IT-Sicherheitsbeauftragter (Live Webtraining)
Gegenstand des Seminars

Das Live-Webtraining
Bei dem Format „Live-Webtraining“ handelt es sich um ein virtuelles Seminar, welches ein reguläres Vor-Ort-Seminar vollständig ersetzt. Sämtliche Lerninhalte werden, wie bei einem Präsenz-Seminar, zu festen Seminarzeiten live von dem Referenten über die E-Learningplattform „edudip-next“ vermittelt. Die Teilnehmer müssen lediglich über ein internetfähiges Gerät verfügen und können über Browser, ohne Softwareinstallation, am Seminar teilnehmen.

Das Format bietet den Vorteil, dass Teilnehmer die ortsunabhängigen Weiterbildungsmöglichkeiten nutzen sowie Reise- und Übernachtungskosten sparen können. Zusätzlich ist es den Teilnehmern möglich, im Nachgang jederzeit nochmals auf die aufgezeichneten Seminarvideos zuzugreifen.

Gegenstand des Seminars
IT-Sicherheitsbeauftragte sind die zentralen Ansprechpartner für Informationssicherheits-fragen innerhalb einer Behörde/Unternehmens. Sie sollen als Stabsstelle der Behörden-/Geschäftsleitung den Aufbau und die Aufrechterhaltung des Informationssicherheitsmanagementsysteme (ISMS) in einem kontinuierlichen Verbesserungsprozess planen, steuern, koordinieren und optimieren. Zu den verantwortungsvollen Aufgaben der IT-Sicherheitsbeauftragten gehören

die Beratung der Behörden-/Geschäftsleitung, die Erstellung einer Leitlinie zur Informationssicherheit, die Gesamtkoordination des Informationssicherheitsprozesses, die Initiierung von Sensibilisierungs- und Schulungsmaßnahmen, die Erstellung von Sicherheits- und Notfallkonzepten, die Untersuchung von Sicherheitsvorfällen.

Um diese komplexen Aufgaben wahrnehmen und letztlich die Schutzziele der Informationssicherheit – Verfügbarkeit, Vertraulichkeit und Integrität von Informationen – konsequent verfolgen zu können, ist eine umfangreiche und gute Ausbildung die Grundvoraussetzung für jeden IT-Sicherheitsbeauftragten.

Zielsetzung

Die hierfür notwendige Fachkunde sowie die fachlichen und methodischen Grundlagen für die praktische Anwendung der relevanten Normen und Standards erwerben die Teilnehmerinnen und Teilnehmer dieses Seminars. Den Schwerpunkt bildet die Vermittlung von Methoden- und Praxiswissen, beispielsweise in den Bereichen Risikoanalyse, Erstellung und Pflege von Sicherheitsrichtlinien und IT-Dokumentationen sowie Änderungswesen. Die ganzheitliche Ausrichtung des Kurses gewährleistet die Berücksichtigung sowohl technischer und organisatorischer als auch rechtlicher Aspekte. Das Seminar bietet darüber hinaus Raum für Diskussionen sowie Meinungs- und Erfahrungsaustausch durch unsere erfahrenen Referenten, die als externe IT-Sicherheitsbeauftragte in Unternehmen und Behörden tätig sind.

Zielgruppe

Dieses Seminar richtet sich an angehende IT-Sicherheitsbeauftragte zur Vorbereitung auf ihre Tätigkeit und an bereits tätige IT-Sicherheitsbeauftragte als Maßnahme zur Weiterbildung und Auffrischung ihrer Kenntnisse in Verbindung mit einer Zertifizierung. Zudem können sich IT-Dienstleister entsprechend qualifizieren und verantwortliche Personen aus den Bereichen IT-Sicherheit, Datenschutz, Informationstechnologie, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement weiterbilden. Das Seminar eignet sich vor allem auch für Datenschutzbeauftragte, welche sich weitergehende IT-Sicherheitskenntnisse aneignen wollen. Teilnehmer, die das Seminar mit dem Erwerb des Zertifikats „IT-Sicherheitsbeauftragter“ abschließen möchten, sollten bereits über grundlegende Kenntnisse im Bereich der Informationssicherheit verfügen.

u.U. (Technische) Anforderungen und Voraussetzungen

  • Internetfähiges Gerät (PC, Laptop, Tablet, Smartphone) und einen gängigen Browser
  • Internetzugang
  • Für Interaktion mit dem Referenten bzw. anderen Seminarteilnehmern, Gerät mit Mikrofon und evtl. Webcam, ansonsten Chatmöglichkeiten
Seminarablauf

Themenüberblick, 1.-4. Tag, jeweils 09:00-12.30 und 13.30-16:30 Uhr:

Themenüberblick, 1. Tag

Begrüßung, Vorstellungsrunde

  • Vorstellung der Teilnehmer
  • Erwartungshaltung der Seminarteilnehmer

Grundlagen und Definitionen

  • Anforderungsmanagement
  • Warum Informationssicherheit?
  • Was ist Informationssicherheit?
  • Schutzziele
  • Abgrenzung zum Datenschutz, IT-Sicherheit
  • Governance
  • ComplianceAnforderungsmanagement

