IT-Sicherheitsbeauftragte(r) in der öffentlichen Verwaltung
Gegenstand des Seminars

IT-Sicherheitsbeauftragte sind die zentralen Ansprechpartner für Informationssicherheitsfragen innerhalb einer Behörde. Sie sollen als Stabsstelle der Behördenleitung den Aufbau und die Aufrechterhaltung des Informationssicherheitsmanagementsysteme (ISMS) in einem kontinuierlichen Verbesserungsprozess planen, steuern, koordinieren und optimieren. Zu den verantwortungsvollen Aufgaben der IT-Sicherheitsbeauftragten gehören

  • die Beratung der Behördenleitung,
  • die Erstellung einer Leitlinie zur Informationssicherheit,
  • die Gesamtkoordination des Informationssicherheitsprozesses,
  • die Initiierung von Sensibilisierungs- und Schulungsmaßnahmen,
  • die Erstellung von Sicherheits- und Notfallkonzepten,
  • die Untersuchung von Sicherheitsvorfällen.

Um diese komplexen Aufgaben wahrnehmen und letztlich die Schutzziele der Informationssicherheit – Verfügbarkeit, Vertraulichkeit und Integrität von Informationen – konsequent verfolgen zu können, ist eine umfangreiche und gute Ausbildung die Grundvoraussetzung für jeden IT-Sicherheitsbeauftragten.

Zielsetzung

Die hierfür notwendige Fachkunde sowie die fachlichen und methodischen Grundlagen für die praktische Anwendung der relevanten Normen und Standards erwerben die Teilnehmerinnen und Teilnehmer dieses Seminars. Den Schwerpunkt bildet die Vermittlung von Methoden- und Praxiswissen, beispielsweise in den Bereichen Risikoanalyse, Erstellung und Pflege von Sicherheitsrichtlinien und IT-Dokumentationen sowie Änderungswesen. Die ganzheitliche Ausrichtung des Kurses gewährleistet die Berücksichtigung sowohl technischer und organisatorischer als auch rechtlicher Aspekte. Das Seminar bietet darüber hinaus Raum für Diskussionen sowie Meinungs- und Erfahrungsaustausch durch unsere erfahrenen Referenten, die als externe IT-Sicherheitsbeauftragte in Unternehmen und Behörden tätig sind.

Zertifikat

Die Prüfung wird von der unabhängigen Personenzertifizierungsstelle PersCert TÜV von TÜV Rheinland durchgeführt. Nach erfolgreicher Prüfung erhalten die Teilnehmer ein auch in der Wirtschaft anerkanntes Zertifikat, das ihnen die Qualifikation als “IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation” bescheinigt (siehe Certipedia). Zusätzlich haben die Teilnehmer die Möglichkeit, mit dem Prüfzeichensignet für ihre Tätigkeit/Qualifikation zu den unter www.tuv.com/perscert dargestellten Bedingungen gegen Entgelt zu werben.

Zielgruppe

Dieses Seminar richtet sich an angehende IT-Sicherheitsbeauftragte zur Vorbereitung auf ihre Tätigkeit und an bereits tätige IT-Sicherheitsbeauftragte als Maßnahme zur Weiterbildung und Auffrischung ihrer Kenntnisse in Verbindung mit einer Zertifizierung. Zudem können sich IT-Dienstleister der öffentlichen Verwaltung entsprechend qualifizieren und verantwortliche Personen aus den Bereichen IT-Sicherheit, Datenschutz, Informationstechnologie, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement weiterbilden. Das Seminar eignet sich vor allem auch für Datenschutzbeauftragte, welche sich weitergehende IT-Sicherheitskenntnisse aneignen wollen. Teilnehmer, die das Seminar mit dem Erwerb des Zertifikats „IT-Sicherheitsbeauftragter in der öffentlichen Verwaltung“ abschließen möchten, sollten bereits über grundlegende Kenntnisse im Bereich der Informationssicherheit verfügen.

Seminarablauf

Themenüberblick, 1. Tag, 10:30-18:30 Uhr:

Begrüßung, Vorstellungsrunde

  • Vorstellung der Teilnehmer
  • Erwartungshaltung der Seminarteilnehmer

Grundlagen und Definitionen

  • Anforderungsmanagement
    • Warum Informationssicherheit?
  • Was ist Informationssicherheit?
    • Schutzziele
    • Abgrenzung zum Datenschutz, IT-Sicherheit
  • Governance
  • ComplianceAnforderungsmanagement

ITIL

  • Was ist ITIL?
  • Vorstellung des Prozessmodells nach ITIL
  • Was hat ITIL mit Sicherheit zu tun?
  • Vorstellung der Basisprozesse
    • Configuration Management
    • Incident- und Problem Management
    • Changemanagement
  • Vorstellung des vereinfachten Prozessmodells

Managementsysteme und Sicherheitskonzepte

  • Was ist ein Managementsystem
  • Informationssicherheitsmanagementsystem (ISMS)
  • Abgrenzung zu anderen Managementsystemen
    • ISO 27001 (ISMS)
    • ISO 9001 (QMS)
    • ISO 20000 (SMS)
  • Kennzahlen eines ISMS
    • KPI
    • KGI
  • Rollen in einem ISMS
  • Rollenunverträglichkeit
  • Was ist ein Sicherheitskonzept?

Reifegradmodelle und Tools

  • CMMI
  • SPICE/ ISO 15504-5
  • CoBIT
    • Aufbau
    • Wert für die Informationssicherheit
    • RACI
    • Input/Output-Matrizen

Themenüberblick, 2. Tag, 09:00-17:00 Uhr:

ISO 27001

  • Vorstellung der ISO 27xxx-Familie
  • Vorstellung der ISO 27001
    • Grundlagen
    • Begrifflichkeiten
    • Anforderungen der ISO 27001
    • Gesamtverantwortung
    • Erklärung der Anwendbarkeit

ISO 27001 und Anhang A

  • Prozessmodell der ISO 27001
  • Plan-Do-Check-Act-Ansatz der ISO 27001
  • Vorstellung der wichtigsten Regelungsaspekte des Anhang A
    • Sicherheitsmanagement
    • Änderungsmanagement
    • Netzsicherheit
    • Sensibilisierung
  • Vorstellung der ISO 27002 als Umsetzungsrahmen

ISO 27005

  • Vorstellung der ISO 27005
  • Risikoanalysen gemäß ISO 27005
    • Risikoidentifikation
    • Risikoanalyse
    • Risikobewertung und Klassifikation
  • Risikobehandlungsoptionen
    • Risikovermeidung
    • Risikominderung
    • Risikotransfer
    • Risikoakzeptanz
  • Risikoakzeptanzkriterien
  • Risikomanagement und der Umgang mit Risiken
  • Risikobasierter Ansatz der ISO 27001

Risikoanalysen – Methoden und praktische Ansätze

  • Wie ermittle ich Risiken?
    • Informationsbeschaffung
    • Quellen
  • Methoden zur Risikoidentifikation
    • Fehlerbaumanalysen
    • Szenariomethode
    • SWOT-Analyse
    • Fishbone-Diagramme
    • Checklisten, Fragebögen und Interviews
  • Bewertungsskalen
  • Praxisübung zur Risikoanalyse

Themenüberblick, 3. Tag, 09:00-17:00 Uhr:

ISMS nach BSI IT- Grundschutz

  • Was ist BSI IT-Grundschutz
  • Aufbau des IT Grundschutz
    • BSI Standard 100-1
    • BSI Standard 100-2
    • BSI Standard 100-3
    • BSI Standard 100-4
    • Gefährdungs- und Maßnahmenkataloge
  • Schutzziele
  • Bausteine – Aufbau und Anwendbarkeit
  • Vergleich zur ISO 27001

Vorgehen nach IT-Grundschutz/ Erstellung eines Sicherheitskonzeptes – Teil 1

  • Abgrenzung eines Informationsverbundes
    • Beispielhafte Abgrenzungen
    • Möglichkeiten der Abgrenzung
  • Durchführung einer Strukturanalyse
    • Aufnahme und Dokumentation von Zielobjekten
    • Arten von Zielobjekten
    • Lebensphasen von Zielobjekten
    • Verknüpfungen
  • Netzplanerhebung
    • Vollständiger Netzplan
    • Bereinigter Netzplan
    • Beispiele für komplexe Umgebungen
  • Praxisübung zur Strukturanalyse
  • Modellierung und Modellierungsvorschriften des BSI

Vorgehen nach IT-Grundschutz/ Erstellung eines Sicherheitskonzeptes – Teil 2

  • Schutzbedarfsfeststellung gemäß BSI IT-Grundschutz
    • Schutzbedarfskategorien
    • Szenarien zur Bewertung des Schutzbedarfes
    • Praxisbeispiele zur Dokumentation
  • Basissicherheitscheck
    • Durchführung des Soll-Ist-Vergleichs
    • Dokumentationsform
    • Status von Maßnahmen
    • Siegelstufen und Umsetzungserfordernisse

Vorgehen nach IT-Grundschutz/ Erstellung eines Sicherheitskonzeptes – Teil 3

  • Praxisübung zum Basissicherheitscheck
  • Ergänzende Sicherheitsanalyse
    • Höherer Schutzbedarf
    • Fehlende Modellierbarkeit
  • Risikoanalyse nach BSI Standard 100-3
    • Vorgehen
    • Gefährdungskataloge
    • G0-Gefährdungen
    • Praxisbeispiel/Übung
  • Benutzerdefinierte Bausteine

Themenüberblick, 4. Tag, 09:00-17:00 Uhr

Dokumente eines ISMS – Teil 1

  • Prozess der Dokumentenlenkung
  • Dokumenten-Pyramide
    • Strategische Ebene
    • Taktische Ebene
    • Operative Ebene
    • Mitwirkungspflichten
  • Leitlinie zur Informationssicherheit
    • Aufbau
    • Inhalt
    • Praxisübung

Dokumente eines ISMS – Teil 2

  • Dokumententypen
    • Richtlinien
    • Konzepte
    • Arbeitsanweisungen
  • A0-Dokumenten nach BSI IT-Grundschutz
    • RL zur Lenkung von Dokumenten und Aufzeichnungen
    • RL zur internen Auditierung
    • RL zum Risikomanagement
    • RL zu Vorbeuge- und Korrekturmaßnahmen
  • Wichtige Regelungsinhalte
  • Tipps zum Erstellen von Regelungsdokumenten

Praxis der Erstellung von Sicherheitskonzepten

  • Schutzbedarfsfeststellung in der Praxis
    • Vererbung des Schutzbedarfs
    • Maximumprinzip
    • Kumulationseffekt
    • Verteilungseffekt
  • Aufbau von Referenzen
    • Benutzerdefinierte Bausteine
    • Textbausteine
    • Maßnahmenreferenzierung
  • Entbehrlichkeit von Maßnahmen anhand von praktischen Beispielen

ISMS-Tools und weitere unterstützende Tools

  • Dokumentation von Sicherheitskonzepten
  • Einsatz von gängigen ISMS-Tools
    • GSTOOL 4.8 des BSI
    • verinice
  • CMDB
    • Abgrenzung zu Inventaren
    • Möglichkeiten
    • Nutzen für die IT-Dokumentation

Diskussion, Feedback

  • Die Teilnehmer können Rückfragen zum Seminar stellen und gegebenenfalls weitere individuelle Diskussionspunkte einbringen.

Themenüberblick 5. Tag:

Prüfung durch PersCert TÜV (schriftlich, 60 min)

zur Prüfungsordnung

Referenten
Sebastian  Schmidt, Sebastian Schmidt erwarb seinen Master of Science im Studiengang Wirtschaftsinformatik. Er studierte erfolgreich an der Technischen Hochschule Wildau sowie der Technischen Universität Dresden. Als Consultant für Informationssicherheit bei PERSICON ist er unter anderem für öffentliche Einrichtungen und Mandanten aus den Bereichen Finanzen, Versicherungen und Industrie sowie IT-Dienstleistungen tätig. Herr Schmidt ist dabei unter anderem für den zentralen IT-Dienstleister des Landes Baden-Württemberg (BITBW), als Informationssicherheitsbeauftragter tätig. Er ist intensiv regelmäßig mit dem Aufbau und der Implementierung von Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO 27001 sowie ISO 27001 auf der Basis von IT-Grundschutz beteiligt. Er unterstützt Mandanten bei der Erreichung der Zertifizierungsreife sowie der Begleitung der Zertifizierung auf Seite des Mandanten.
Timo  Sigwarth, Timo Sigwarth studierte Informatik an der Fachhochschule Brandenburg und erwarb dort die akademischen Grade Bachelor of Science (B.Sc.) in Medizininformatik und Master of Science (M.Sc.) in Informatik. Zu seinen Studienschwerpunkten gehörte neben dem klinisch-wissenschaftlichen Datenmanagement und der medizinischen Informatik auch die Bereiche IT-Sicherheit und Forensik. Als Consultant für Datensicherheit bei PERSICON beschäftigt er sich hauptsächlich mit der Etablierung eines angemessenen Informationssicherheitsniveaus, dem Design und der Etablierung von Informationssicherheitsmanagementsystemen (ISMS) gemäß ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz sowie der Einhaltung der damit verbundenen gesetzlichen und sonstigen Anforderungen. Timo Sigwarth berät Mandanten aus dem Öffentlichen Sektor sowie dem Finanzwesen und der IT-Dienstleistung.
Termin und Ort
Ort:
Inplace Personalmanagement GmbH
Wilmersdorfer Straße 95
10629 Berlin


Zeitraum:
25.09.2017 10:30 Uhr - 29.09.2017 11:00 Uhr

Preis

Seminarpreis:
2.100,- Euro Endpreis
Das Seminar ist als Schul- und Bildungsleistung nach § 4, Nr. 21, Buchstabe a, Doppelbuchstabe bb des Umsatzsteuergesetzes von der Umsatzsteuer befreit.

Prüfungsgebühr:
250,- Euro zzgl. MwSt.

Zur Anmeldung


Partner:


Veranstaltungen nach Datum


Januar 2018 (8)

Februar 2018 (6)

März 2018 (13)

April 2018 (9)

Mai 2018 (6)

Juni 2018 (8)

September 2018 (22)

Oktober 2018 (4)

November 2018 (9)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung