IT-Risikomanagement – Identifikation, Bewertung und Bewältigung von Risiken
Business Impact- und Kosten-Nutzen-Analysen durchführen sowie risikomindernde Maßnahmen planen, umsetzen und kontrollieren
Gegenstand des Seminars

Die zunehmende Abhängigkeit der Geschäftsprozesse in Behörden und Unternehmen von Informationstechnologien und der Vertraulichkeit, Verfügbarkeit und Integrität digitaler Daten hat auch eine Erhöhung des Risikopotenzials zur Folge.
Der Ausfall von IT oder der Verlust von Informationen kann schwerwiegende Konsequenzen für den laufenden Geschäftsbetrieb haben, was vielen Verantwortlichen in der vollen Dimension häufig nicht bewusst ist. Hinzu kommt, dass die Bandbreite möglicher Risiken größer und komplexer geworden ist.

Daher ist die Etablierung eines IT-Risikomanagements, welches Risiken möglichst vollständig identifiziert und bewertet sowie Maßnahmen zur Risikominderung definiert, eine zentrale Anforderung in allen Institutionen, deren kritische Prozesse von einer intakten IT abhängig sind. Dabei gilt es, die Balance zwischen Aufwendungen für Maßnahmen und tragbaren Rest-Risiken zu finden.

Zur Umsetzung der Anforderungen gibt es verschiedene Methoden und Ansätze: Neben den Standards im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 und ISO 27005 sowie dem BSI-Standard 100-3 sind zunehmend auch Regelwerke der Prüfungsämter und Wirtschaftsprüfungs-Gesellschaften zu beachten. Diese miteinander zu vereinbaren ist oftmals eine anspruchsvolle Aufgabe.

Das Seminar vermittelt das notwendige Rüstzeug zur Beherrschung des IT-Risikomanagement-Prozesses. Ausgehend von begrifflichen und methodischen Grundlagen werden die unterschiedlichen Anforderungen der Gesetze und Normen verglichen und Ansätze zu einer einheitlichen Umsetzung herausgestellt.
Zu den einzelnen Bausteinen eines Risikomanagements (wie Identifikation, Bewertung, etc.) werden Ansätze und Hilfsmittel sowohl in theoretischen als auch in praktischen Übungen erarbeitet.
Die Umsetzung des Risikomanagements in unterschiedlichen Teilbereichen der Informationssicherheit wie Betrieb, Notfallmanagement und Protokollierung schließt das Seminar ab.

Zielsetzung

Die Teilnehmer erhalten einen umfassenden Überblick über die Anforderungen eines
IT-Risikomanagements sowie die unterschiedliche Ansätze und Methoden.
Sie werden somit in die Lage versetzt

  • Gefährdungen im Rahmen einer Business Impact Analyse zu ermitteln,
  • Kosten-Nutzen-Analysen durchzuführen,
  • risikomindernde Maßnahmen im Rahmen einer IT-Risikostrategie zu planen und umzusetzen,
  • die Wirksamkeit der Maßnahmen zu prüfen.

Die Teilnehmer lernen im Rahmen der Risikostrategieentwicklung die Balance zwischen Aufwendungen für risikomindernde Maßnahmen und Rest-Risiken zu finden.
Darüber hinaus werden sie befähigt, das IT-Risikomanagement als Bestandteil des Gesamt-Risikomanagements der Organisation einzuordnen sowie die Anforderungen unterschiedlicher Regelungen zu integrieren.

Zielgruppe

IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, Business-Continuity-Manager, Risikomanager, Notfallmanager, Mitarbeiter aus Compliance und Controlling sowie Revision und Prüfungsämtern.

Seminarablauf

Themenüberblick, 09:30-17:00 Uhr:

  1. Anforderungen an ein IT-Risikomanagement
    • Begrifflichkeiten im IT-Risikomanagement
    • Zielsetzung und Abgrenzung eines IT-Risikomanagements
    • Gesetze, Standards und Normen zum IT-Risiko Management
    • Unterschiedliche IT-Risikomanagement-Ansätze (u.a. BSI 100-3, ISO 27005, CoBIT)
    • Prozessuales Vorgehen im IT-Risikomanagement
    • Einordnung des IT-Risikomanagements in das Notfallmanagement
  2. Erhebung der relevanten IT-Werte, Definition des erforderlichen IT-Sicherheitsniveaus
    • Grundlagen der Ermittlung von IT-Werten (Asset Management)
    • Angemessene Identifikation und Bewertung von IT-Werten im ISMS
    • Workshop – Durchführung einer Asset-Identifikation & -Bewertung
  3. Identifikation und Bewertung von IT-Risiken – Vom Allgemeinen zum Speziellen
    • Lösungsansätze zur Identifikation von IT-Risiken
    • Kriterien zur Bewertung und Analyse von IT-Risiken (Vor- und Nachteile)
    • Risikoeinschätzung und -klassifizierung
    • Nutzung von Quellen zur Identifikation von IT-Risiken
    • Workshop – Durchführung einer IT-Risiko-Identifikation & -Bewertung
  4. Behandlung und Steuerung von IT-Risiken – Zielgerichtete Maßnahmenidentifikation und Einbindung in das ISMS
    • Maßnahmenermittlung im Rahmen der IT-Risikostrategie
    • Kosten-Nutzen-Analyse
    • Planung und Umsetzungskoordination
    • Planung und Durchführung von IT-Risikoaudits
    • Pflege von Schadensdatenbanken
    • Arbeit mit Risikoindikatoren
    • Workshop – Beschreibung von IT-Risikobehandelnden Maßnahmen
  5. IT-Risikomanagement im Rahmen des Sicherheitsrisikomanagements und Schnittstellen zum organisationsweiten Risikomanagement
    • Risikodisziplinen und Möglichkeiten der Integration
Referenten
Björn  Schmelter, Managing Consultant und Product Manager bei der HiSolutions AG mit langjähriger Erfahrung im Bereich Risikomanagement. Als Schwerpunkt seiner Tätigkeit begleitet er Unternehmen und Behörden bei der Einführung von Informationssicherheits-, Business Continuity- sowie Compliance Managementsystemen und etabliert das Security Risk Management als Querschnittsfunktion der Organisationssicherheit. Björn Schmelter ist u. a. Certified Lead Auditor für Managementsysteme nach ISO27001 und BS 25999, CISA, Enterprise Risk Manager (Univ.) und Mitautor des BSI-Standards 100-4 Notfallmanagement.
Termin und Ort
Ort:
Tagungshotel
Bonn


Zeitraum:
12.09.2017 09:30 Uhr - 12.09.2017 17:00 Uhr

Preis

530,- Euro Endpreis
Das Seminar ist als Schul- und Bildungsleistung nach § 4, Nr. 21, Buchstabe a, Doppelbuchstabe bb des Umsatzsteuergesetzes von der Umsatzsteuer befreit.

Zur Anmeldung


Partner:


Veranstaltungen nach Datum


Oktober 2017 (2)

November 2017 (12)

Dezember 2017 (1)

Januar 2018 (8)

Februar 2018 (4)

März 2018 (11)

April 2018 (7)

Mai 2018 (7)

Juni 2018 (7)

September 2018 (19)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung