Przegląd regulacji DORA – przegląd ram zarządzania ryzykiem związanym z ICT i sprawozdanie SPR_PF_01
Adresaci
1. Członkowie Zarządu nadzorujący ryzyko ICT 2. Pracownicy pełniący obowiązki Administratora / Stanowiska ds. bezpieczeństwa / Komórki ds. ryzyka ICT 3. Pracownicy banku odpowiedzialni za ryzyko braku zgodności (compliance) 4. Pracownicy komórek ds. kontroli wewnętrznej
Wymagania
1. Ogólna znajomość przepisów w zakresie ochrony informacji, w tym DORA
2. Ogólna znajomość praktyki działania banku spółdzielczego
Cel
1. Zrozumienie obowiązków wynikających z DORA i Rozporządzenia 2024/1774
2. Poznanie najlepszych praktyk
3. Pozyskanie przykładów regulacji i sprawozdania SPR_PF_01
Korzyści
1. Uzyskanie wiedzy o wymaganiach związanych z zadaniami swojego stanowiska pracy / służbowego
2. Uzyskanie przykładowych regulacji wewnętrznych i wzorów sprawozdań do wykorzystania w Banku – po dostosowaniu do specyfiki działania danej instytucji.
Po szkoleniu otrzymujecie Państwo:
1. Strategia operacyjnej odporności cyfrowej, w tym Polityka funkcjonowania systemu zarządzania ryzykiem ICT, Polityka zarządzania incydentami ICT, Strategia na rzecz ciągłości działania w zakresie ICT, Strategia komunikacji w przypadku incydentów ICT, Strategia dotycząca ryzyka ze strony zewnętrznych dostawców usług ICT
2. Polityka bezpieczeństwa informacji
3. Instrukcja zarządzania systemami i infrastrukturą
4. Instrukcja zarządzania ciągłością działania
5. Instrukcja postępowania na wypadek incydentu bezpieczeństwa
6. Instrukcja zarządzania bezpieczeństwem fizycznym i środowiskowym
7. Instrukcja użytkowania systemów
8. Instrukcja zarządzania projektami ICT
9. Program i plan testowania operacyjnej odporności cyfrowej
10. Przykład sprawozdania z przeglądu ram zarządzania ryzykiem związanym z ICT
11. Przykład sprawozdania SPR_PF_01
Metodyka
Szkolenie prowadzone za pośrednictwem Internetu przy użyciu platformy do zdalnego kształcenia.
1) Wykład
2) Prezentacja przykładów do wykorzystania w Banku
3) Rozwiązanie problemów i odpowiedzi na pytania
4) Odpowiedzi na wątpliwości uczestników przez wykładowcę po szkoleniu
Program
1. Przegląd ram zarządzania ryzykiem związanym z ICT zgodnie z RTS 2024/1774
2. Regulacje wewnętrzne dotyczące DORA wg art. 6 ust. 3
3. Obszary ram zarządzania ryzykiem ICT wg art. 6 ust. 3 DORA
1) Organizacja i zarządzanie – polityka bezpieczeństwa informacji. Zgodnie z art. 2 RTS 2024/1774
2) Zarządzanie ryzykiem związanym z ICT Zgodnie z art. 3 RTS 2024/1774
3) Polityka zarządzania zasobami ICT. Zgodnie z art. 4 RTS 2024/1774
4) Procedura zarządzania zasobami ICT. Zgodnie z art. 5 RTS 2024/1774
5) Mechanizmy kontroli szyfrowania i kontroli kryptograficznej. Zgodnie z art. 6 RTS 2024/1774
6) Zarządzanie kluczami kryptograficznymi. Zgodnie z art. 7 RTS 2024/1774
7) Polityki i procedury dotyczące operacji ICT. Zgodnie z art. 8 RTS 2024/1774
8) Zarządzanie pojemnością i wydajnością. Zgodnie z art. 9 RTS 2024/1774
9) Zarządzanie podatnościami i poprawkami. Zgodnie z art. 10 RTS 2024/1774
10) Bezpieczeństwo danych i systemów. Zgodnie z art. 11 RTS 2024/1774
11) Rejestrowanie. Zgodnie z art. 12 RTS 2024/1774
12) Zarządzanie bezpieczeństwem sieci. Zgodnie z art. 13 RTS 2024/1774
13) Zabezpieczenie przesyłanych informacji. Zgodnie z art. 14 RTS 2024/1774
14) Zarządzanie projektami ICT. Zgodnie z art. 15 RTS 2024/1774
15) Pozyskiwanie, rozwój i utrzymanie systemów ICT. Zgodnie z art. 16 RTS 2024/1774
16) Zarządzanie zmianą w systemach ICT. Zgodnie z art. 17 RTS 2024/1774
17) Bezpieczeństwo fizyczne i środowiskowe. Zgodnie z art. 18 RTS 2024/1774
18) Polityka kadrowa. Zgodnie z art. 19 RTS 2024/1774
19) Zarządzanie tożsamością. Zgodnie z art. 20 RTS 2024/1774
20) Kontrola dostępu. Zgodnie z art. 21 RTS 2024/1774
21) Polityka zarządzania incydentami związanymi z ICT. Zgodnie z art. 22 RTS 2024/1774
22) Wykrywanie nietypowych działań i kryteria wykrywania incydentów związanych z ICT oraz reagowania na nie. Zgodnie z art. 23 RTS 2024/1774
23) Elementy strategii na rzecz ciągłości działania w zakresie ICT. Zgodnie z art. 24 RTS 2024/1774
24) Testowanie planów ciągłości działania w zakresie ICT. Zgodnie z art. 25 RTS 2024/1774
