěrů a možnosti jejich odstranění.
• Pravděpodobné chyby, které budeme zejména nacházet a vyhledávat.
• Procvičení na příkladech.
• Možnost procvičení příkladů na PC lektora nebo na doneseném notebooku.

Obsah kurzu - školení     Objasnit, jakými základními postupy lze auditovat útvar IS - IT. OBSAH SEMINÁŘE Úvodní otázky: Proč auditovat útvar IT? Outsourcing auditu, penetrační test, bezpečnostní management nebo interní audit? Jaké typy prověrek přicházejí v úvahu? Využití výsledků jiných prověrek. Legislativní základna auditu IT: Doporučení dle ISO 27001 - 27002. ISVS. Zákon o kybernetické bezpečnosti NIS2 a DORA (stručný úvod). Nařízení GDPR a ochrana osobních údajů. Cíle a postupy pro tvorbu bezpečnostních politik v organizaci. Plán kontinuity a havarijní plán. Fyzická bezpečnost: Zabezpečení výpočetních sálů a routerů. Zabezpečení proti připojení cizích síťových karet. Personální bezpečnost a sociální hacking. Sociální sítě (Facebook atd.). Prověrka zabezpečení počítače: Zabezpečení počítače na fyzické úrovni – BIOS, bootování, šifrování. Viry, spyware a další havěť. Politiky (GROUP POLICY) a co zejména by neměly povolit. Prověrka přístupových oprávnění: Potřebné úvodní informace (domény, servery, seznam zaměstnanců, používané aplikace). Lokální a globální uživatelé a skupiny. Jak získat seznam přístupů a skupin. Použití příkazů z příkazové řádky. Vyhodnocení práv pomocí MS Excel. Výběr uživatelů - skupin z MS WINDOWS. Přístupová oprávnění k aplikacím. Kdo práva povoluje a proč. Politika přístupových oprávnění v organizaci (omezení časů, komplexita apod.). Audit rolí na databázovém serveru. Přístupová práva v MS Share Point. Ochrana šifrováním. Jednoduchá prověrka zabezpečení sítě: Pasivní a aktivní prvky sítí. Protokoly. MAC adresa a IP adresa. Topologie sítě. Použití základních příkazů z příkazové řádky (PING, IPCONFIG, TRACERT, NSLOOKUP, NET...). K čemu slouží demilitarizovaná zóna. Co jsou to otevřené porty a jak je nalézt. Údaje o Vaší síti ve veřejně dostupných zdrojích. K čemu slouží service packy a patche. Možnost nasazení security scanneru při auditu. Některé techniky často zneužívané hackery a obrana proti nim. Prověrka řízení a organizace útvaru IT: Zálohování a zálohovací plány a jejich audit. Antiviry a jejich aktualizace. Helpdesk a vyřizování požadavků uživatelů. Projekty v IT. Fáze projektu, postup projektu, Ganttův diagram. Změnová řízení. Skladové hospodářství v IT. Veřejná výběrová řízení v IT. Práce bezpečnostních specialistů a nástroje a postupy, které mají k dispozici. Logování, jeho význam a jeho audit. Vzdálený přístup do organizace a jeho audit. Použití a zabezpečení elektronických podpisů a časových razítek. Cloud a Microsoft 365. Prověrka správy licencí: Druhy dokladů týkajících se počtu licencí. Softwarový audit pro ověření licenční politiky v organizaci. Jak zjistit počet skutečně nainstalovaných licencí. Ochrana osobních údajů a utajovaných skutečností v IT: Legislativní požadavky – GDPR, zákon o ochraně utajovaných skutečností atd. Prověrka přístupů nového uživatele. Prověrka přístupů k jednotlivým nebezpečným kategoriím webových stránek. Opatření proti úniku utajovaných skutečností. Další možnosti interního auditu v oblasti IT, IS a ICT. Součástí všech částí semináře jsou: Případové studie: plán prověrky, typická zjištění, formulace závěrů a možnosti jejich odstranění. Pravděpodobné chyby, které budeme zejména nacházet a vyhledávat. Procvičení na příkladech. Možnost procvičení příkladů na PC lektora nebo na doneseném notebooku.

