Cod. QI 50 01 01 Rev. 02 Data 2006-03-31 Pagina 1 di 4
Transcript
Cod. QI 50 01 01 Rev. 02 Data 2006-03-31 Pagina 1 di 4
Schema requisiti per la certificazione di Auditor e Lead Auditor nel settore Sicurezza delle informazioni (Information Security Management Systems - ISMS) Rev. 02 Provisional Security Auditor Titoli di studio minimo Data 2006-03-31 Security Auditor Cod. QI 50 01 01 Pagina 1 di 4 Security Lead Auditor Diploma di Istruzione secondaria superiore Conoscenze - Esperienza lavorativa totale1 requisiti delle norme ISO 27001:2005 , ISO 17799:2000, UNI EN ISO 19011:2003 e prescrizione aggiuntive SINCERT applicabili; approccio per processi per la tutela delle informazioni e la sicurezza dei sistemi informatici aziendali; principi delle normative di riferimento e prescrizioni legali applicabili; approccio critico al Sistema di Information Security Management Systems (ISMS); metodologie e tecniche di auditing; pianificazione e conduzione di un Audit secondo la normativa di riferimento in vigore e preparazione del Rapporto di Audit; gestione delle NC; concetti base dei dispositivi, dei sistemi informativi e delle reti; aspetti relativi all’area legale connessi all’ICT. Ruoli tecnici, manageriali e professionali presso Enti, Aziende, studi professionali, ecc. 4 anni se in possesso di laurea di 1° o 2° livello. 5 anni se diplomato. 1 Tale esperienza può essere stata maturata sia in veste di lavoratore dipendente (presso imprese industriali o di servizi o presso enti pubblici e privati, con mansioni connesse con la produzione di beni e servizi), sia in veste di libero professionista. Schema requisiti per la certificazione di Auditor e Lead Auditor nel settore Sicurezza delle informazioni (Information Security Management Systems - ISMS) Rev. 02 Provisional Security Auditor Esperienze lavorative in campo specifico Esperienze di Auditing3 Formazione specifica Iscrizione a Registro KHC 2 Data 2006-03-31 Security Auditor Cod. QI 50 01 01 Pagina 2 di 4 Security Lead Auditor Almeno uno (1) degli anni richiesti di esperienza lavorativa totale, devono essere relativi ad attività specifiche nell'Information Security Management Systems (ISMS) (es. realizzazione e/o gestione di Sistemi di Gestione della Sicurezza delle informazioni). (Dal 2006-12-31 : almeno due (2) degli anni richiesti di esperienza lavorativa totale, devono essere relativi ad attività specifiche nell'Information Security Management Systems (ISMS)). Minimo n° 2 (due) Security Audit Minimo n° 4 (quattro) Security Audit completi2. completi2, di cui n°2 effettuati in qualità di Gli Audit devono essere stati Lead Auditor. completati entro gli ultimi due anni Gli Audit devono essere stati completati Nessuna consecutivi. entro gli ultimi due anni consecutivi. (Dal 2006-12-31 : minimo n° 7 (Dal 2006-12-31 : minimo n° 12 Security Security Audit completi2 per 20 Audit completi2 per 35 giornate). giornate). Corso di formazione per Security Auditor/Lead Auditor (minimo 40 ore o 24 ore se Corso Auditor settore aggiuntivo nella Security) qualificato da KHC o qualificato da altri Enti/Organismi e riconosciuto da KHC Il candidato che dimostra: Il candidato che dimostra: a) il possesso dei requisiti richiesti (titolo di studio, esperienza lavorativa totale, esperienza lavorativa specifica nel settore); b) la frequenza/ il superamento del Corso di formazione per Security Auditor/Lead Auditor (minimo 40 ore o 24 ore se Corso Auditor settore aggiuntivo nella Security) qualificato da KHC e superato con punteggio maggiore o uguale a 58/100 o la frequenza/il superamento di un corso di formazione (40 ore) qualificato/erogato da altri Enti/Organismi e riconosciuto da KHC; c) previo pagamento delle quote previste, potrà accedere ai relativi registri KHC a) il possesso dei requisiti richiesti ( titolo di studio, esperienza lavorativa totale, esperienza lavorativa specifica nel settore, esperienza di audit); b) la frequenza/ il superamento del Corso di formazione Security Auditor/Lead Auditor (minimo 40 ore o 24 ore se Corso Auditor settore aggiuntivo nella Security) qualificato da KHC e superato con punteggio maggiore o uguale a 78/100 o supera la PV (Procedura Valutativa: test e colloquio tecnico) prevista per chi ha già un corso qualificato KHC ma superato con punteggio compreso tra 58/100 e 78/100 / ha un corso di formazione qualificato da altri Enti/Organismi e riconosciuto da KHC; c) previo pagamento delle quote previste, potrà accedere ai relativi registri KHC Per Security Audit completo ( Audit effettuato a fronte delle norme: BS 7799:2002 o ISO 27001:2005), si intende un Security Audit che comprende le seguenti fasi: 1) l’esame della documentazione; 2) la pianificazione del Audit; 3) la conduzione del Audit; 4) la preparazione e la stesura del Rapporto del Audit. Il Security Audit deve ricoprire l’intero Standard del Sistema di gestione. Inoltre per singolo Security Audit, nel caso di un man-day sul campo, è da intendersi un minimo di tre giorni complessivi. 3. Degli Audit richiesti, almeno uno deve essere condotto a fronte della ISO 27001:2005 . Schema requisiti per la certificazione di Auditor e Lead Auditor nel settore Sicurezza delle informazioni (Information Security Management Systems - ISMS) Rev. 02 Provisional Security Auditor Passaggio tra Registri KHC Norme Deontologiche e Regolamento e Manuale d'uso del marchio di Certificazione. Mantenimento della certificazione annualmente Rinnovo Data 2006-03-31 Pagina 3 di 4 Security Auditor Security Lead Auditor E' possibile richiedere il passaggio da Provisional Auditor ad Auditor/Lead Auditor previo superamento della PV (Procedura Valutativa: test e colloquio tecnico), e l'integrazione degli audit necessari per soddisfare i requisiti richiesti. E' possibile richiedere il passaggio di registro da Security Auditor a Security Lead Nel caso di superamento del Corso di Auditor integrando gli Audit necessari per soddisfare i requisiti richiesti. formazione per Auditor/Lead Auditor KHC, con punteggio maggiore o uguale a 78/100 è possibile richiedere il passaggio da Provisional Auditor ad Auditor/Lead Auditor integrando gli audit necessari per soddisfare i requisiti richiesti. E' possibile richiedere il passaggio non prima di sei mesi dalla certificazione conseguita L'iscrizione al registro KHC comporta la firma e il rispetto delle Norme Deontologiche. Pagamento quote previste ¾ pagamento quote previste; ¾ verifica aggiornamento professionale. Validità Cod. QI 50 01 01 L'iscrizione al registro KHC comporta la firma e il rispetto delle Norme Deontologiche e del Regolamento e Manuale d'uso del marchio di Certificazione. 9 Mancanza di reclami; 9 pagamento quote previste; 9 mantenimento delle competenze/aggiornamento professionale (8h / anno sui temi legislativi giurisprudenziali e di aggiornamento sulle tematiche nell'Information Security Management Systems (ISMS)) Nota per la registrazione dell'aggiornamento utilizzare il modulo Professioanl Development Log. ¾ pagamento quote previste; ¾ verifica aggiornamento professionale (minimo 24 h negli ultimi tre anni) e n° 3 Security Audit Durata triennale della certificazione Schema requisiti per la certificazione di Auditor e Lead Auditor nel settore Sicurezza delle informazioni (Information Security Management Systems - ISMS) Rev. 02 Provisional Security Auditor Data 2006-03-31 Security Auditor Cod. QI 50 01 01 Pagina 4 di 4 Security Lead Auditor Certificazione4 in entrambi i settori: Qualità/ Security o Ambiente/ Security o Safety/ Security n° 1 anno di esperienza nel secondo settore (può essere concomitante all'esperienza maturata nel primo settore) Esperienza lavorativa nel campo specifico Corso di formazione Esperienze di Audit Corso di formazione di 24 ore, nel secondo settore (per acquisire conoscenze relative ai principali Standard, leggi, principi, metodi e tecniche di Audit) Nessuna Minimo n° 2 (due) Security Audit Minimo n° 4 (quattro) Security Audit completi2, di cui n°2 effettuati in qualità di completi2. Gli Audit devono essere stati Lead Auditor. completati entro gli ultimi due anni Gli Audit devono essere stati completati consecutivi. entro gli ultimi due anni consecutivi. (Dal 2006-12-31 : minimo n° 7 (Dal 2006-12-31 : minimo n° 12 Security Security Audit completi2 per 20 Audit completi2 per 35 giornate). giornate). 4 Si intendono validi i requisiti richiesti, in merito al titolo di studio ed all’esperienza lavorativa totale, all’Auditor /Lead Auditor suddetti. N.B. L'iter di certificazione e le modalità del mantenimento della certificazione stessa, previsto per chi chiede la certificazione nel secondo settore è analogo alla prima certificazione conseguita.