25) Plany reagowania i przywracania sprawności ICT. Zgodnie z art. 25 RTS 2024/1774
26) Testowanie operacyjnej odporności cyfrowej, w tym testy bezpieczeństwa ICT. Zgodnie z art. 24-27 rozporządzenia DORA
27) Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT, w tym ryzykiem koncentracji. Zgodnie z art. 28.1-28.2 rozporządzenia DORA, a także art. 1 RTS 2024/1773
28) Prowadzenie rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT. Zgodnie z art. 28.3 rozporządzenia DORA
4. Zarządzanie ryzykiem związanym z ICT
Warunki i wymagania techniczne dotyczące uczestnictwa w sesjach on-line, e-szkoleniach
Uczestnictwo w sesji on-line, e-szkoleniu wymaga dostępu do komputera lub urządzenia mobilnego wraz z połączeniem internetowym, a także posiadania słuchawek bądź głośników podłączonych do komputera, które umożliwiają odbiór dźwięku. Zalecamy korzystanie z przeglądarki Google Chrome. Film instruktażowy jak przygotować stanowisko do odbioru sesji on-line: https://youtu.be/ieBEfXPAB5I
W celu upewnienia się czy wszystkie komponenty (połączenie internetowe, wtyczki) działają po-prawnie zalecamy przeprowadzenie testu połączenia. Test dostępny jest https://transmisjeonline.pl/tester/
Zgłoszenie i potwierdzenie uczestnictwa, odwołanie sesji on-line, e-szkolenia, rezygnacja z uczestnictwa
Zgłoszenia przyjmowane są na podstawie wypełnionego formularza zgłoszeniowego na stronie WWW lub przesłanego przez osobę upoważnioną drogą mailową na: sesje@bodie.pl
Dostęp do zaplanowanej sesji on-line, e-szkolenia przesyłany jest mailowo 1 dzień przed terminem.
W przypadku konieczności odwołania sesji on-line, e-szkolenia, BODiE kontaktuje się z zainteresowanymi bankami e-mailowo, na adres e-mail wskazany w zgłoszeniu.
Rezygnacja przyjmowana jest jedynie w formie pisemnej (e-mail) najpóźniej na 3 dni robocze przed planowanym terminem. Rezygnacja w terminie późniejszym uprawnia BODiE do wystawienia faktury na kwotę umożliwiającą pokrycie poniesionych kosztów w wysokości 50% odpłatności.
Brak pisemnej rezygnacji uprawnia BODiE do wystawienia faktury w wysokości 100% odpłatności za sesję on-line, e-szkolenie.
Zasady odpłatności
Płatność za sesję on-line następuje na podstawie faktury VAT wystawionej po zakończeniu sesji on-line, e-szkolenia przez BODiE. Faktury wysyłane są w wersji elektronicznej, na adres e-mail podany w oświadczeniu dot. akceptacji e-faktury.
***
Informujemy, że ceny podane na naszej stronie www.bodie.pl dotyczą banków spółdzielczych i zrzeszających. Ceny szkoleń dla banków komercyjnych, innych instytucji finansowych i osób prywatnych, wynoszą:
- e-szkolenie: 650,00 netto za 1 osobę
- sesja on-line: 250,00 netto za 1 osobę.
Audytor wiodący normy PN/EN ISO 27001:2022 (program szkoleniowy BSI), absolwent studiów podyplomowych „Pełnienie funkcji Inspektora Ochrony w Instytucie Nauk Prawnych PAN. Posiada wieloletnie doświadczenie w zakresie funkcji ABI, a także Inspektora Ochrony Danych w Banku, roli audytu wewnętrznego, compliance.
Uczestnik szeregu szkoleń związanych z wdrożeniem DORA: „DORA - Digital Operational Resilience Act Complete Training”, „DORA - The EU Digital Operational Resilience Act”, „Implement EU Digital Operational Resilience Act (DORA)”, „ISO 27001 Cybersecurity Manager Guidelines”, „ISO/IEC 27002:2022 Information security controls”, „The NIS 2 Directive Masterclass”, „Business Continuity Management System. ISO 22301”.
Członek „Stowarzyszenia Praktyków Ochrony Danych” (SPOD). Posiada uprawnienia lustracyjne Krajowej Rady Spółdzielczej, współpracownik Związku Rewizyjnego Banków Spółdzielczych w Poznaniu w zakresie ryzyka bankowego i audytu wewnętrznego. Trener w zakresie zarządzania ryzykiem, bezpieczeństwa i compliance oraz audytu wewnętrznego. Wieloletni współpracownik instytucji edukacyjnych i szkoleniowych na terenie całego kraju. Wykładowca „Podyplomowych Studiów Zarządzanie Ryzykiem w banku”, a także „Podyplomowych Studiów Funkcja kontroli i compliance w Banku” w ramach Uniwersytetu Merito WSB we Wrocławiu. Autor regulacji wewnętrznych w zakresie zarządzania ryzykiem, bezpieczeństwa informacji, compliance, kontroli wewnętrznej.