Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich
Gegenstand des Seminars

In Deutschland gebräuchliche Standards zur Implementierung eines Informationssicherheitsmanagements sind der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die ISO 27001. Das Seminar behandelt dazu folgende Fragestellungen:

  • Wie werden diese beiden Standards in der Praxis angewendet?
  • Wie unterscheiden sich die beiden Vorgehensweisen in der Praxis?
  • Für welche Prozesse, Informationen und IT-Infrastrukturen innerhalb einer öffentlichen Verwaltung ist welche Vorgehensweise am ehesten geeignet?
  • Kann man ggf. Elemente beider Standards miteinander kombinieren?
  • Was bedeutet ein Umstieg von einem Standard auf den anderen?
Zielsetzung

Das Seminar ermöglicht einen Einblick in beide Welten eines ISMS. Die Kernelemente des Grundschutzes (BSI-Standards 200-x) werden ebenso aufgezeigt wie die Herangehensweise zur Etablierung eines ISMS nach ISO/IEC DIN 27001:2017. Für einzelne Methoden-Elemente werden kurze Beispiele in Diskussion und Praxis aufgegriffen, um durch die bzw. mit den Teilnehmern den Einstieg zu konkretisieren und den Vergleich besser zu veranschaulichen zu können. Sie können auch eigene Beispiele und Fragen mitbringen (ggf. verallgemeinert oder anonymisiert), welche im Seminarverlauf kurz reflektiert werden können.
Die Teilnehmer erhalten durch die kompakte Behandlung der beiden ISMS-Schemata eine gute Möglichkeit, um die Unterschiede im Vorgehen und einen Vergleich der Ergebnisse beider Methoden anstellen zu können.

Wenn Sie beabsichtigen in Ihrer Institution ein Informationssicherheitsmanagement (neu) aufzubauen, hilft Ihnen dieses Praxisseminar, die für Sie angemessene Vorgehensweise zu ermitteln bzw. geeignete Wege zur Verbindung der jeweiligen Stärken zu nutzen. Sie können die Hinweise aus dem Seminar auch nutzen für einen bereits eingeschlagenen Weg zur Zertifizierung.

Zielgruppe

Dieses Seminar richtet sich insbesondere an IT-Sicherheitsbeauftragte, CIOs und verantwortliche Personen aus den Bereichen Informationssicherheit, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement. Durch die äußerst kompakte und zeitlich geraffte Darstellung aller wesentlichen Elemente zum IT-Grundschutz nach BSI bzw. zur ISO 27001 ist es vorteilhaft, wenn die Teilnehmer bereits Grundbegriffe aus einem der ISMS-Schemata kennen.

Seminarablauf

Themenüberblick, 10:00–17:00 Uhr:

TEIL I – Informationssicherheit und ISMS – Grundbegriffe und Methoden

  • Hintergründe und Motivation für Informationssicherheit und für ein ISMS
  • Grundbegriffe und Prinzipien für beide Standards
  • Risikoanalyse als verbindendes Element

TEIL II – Informationssicherheit in der Praxis nach IT-Grundschutz

  • Grundbegriffe aus der Vorgehensweise im Überblick
  • Etablierung des Sicherheitsprozesses
  • Varianten der Herangehensweise
  • Migration von Grundschutz „classic“ – was ist zu beachten
  • Sicherheitsorganisation und -leitlinie
  • Definition des Informationsverbundes
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung anhand der Grundschutzbausteine
  • IT-Grundschutz-Check als Status und in der Vertiefung
  • Umsetzungshinweise und Alternativen dazu
  • Möglichkeiten für eine Risikoanalyse
  • Erstellung eines Realisierungsplans
  • Chancen und Problempunkte des BSI-Grundschutzes im Überblick

TEIL III – Informationssicherheit in der Praxis nach ISO 27001

  • Überblick zu ISO 270xx
  • Struktur der ISO 27001, Verhältnis zur ISO 27002
  • Definieren des Untersuchungsbereichs
  • Festlegen einer Sicherheitspolitik
  • Bestimmung der Werte bzw. Wertobjekte
  • Methodik zur Risikoanalyse
  • Kriterien zur Riskoakzeptanz und -beurteilung
  • Bedrohungs- und Schwachstellenanalyse
  • Ermittlung und Behandlung von Informationssicherheitsrisiken
  • Kernprozesse des Informationssicherheits-Managementsystems (ISMS)
  • Festlegung möglicher Maßnahmen zur Risikobehandlung
  • Abbildung der Maßnahmen auf den Anhang A – die Erklärung zur Anwendbarkeit
  • Ermittlung des Umsetzungsgrades dieser Maßnahmen
  • Messbarkeit und Berichtswesen
  • Überprüfung und Verbesserung des Managementsystems
  • Resümee der festgestellten Charakteristika sowie der Vor- und Nachteile der Vorgehensweise nach ISO 27001

TEIL IV – Vergleich im Überblick – Stärken der jeweiligen Standards

  • Gegenüberstellung festgestellter Charakteristika der Vorgehensweisen
  • Übergangsmöglichkeiten zwischen den Standards oder „Rosinenpicken“
Referenten
Reto  Lorenz, Geschäftsführer der secuvera GmbH, verfügt über mehr als 20 Jahre an Erfahrung im Bereich der Informationssicherheits-Managementsysteme, Sicherheitskonzepte und Risikoanalysen. Er ist BSI-zertifizierter Auditteam-Leiter und IS-Revisor sowie ISO 27001-Lead-Auditor. Darüber hinaus ist er BSI-geprüfter Evaluator und damit berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. Herr Lorenz ist Autor und hat zum Thema der Weiterentwicklung und Verbindung des BSI-Grundschutzes mit der Norm ISO 27001:2013 schon frühzeitig u. a. einen Fachartikel (siehe kes 01-2014 secumedia-Verlag) veröffentlicht. Er war aktiv in die Workshop-Runden zur Erneuerung des BSI-Grundschutzes eingebunden. In großen und komplexen Informationsverbünden, die eine kreative Herangehensweise erfordern, war Herr Lorenz sowohl prüfend als auch beratend tätig. Er engagiert sich in Bundesarbeitsgruppen zur Etablierung von ISMS-Strukturen und -Modellen in einem eher verzweigten behördlichen Umfeld. Die Ausrichtung eines ISMS auf pragmatische und effiziente Methoden steht im Vordergrund. Besonders für die ISO 27001 strebt secuvera eine Konkretion der Etablierung und Umsetzung an, um entlang des vergleichsweise offenen Standards zu einem hohen und nachweisbaren Sicherheitsniveau zu kommen.
Termin und Ort
Ort:
Tagungshotel (wird noch bekannt gegeben)
Bonn


Zeitraum:
26.09.2019 10:00 Uhr - 26.09.2019 17:00 Uhr

Preis
490,- Euro zzgl. MwSt.
Zur Anmeldung


Partner:



Veranstaltungen nach Datum


November 2018 (1)

Dezember 2018 (2)

Januar 2019 (7)

Februar 2019 (8)

März 2019 (20)

April 2019 (9)

Mai 2019 (15)

Juni 2019 (12)

September 2019 (22)

Oktober 2019 (4)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung