Tag 1:
Grundlagen der Informationssicherheit und des IT-Risikomanagements
- Begrifflichkeiten, Vorgehen und Methodik
- Grundsätzliche rechtliche Rahmenbedingungen
- Einführung in den Datenschutz
- Einführung in das Risikomanagement
- Risikostrategie und Risikobehandlungsoptionen
- Überblick zu den relevanten Kontroll- und Schutzzielen
- Kontrolldesign und Maßnahmenklassen
- Maturitäts- und Reifegradmodelle
- Aufbauorganisation, Rollen und Verantwortungen, Funktionstrennung, RACI-Modell
- Ablauforganisation, Prozesse und Verfahren:
- Reaktion auf Sicherheitsvorfälle
- Konfigurations- bzw. Dokumentationswesen
- Änderungswesen
- Schadenspotential- und Risikoanalyse für Informationssicherheit und Risikomanagement
Tag 2:
Grundlagen der ISO 27001 und des BSI IT-Grundschutz
- Begrifflichkeiten, Vorgehen und Methodik
- Informationssicherheits-Managementsysteme (ISMS)
- Generelles Vorgehensmodell (PDCA-Modell)
- Schichtenmodell, 3P-Modell
- Verantwortung, Aufgaben und Pflichten
- Vertiefung
- ISO 27000er Familie
- BSI IT-Grundschutz
- Vergleich zwischen ISO 27001 und BSI IT-Grundschutz (Vor- und Nachteile, mögliche Synergieeffekte)
- Abgrenzung zu anderen relevanten Standards und Normen
- Überblick über Zertifizierungsmöglichkeiten und -verfahren
- Kurzüberblick über relevante Tools
Tag 3:
Praxis der Risiko- und Schutzbedarfsanalyse
- Begrifflichkeiten, Vorgehen und Methodik
- Dokumentationen und Nachweismöglichkeiten
- Schadenspotentialanalyse / Business Impact Analyse (BIA) als Baustein der Risikoanalyse
- Quantitative vs. qualitative Risikoanalyse
- Definition von Schutzbedarfskategorien
- Informationsquellen für Eintrittswahrscheinlichkeiten und Schadenshöhen
- Bestimmung von Restrisiken
- Abgrenzung von Risikoszenarien
- Einbindung in Änderungswesen und Notfallmanagement
- ISO 27005 und BSI 100-2 BSI 100-3, ONR 49000
- Gefährdungskataloge des BSI IT-Grundschutzes
- Praktische Übungen
Tag 4:
Planung und Implementierung eines Informationssicherheitsmanagmentsystems gemäß ISO 27001
- Begrifflichkeiten, Vorgehen und Methodik
- Identifikation der wesentlichen Assets
- Erstellung des Statements of Applicability (SOA)
- Typische Probleme bei der Definition des Informationsverbundes
- Kritische Erfolgsfaktoren der Etablierung eines ISMS
- Projektplanung, Meilensteine und kritische Pfade sowie typische Aufwände und Dauer der ISMS-Implementierung
- Zu erwartende Widerstände und entsprechende Gegenstrategien, Einbindung wichtiger Beteiligter
- Abbildung des PDCA-Zyklus auf die betriebliche Praxis
- Planung und Durchführung von regelmäßigen Prüfungen
- Messung der Effektivität und Effizienz von Sicherheitsmaßnahmen, Kennzahlen für Informationssicherheit und Management-Reports
- Sensibilisierung von Mitarbeitern und Management
- Security Incident Management / Reaktion auf Sicherheitsvorfälle
- Nutzung von Synergieeffekten zu ITIL und COBIT
- BSI IT-Grundschutzkataloge als Erweiterung der Maßnahmenliste aus 27001 Anhang A
- Kurzüberblick über relevante Tools
Tag 5:
Prüfung von Informationssicherheitsmanagementsystemen gemäß ISO 27001
- Begrifflichkeiten, Vorgehen und Methodik
- Beschreibung des Prüfobjektes
- Audit-Planung, Meilensteine und kritische Pfade sowie typische Aufwände und Dauer der ISM-Auditierung
- Sichtung notwendiger Dokumente
- Vollständigkeitsprüfung der wesentlichen Assets
- Durchführung von Interviews mittels Audit-Katalog
- Bewertung der Audit-Ergebnisse
- Ausfüllen der notwendigen Bereich im Audit-Bericht
- Ergebnistabelle Kennzahlen
- Test-Audit:
- Modellierung
- Initialisierung
- Durchführung
- Kurzauswertung
