IBM - Geprüfter IT-Sicherheitsbeauftragter

KURSZIEL
IBM - Geprüfter IT-Sicherheitsbeauftragter: Zielgruppe
Revision, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte
Kursziele
SGS-TÜV-Bescheinigung nach bestandener Prüfung


ZIELGRUPPE
Zielgruppe
Revision, Datenschutzbeauftragte, IT-Sicherheitsbeauftragte
Kursziele
SGS-TÜV-Bescheinigung nach bestandener Prüfung


KURSINHALT
Der IT-Sicherheitsbeauftragte ist der zentrale Ansprechpartner für IT-Sicherheitsfragen innerhalb einer Organisation. Er unterstützt bei der Etablierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus sowie überwacht und berichtet den jeweiligen Status. Die Seminarteilnehmer erwerben die hierfür notwendige Fachkunde sowie die fachlichen und methodischen Grundlagen für praktische Anwendung der relevanten Normen und Standards.
Ein besonderer Fokus wird auf die Vermittlung von Praxiswissen beispielsweise in den Bereichen Risikoanalyse, Erstellung und Pflege von Sicherheitsrichtlinien und IT-Dokumentationen sowie Änderungswesen gelegt. Die ganzheitliche Ausrichtung des Kurses gewährleistet die Berücksichtigung sowohl der technischen, juristischen als auch organisatorischen Aspekte. Das Seminar bietet Raum für Diskussionen, Meinungs- und Erfahrungsaustausch. Die Teilnehmer erhalten nach bestandener Prüfung die Bescheinigung "Zertifizierter IT-Sicherheitsbeauftragter" von SGS TÜV.
Themenübersicht
Tag 1:
Grundlagen der Informationssicherheit und des IT-Risikomanagements

• Begrifflichkeiten, Vorgehen und Methodik
• Grundsätzliche rechtliche Rahmenbedingungen
• Einführung in den Datenschutz
• Einführung in das Risikomanagement
• Risikostrategie und Risikobehandlungsoptionen
• Überblick zu den relevanten Kontroll- und Schutzzielen
• Kontrolldesign und Maßnahmenklassen
• Maturitäts- und Reifegradmodelle
• Aufbauorganisation, Rollen und Verantwortungen, Funktionstrennung, RACI-Modell
• Ablauforganisation, Prozesse und Verfahren:
  • Reaktion auf Sicherheitsvorfälle
  • Konfigurations- bzw. Dokumentationswesen
  • Änderungswesen
  • Schadenspotential- und Risikoanalyse für Informationssicherheit und Risikomanagement

Tag 2:
Grundlagen der ISO 27001 und des BSI IT-Grundschutz

• Begrifflichkeiten, Vorgehen und Methodik
• Informationssicherheits-Managementsysteme (ISMS)
  • Generelles Vorgehensmodell (PDCA-Modell)
  • Schichtenmodell, 3P-Modell
  • Verantwortung, Aufgaben und Pflichten
• Vertiefung
  • ISO 27000er Familie
  • BSI IT-Grundschutz
• Vergleich zwischen ISO 27001 und BSI IT-Grundschutz (Vor- und Nachteile, mögliche Synergieeffekte)
• Abgrenzung zu anderen relevanten Standards und Normen
• Überblick über Zertifizierungsmöglichkeiten und -verfahren
• Kurzüberblick über relevante Tools

Tag 3:
Praxis der Risiko- und Schutzbedarfsanalyse

• Begrifflichkeiten, Vorgehen und Methodik
• Dokumentationen und Nachweismöglichkeiten
• Schadenspotentialanalyse / Business Impact Analyse (BIA) als Baustein der Risikoanalyse
• Quantitative vs. qualitative Risikoanalyse
• Definition von Schutzbedarfskategorien
• Informationsquellen für Eintrittswahrscheinlichkeiten und Schadenshöhen
• Bestimmung von Restrisiken
• Abgrenzung von Risikoszenarien
• Einbindung in Änderungswesen und Notfallmanagement
• ISO 27005 und BSI 100-2 BSI 100-3, ONR 49000
• Gefährdungskataloge des BSI IT-Grundschutzes
• Praktische Übungen

Tag 4:
IT-Strukturanalyse, IT-Dokumentation und Änderungswesen in der Praxis

• Begrifflichkeiten, Vorgehen und Methodik
• BSI 100-2, ITIL/ISO 20000
• Konfigurationswesen / Configuration Management
• Komplexitätsreduktion durch Gruppenbildung
• Netzstrukturplanerstellung und Bereinigung
• Änderungswesen / Change Management
• Abhängigkeiten und Verknüpfungen
• Configuration Items
• Vererbungsmodelle
• Erstellung IT-Dokumentation / Configuration Management Database (CMDB)
• CMDB vs. Asset Management Database
• Request for Change (RfC)
• Zusammengesetzte Changers
• Schnittstellen zum Änderungswesen sowie Notfallmanagement
• Beispiele aus der Praxis

Tag 5:
Sicherheitsrichtlinien erstellen und pflegen

• Begrifflichkeiten, Vorgehen und Methodik
• Dokumentenlenkungsprozesse (Erstellung, Freigabe, Einhaltung, Kontrolle und Änderung
• Begriffsbestimmung und Abgrenzung von Leitlinien, Richtlinien, Standards, Guidelines, Arbeitsanweisungen etc
• Erstellung einer IT-Sicherheitslinie (Einflussfaktoren, Aufbau und Inhalte, Verantwortungen)
• Ableitung themenspezifischer Richtlinien aus der IT-Sicherheitsleitlinie, beispielsweise
  • Nutzung von IT, Nutzung mobiler Endgeräte
  • Austausch von Informationen, E-Mailrichtline
  • Zutritts-, Zugangs- und Zugriffskontrolle
  • Datensicherung, Notfallversorgung, Änderungswesen
  • Passwortrichtlinie
• Auswirkung auf die Erstellung von IT-Fachkonzepten
• Ableitung von zielgruppenspezifischen Arbeitsanweisungen aus den Richtlinien
• Roll-out/Kommunikation der Regelungen

VORRAUSSETZUNG
keine