Podrobnosti o kurzu

• Lektor kurzu
  Ing. Jan Bukovský Ing. Jan Bukovský Česká exportní banka, a.s. Po absolvování Fakulty elektrotechnické ČVUT spolupracoval při zavádění automatizovaných technologií v elektrotechnickém průmyslu. Od roku 1992 do roku 2001 působil v Komerční bance jako informatik i v různých funkcích v ekonomické oblasti. Od roku 2001 do roku 2007 pracoval jako interní auditor a vedoucí oddělení v odboru interního auditu České konsolidační agentury. V současné době působí v kumulované funkci jako inspektor IT bezpečnosti a manažer operačních rizik v České exportní bance. V ČIIA přednáší od počátku roku 2007 (audity IT, audit pohledávek, auditní postupy, operační rizika).
• Pořadatel kurzu
  Český institut interních auditorů, z.s.
• Další organizační náležitosti k danému školení
  * ÚROVEŇ Pro středně pokročilé. URČENO PRO Interní auditory.
• Obchodní podmínky
  Informace k platbě: V den konání semináře vystavujeme účastníkům fakturu. V ceně semináře jsou zahrnuty studijní materiály a účastníkům bude poskytnuto drobné občerstvení. Obědy ani ubytování nezajišťujeme. Výukové aktivity a semináře uvedené v katalogu odpovídají požadavkům CPE. Pro případ prodlení s úhradou objednaných služeb je ČIIA oprávněn účtovat sankční úrok z prodlení ve výši 0,05% z dlužné částky denně. Za den splnění závazku je považován den, ve kterém je dlužná částka připsána na účet ČIIA. Pozdní úhrada může mít za následek mimo jiné neposkytování dalších služeb ČIIA pro dlužníka. Přihlášku je nutno doručit nejpozději 5 dní před zahájením akce. Veškeré změny a případná storno objednávek jsou přijímána pouze písemně nebo e-mailem s žádostí o potvrzení . ČIIA si vyhrazuje právo vzdělávací akci zrušit. ČIIA si vyhrazuje právo změnit smluvní podmínky v případě specifických podmínek kurzů. Tyto změny budou vždy uvedeny u nabídky konkrétní vzdělávací akce. Storno poplatky: Lhůta pro výpočet storno poplatků se začíná počítat dnem předcházejícím dni konání akce, den doručení se započítává do lhůty. Pro výpočet lhůt se použijí pracovní dny. Za den doručení storno oznámení se považuje den převzetí elektronické zprávy potvrzení o přečtení nebo den převzetí listinné podoby storno oznámení. * 0 % - nejpozději 5 pracovních dnů před zahájením akce; * 50 % - 4 - 3 pracovní dny před zahájením akce; * 70 % - 2 -1 pracovní dny před zahájením akce; * 100 % - méně než 1 den před zahájením akce;

Dotazy a komentáře ke kurzu

Přihláška na kurz

Odesláním formuláře 'Přihláška na kurz' se zaregistruje Vaše přihláška a na zadaný email přijde potvrzení o odeslání této přihlášky. V případě poskytnutí osobních údajů, souhlasíte s archivací těchto údajů v souladu s podmínkami zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Souhlas se zpracováním osobních údajů pro marketingové účely nevyžadujeme, tyto data nezpracováváme. Server pouze zprostředkovává objednávky kurzů & kontakt na jejich pořadatele. Před odesláním přihlášky je nutno souhlasit s obchodními podmínkami účasti na kurzu daného pořadatele kurzu. Neodpovídáme za správnost uvedených údajů. © OBEC.net, sro.

---

URL >> https://skoleni.net/skoleni_82635_audit-it-–-tridenni-seminar-pro-interni-auditory--kteri-nejsou-specialisty-it.html

---

Audittřídenníseminářinterníauditorykteřínejsouspecialisty