Seminare für jede Branche

Informationssicherheitsbeauftragte/r - Online-Live-Lehrgang, Dauer 3 Tage

Praxisnahe Schulung mit Fokus auf ISO/IEC 27001 und strategische IT-Sicherheit.

Die Rolle des Informationssicherheitsbeauftragten gewinnt in Unternehmen zunehmend an Bedeutung. Diese Weiterbildung vermittelt praxisnahes und rechtssicheres IT-Sicherheitswissen, das auf aktuellen Standards wie der ISO/IEC 27001 basiert. Teilnehmende lernen, Sicherheitslücken gezielt zu erkennen und zu schließen, ein Informationssicherheits-Managementsystem (ISMS) zu implementieren und mit strategischer Weitsicht IT-Risiken zu minimieren. Durch fundiertes Wissen über regulatorische Anforderungen und technologische Entwicklungen wie Künstliche Intelligenz (KI) sichern Unternehmen ihre IT-Resilienz und stärken das Vertrauen von Kunden und Partnern.
 

Ziele & Nutzen

• Rechtssichere IT-Sicherheitsstrategien

 Die Teilnehmenden lernen IT-Sicherheitsmaßnahmen gemäß der ISO 27001 umzusetzen und Compliance-Anforderungen zu erfüllen.

• Strategische Zusammenarbeit und ISMS-Optimierung

Die Teilnehmenden erfahren, wie IT-Sicherheitsstrategien optimal mit Unternehmenszielen verknüpft und ISMS nachhaltig etabliert und verbessert werden können.

• Erhöhung der IT-Resilienz und Zukunftssicherheit

Die Teilnehmenden bleiben durch aktuelles Wissen über Bedrohungsszenarien und regulatorische Entwicklungen (wie z. B. dem AI-Act, DSA oder der NIS-2) wettbewerbsfähig.

•  Praktische Umsetzung mit realen Szenarien

Die Teilnehmenden lernen durch die Workshops und praxisnahen Übungen Angriffsvektoren zu verstehen, Risiken zu analysieren und effektive Schutzmaßnahmen zu ergreifen.

Weiterbildungsinhalte

Tag 1 - Grundlagen der Informationssicherheit und Informationssicherheitsmanagement

1.    Grundlagen zur Informationssicherheit

• Was sind Informationen?
• Informationswerte (Assets)
• Motivation für Informationssicherheit
  • Informationssicherheitspannen
    • Arten von Angriffen und Pannen
    • Auswirkungen und Beispiele von Angriffen und Pannen 
  • Erfordernisse und Erwartungen interessierter Parteien
  • Schutzziele in der Informationssicherheit (CIA)
  • Unterschied zwischen Security und Saftey
  • Regulatorische Aspekte (Normen, Gesetze und aktuelle Regelungen)
    • Legal & Compliance
    • Aktuelle Entwicklungen (NIS-2, DSA, KI-Act)
• Gefährdungslagen (mit Workshop und Diskussion zu den einzelnen Gefährdungslagen)
  • Höhere Gewalt
  • Organisatorische Mängel
  • Human Faktor
  • Technisches Versagen
  • Sabotage
  • Künstliche Intelligenz

2.    Informationssicherheits-Management (Grundlagen 1)

• Relevante Frameworks für Informationssicherheits-Management
  • Vorgehensweise Top-Down vs. Bottom-Up
  • BSI-Grundschutz, KRITIS, Zertifizierungen, ISO 2700x

3.    Besprechung und Diskussion der Workshops


Tag 2 -  Einführung ISMS – Corporate Governance und Organisatorische Sicherheit

1.    Informationssicherheits-Management (Grundlagen 2)

• Mehrwert durch Informationssicherheits-Management
  • Corporate Governance
    • IT-Governance
    • Informationssicherheits-Governance
    • Kybernetischer Regelkreis – Management der Informationssicherheit
    • Return on Security Investment (RoSI)

2.    Informationssicherheits-Management-System nach ISO 27001 (1)

• Organisatorische Informationssicherheit
  • Strategische Informationssicherheit
    • SoA und Scope des ISMS
    • Leitlinie
    • Richtlinien
    • Arbeitsanweisungen
  • Rollen, Verantwortlichkeiten und Kompetenzen in der Informationssicherheit
    • Organisationsleitung
    • IT-Sicherheitsbeauftragter
    • Datenschutzbeauftragter
    • Informationssicherheitsbeauftragter
    • Informationssicherheitsmanager
    • Legal & Compliance, HR, Führungskräfte, Personal
  • Outsourcing und Versichern von Informationssicherheitsrisiken
  • Kompetenzen, Bewusstsein, Verantwortung
    • Trainings, Schulungen und Kampagnen
    • Individuelle Trainings und Bedarfe
    • Remote-Arbeit und Clear Desk
    • NDAs, Verantwortlichkeiten und Maßregelungsprozesse
    • Melden von Ereignissen und Schwachstellen
  • Kommunikation
    • Kommunikationsmatrix
    • Kontakt mit relevanten Interessengruppen
    • Krisen-kommunikation
  • Risikomanagement
    • Analyse von Risiken und Chancen
    • Risiko-Score Card
    • Threat- & Vulnerability Management
    • Risikobehandlungsplanung
    • Risikomatrix
  • Kontinuitätsmanagement
    • Business Impact Analyse
    • Notfallplanung
    • Sammeln von Beweismaterial
    • Notfall- und Krisenstab
  • Informationssicherheit
    • Change-Management
    • im Projektmanagement (Agil, Klassisch, Hybrid)
    • in Lieferantenbeziehungen
    • bei Cloud-Diensten
  • Messwerte

3.    Workshop in Break-Out-Rooms  + Besprechung und Diskussion 


Tag 3 - Technische Maßnahmen, sowie Optimierung und Evaluierung des ISMS

1.    Informationssicherheits-Management-System nach ISO 27001 (2)

• Technische Informationssicherheit
  • Physische und umgebungsbezogene Sicherheit, Redundanzen
    • Zugangssteuerung, Sicherheitsbereiche, Überwachung
    • Versorgungseinrichtungen, Speichermedien, Verkabelung
    • Sichere Entsorgung und Instandhaltung von Betriebsmitteln
  • Schutz vor Schadsoftware, Handhabung technischer Schwachstellen
    • Device Management, Zugangsrechte und Informationszugangsbeschränkung
    • Konfigurationsmanagement, Schutzmaßnahmen
  • Datensicherung, Protokollierung und Überwachung
    • Ressourcennutzung
    • Data Loss Prävention
    • Ereignis-Logs, Überwachung von Aktivitäten und zentrale Zeitquellen
  • Kryptographische Maßnahmen und Kommunikationssicherheit
    • Webfilterung und Trennung von Netzwerken
    • Umgang und Regulatorien von Kryptographischen Maßnahmen
  • Sichere Entwicklung
    • Trennung von Entwicklungs-, Test- und Produktionsumgebungen
• Kontinuierliche Verbesserung der Informationssicherheit
  • PDCA
  • DMAIC
  • OODA
• Prüfung und Bewertung der Informationssicherheit
  • Tabletop-Übungen, Notfallübungen
  • Penetrationstests 
  • Audit von Informationssicherheit
    • First Party Audit (Interne Audits)
    • Second Party Audit (Lieferantenaudits)
    • Third Party Audits (Zertifizierungs- oder behördliche Audits)
      • Zertifizierungsprozess bei einer ISO 27001 Zertifizierung
      • Auditzyklus
    • Nichtkonformitäten, Korrekturmaßnahmen, Verbesserungen und positive Aspekte
  • Managementbewertung der Informationssicherheit

2.    Workshop in Break-Out-Rooms + Besprechung und Diskussion der Workshops
 

Teilnehmerkreis
Angehende Informationssicherheitsbeauftragte, IT-Projektleitung, IT-Administratorinnen und –Administratoren, Mitarbeitende der IT-Abteilung, die IT-Sicherheit im Unternehmen organisieren und gewährleisten müssen.
Ebenfalls interessant für die IT-Leitung.

Bitte beachten Sie, dass die IT-Leitung u. U. aufgrund von Interessenskonflikten nicht zu Informationssicherheitsbeauftragten bestellt werden sollten. Informationssicherheitsbeauftragte/r und IT-Sicherheitsbeauftragte/r – wo liegt der Unterschied?
Während Informationssicherheitsbeauftragte die unternehmensweite Informationssicherheit verantwortet, sind IT-Sicherheitsbeauftragte nur für den Teilbereich der technischen Sicherheit der IT-Infrastruktur, Systeme und Applikationen verantwortlich. Häufig werden die beiden Funktionen von der gleichen Person begleitet. Im englischen Sprachgebrauch wird nicht unterschieden (Chief Information Security Officer = CISO). In diesem Lehrgang wird das Wissen für angehende Informationssicherheitsbeauftragte vermittelt, welches das notwendige Wissen für IT-Sicherheitsbeauftragte miteinschließt. 

Veranstaltungs-Code

FB24-321864-57632107