Managementsysteme und Sicherheitskonzepte

  • Was ist ein Managementsystem
  • Informationssicherheitsmanagementsystem (ISMS)
  • Abgrenzung zu anderen Managementsystemen
  • ISO 27001 (ISMS)
  • ISO 9001 (QMS)
  • ISO 20000 (SMS)
  • Kennzahlen eines ISMS
  • KPI
  • KGI
  • Rollen in einem ISMS
  • Rollenunverträglichkeit
  • Was ist ein Sicherheitskonzept?

Themenüberblick, 2. Tag

ISO 27001

  • Vorstellung der ISO 27xxx-Familie
  • Vorstellung der ISO 27001
  • Grundlagen
  • Begrifflichkeiten
  • Anforderungen der ISO 27001
  • Gesamtverantwortung
  • Erklärung der Anwendbarkeit

ISO 27001 und Anhang A

  • Prozessmodell der ISO 27001
  • Plan-Do-Check-Act-Ansatz der ISO 27001
  • Vorstellung der wichtigsten Regelungsaspekte des Anhang A
  • Sicherheitsmanagement
  • Änderungsmanagement
  • Netzsicherheit
  • Sensibilisierung
  • Vorstellung der ISO 27002 als Umsetzungsrahmen

ISO 27005

  • Vorstellung der ISO 27005
  • Risikoanalysen gemäß ISO 27005
  • Risikoidentifikation
  • Risikoanalyse
  • Risikobewertung und Klassifikation
  • Risikobehandlungsoptionen
  • Risikovermeidung
  • Risikominderung
  • Risikotransfer
  • Risikoakzeptanz
  • Risikoakzeptanzkriterien
  • Risikomanagement und der Umgang mit Risiken
  • Risikobasierter Ansatz der ISO 27001

Risikoanalysen – Methoden und praktische Ansätze

  • Wie ermittle ich Risiken?
  • Informationsbeschaffung
  • Quellen
  • Methoden zur Risikoidentifikation
  • Fehlerbaumanalysen
  • Szenariomethode
  • SWOT-Analyse
  • Checklisten, Fragebögen und Interviews
  • Bewertungsskalen
  • Praxisübung zur Risikoanalyse

Themenüberblick, 3. Tag

ISMS nach BSI IT- Grundschutz

  • Was ist BSI IT-Grundschutz
  • Aufbau des IT Grundschutz
  • BSI Standard 200-1
  • BSI Standard 200-2
  • BSI Standard 200-3
  • BSI Standard 100-4
  • Gefährdungs- und Maßnahmenkataloge
  • Schutzziele
  • Bausteine – Aufbau und Anwendbarkeit
  • Vergleich zur ISO 27001

Vorgehen nach IT-Grundschutz/ Erstellung eines Sicherheitskonzeptes – Teil 1

  • Abgrenzung eines Informationsverbundes
  • Beispielhafte Abgrenzungen
  • Möglichkeiten der Abgrenzung
  • Durchführung einer Strukturanalyse
  • Aufnahme und Dokumentation von Zielobjekten
  • Arten von Zielobjekten
  • Lebensphasen von Zielobjekten
  • Verknüpfungen
  • Netzplanerhebung
  • Vollständiger Netzplan
  • Bereinigter Netzplan
  • Beispiele für komplexe Umgebungen
  • Praxisübung zur Strukturanalyse
  • Modellierung und Modellierungsvorschriften des BSI

Vorgehen nach IT-Grundschutz/ Erstellung eines Sicherheitskonzeptes – Teil 2

  • Schutzbedarfsfeststellung gemäß BSI IT-Grundschutz
  • Schutzbedarfskategorien
  • Szenarien zur Bewertung des Schutzbedarfes
  • Praxisbeispiele zur Dokumentation
  • Basissicherheitscheck
  • Durchführung des Soll-Ist-Vergleichs
  • Dokumentationsform
  • Status von Maßnahmen
  • Siegelstufen und Umsetzungserfordernisse

Vorgehen nach IT-Grundschutz/ Erstellung eines Sicherheitskonzeptes – Teil 3

  • Praxisübung zum Basissicherheitscheck
  • Ergänzende Sicherheitsanalyse
  • Höherer Schutzbedarf
  • Fehlende Modellierbarkeit
  • Risikoanalyse nach BSI Standard 100-3
  • Vorgehen
  • Gefährdungskataloge
  • G0-Gefährdungen
  • Praxisbeispiel/Übung
  • Benutzerdefinierte Bausteine

Themenüberblick, 4. Tag

Dokumente eines ISMS – Teil 1

  • Prozess der Dokumentenlenkung
  • Dokumenten-Pyramide
  • Strategische Ebene
  • