IBM - ISO 27001 Auditorenkurs

KURSZIEL
IBM - ISO 27001 Auditorenkurs: Zielgruppe
Revision, IT-Sicherheitsbeauftragte
Kursziele
SGS-TÜV-Bescheinigung nach bestandener Prüfung


ZIELGRUPPE
Zielgruppe
Revision, IT-Sicherheitsbeauftragte
Kursziele
SGS-TÜV-Bescheinigung nach bestandener Prüfung


KURSINHALT
Der ISO 27001-Auditor prüft das Informationssicherheitsmanagementsystem (SMS) einer Organisation auf die Einhaltung der Anforderungen gemäß ISO 27001. Er ist damit entweder Teil der PDCA-Zyklusses zur ständigen Verbesserung des ISMS oder auditiert im Rahmen der ISO 27001-Zertifizierung. Die Seminarteilnehmer erwerben die hierfür notwendige Fachkunde sowie die fachlichen und methodischen Grundlagen für praktische Anwendung der relevanten Normen und Standards in der Prüfpraxis.
Ein besonderer Fokus wird auf die Vermittlung von Praxiswissen in beispielsweise den Bereichen Risikoanalyse oder der IT-Revision gelegt. Die ganzheitliche Ausrichtung des Kurses gewährleistet die Berücksichtigung sowohl der technischen, juristischen als auch organisatorischen Aspekte. Das Seminar bietet Raum für Diskussionen, Meinungs- und Erfahrungsaustausch. Die Teilnehmer erhalten nach bestandener Prüfung die Bescheinigung "Geprüfter Auditor für ISO 27001" von SGS TÜV.
Themenübersicht
Tag 1: Grundlagen der Informationssicherheit und des IT-Risikomanagements

• Begrifflichkeiten, Vorgehen und Methodik
• Grundsätzliche rechtliche Rahmenbedingungen
• Einführung in den Datenschutz
• Einführung in das Risikomanagement
• Risikostrategie und Risikobehandlungsoptionen
• Überblick zu den relevanten Kontroll- und Schutzzielen
• Kontrolldesign und Maßnahmenklassen
• Maturitäts- und Reifegradmodelle
• Aufbauorganisation, Rollen und Verantwortungen, Funktionstrennung, RACI-Modell
• Ablauforganisation, Prozesse und Verfahren:
  • Reaktion auf Sicherheitsvorfälle
  • Konfigurations- bzw. Dokumentationswesen
  • Änderungswesen
  • Schadenspotential- und Risikoanalyse für Informationssicherheit und Risikomanagement

Tag 2: Grundlagen der ISO 27001 und des BSI IT-Grundschutz

• Begrifflichkeiten, Vorgehen und Methodik
• Informationssicherheits-Managementsysteme (ISMS)
  • Generelles Vorgehensmodell (PDCA-Modell)
  • Schichtenmodell, 3P-Modell
  • Verantwortung, Aufgaben und Pflichten
• Vertiefung
  • ISO 27000er Familie
  • BSI IT-Grundschutz
• Vergleich zwischen ISO 27001 und BSI IT-Grundschutz (Vor- und Nachteile, mögliche Synergieeffekte)
• Abgrenzung zu anderen relevanten Standards und Normen
• Überblick über Zertifizierungsmöglichkeiten und -verfahren
• Kurzüberblick über relevante Tools

Tag 3: Praxis der Risiko- und Schutzbedarfsanalyse

• Begrifflichkeiten, Vorgehen und Methodik
• Dokumentationen und Nachweismöglichkeiten
• Schadenspotentialanalyse / Business Impact Analyse (BIA) als Baustein der Risikoanalyse
• Quantitative vs. qualitative Risikoanalyse
• Definition von Schutzbedarfskategorien
• Informationsquellen für Eintrittswahrscheinlichkeiten und Schadenshöhen
• Bestimmung von Restrisiken
• Abgrenzung von Risikoszenarien
• Einbindung in Änderungswesen und Notfallmanagement
• ISO 27005 und BSI 100-2 BSI 100-3, ONR 49000
• Gefährdungskataloge des BSI IT-Grundschutzes
• Praktische Übungen

Tag 4: Planung und Implementierung eines Informationssicherheitsmanagmentsystems gemäß ISO 27001

• Begrifflichkeiten, Vorgehen und Methodik
• Identifikation der wesentlichen Assets
• Erstellung des Statements of Applicability (SOA)
• Typische Probleme bei der Definition des Informationsverbundes
• Kritische Erfolgsfaktoren der Etablierung eines ISMS
• Projektplanung, Meilensteine und kritische Pfade sowie typische Aufwände und Dauer der ISMS-Implementierung
• Zu erwartende Widerstände und entsprechende Gegenstrategien, Einbindung wichtiger Beteiligter
• Abbildung des PDCA-Zyklus auf die betriebliche Praxis
• Planung und Durchführung von regelmäßigen Prüfungen
• Messung der Effektivität und Effizienz von Sicherheitsmaßnahmen, Kennzahlen für Informationssicherheit und Management-Reports
• Sensibilisierung von Mitarbeitern und Management
• Security Incident Management / Reaktion auf Sicherheitsvorfälle
• Nutzung von Synergieeffekten zu ITIL und COBIT
• BSI IT-Grundschutzkataloge als Erweiterung der Maßnahmenliste aus 27001 Anhang A
• Kurzüberblick über relevante Tools

Tag 5: Prüfung von Informationssicherheitsmanagementsystemen gemäß ISO 27001

• Begrifflichkeiten, Vorgehen und Methodik
• Beschreibung des Prüfobjektes
• Audit-Planung, Meilensteine und kritische Pfade sowie typische Aufwände und Dauer der ISM-Auditierung
• Sichtung notwendiger Dokumente
• Vollständigkeitsprüfung der wesentlichen Assets
• Durchführung von Interviews mittels Audit-Katalog
• Bewertung der Audit-Ergebnisse
• Ausfüllen der notwendigen Bereich im Audit-Bericht
• Ergebnistabelle Kennzahlen
• Test-Audit:
  • Modellierung
  • Initialisierung
  • Durchführung
  • Kurzauswertung

VORRAUSSETZUNG
keine