Tag 1:
Grundlagen der Informationssicherheit und des IT-Risikomanagements
- Begrifflichkeiten, Vorgehen und Methodik
- Grundsätzliche rechtliche Rahmenbedingungen
- Einführung in den Datenschutz
- Einführung in das Risikomanagement
- Risikostrategie und Risikobehandlungsoptionen
- Überblick zu den relevanten Kontroll- und Schutzzielen
- Kontrolldesign und Maßnahmenklassen
- Maturitäts- und Reifegradmodelle
- Aufbauorganisation, Rollen und Verantwortungen, Funktionstrennung, RACI-Modell
- Ablauforganisation, Prozesse und Verfahren:
- Reaktion auf Sicherheitsvorfälle
- Konfigurations- bzw. Dokumentationswesen
- Änderungswesen
- Schadenspotential- und Risikoanalyse für Informationssicherheit und Risikomanagement
Tag 2:
Grundlagen der ISO 27001 und des BSI IT-Grundschutz
- Begrifflichkeiten, Vorgehen und Methodik
- Informationssicherheits-Managementsysteme (ISMS)
- Generelles Vorgehensmodell (PDCA-Modell)
- Schichtenmodell, 3P-Modell
- Verantwortung, Aufgaben und Pflichten
- Vertiefung
- ISO 27000er Familie
- BSI IT-Grundschutz
- Vergleich zwischen ISO 27001 und BSI IT-Grundschutz (Vor- und Nachteile, mögliche Synergieeffekt)
- Abgrenzung zu anderen relevanten Standards und Normen
- Überblick über Zertifizierungsmöglichkeiten und -verfahren
- Kurzüberblick über relevante Tools
Tag 3:
Praxis der Risiko- und Schutzbedarfsanalyse
- Begrifflichkeiten, Vorgehen und Methodik
- Dokumentationen und Nachweismöglichkeiten
- Schadenspotentialanalyse / Business Impact Analyse (BIA) als Baustein der Risikoanalyse
- Quantitative vs. qualitative Risikoanalyse
- Definition von Schutzbedarfskategorien
- Informationsquellen für Eintrittswahrscheinlichkeiten und Schadenshöhen
- Bestimmung von Restrisiken
- Abgrenzung von Risikoszenarien
- Einbindung in Änderungswesen und Notfallmanagement
- ISO 27005 und BSI 100-2 BSI 100-3, ONR 49000
- Gefährdungskataloge des BSI IT-Grundschutzes
- Praktische Übungen
Tag 4:
IT-Strukturanalyse, IT-Dokumentation und Änderungswesen in der Praxis
- Begrifflichkeiten, Vorgehen und Methodik
- BSI 100-2, ITIL/ISO 20000
- Konfigurationswesen/Configuration Management
- Komplexitätsreduktion durch Gruppenbildung
- Netzstrukturplanerstellung und Bereinigung
- Änderungswese /Change Management
- Abhängigkeiten und Verknüpfungen
- Configuration Items
- Vererbungsmodelle
- Erstellung IT-Dokumentation/Configuration Management Database (CMDB)
- CMDB vs. Asset Management Database
- Request for Change (RfC)
- Zusammengesetzte Changers
- Schnittstellen zum Änderungswesen sowie Notfallmanagement
- Beispiele aus der Praxis
Tag 5:
Sicherheitsrichtlinien erstellen und pflegen
- Begrifflichkeiten, Vorgehen und Methodik
- Dokumentenlenkungsprozesse (Erstellung, Freigabe, Einhaltung, Kontrolle und Änderung
- Begriffsbestimmung und Abgrenzung von Leitlinien, Richtlinien, Standards, Guidelines, Arbeitsanweisungen etc
- Erstellung einer IT-Sicherheitslinie (Einflussfaktoren, Aufbau und Inhalte, Verantwortungen)
- Ableitung themenspezifischer Richtlinien aus der IT-Sicherheitsleitlinie, beispielsweise
- Nutzung von IT, Nutzung mobiler Endgeräte
- Austausch von Informationen, E-Mailrichtline
- Zutritts-, Zugangs- und Zugriffskontrolle
- Datensicherung, Notfallversorgung, Änderungswesen
- Passwortrichtlinie
- Auswirkung auf die Erstellung von IT-Fachkonzepten
- Ableitung von zielgruppenspezifischen Arbeitsanweisungen aus den Richtlinien
- Roll-out/Kommunikation der Regelungen
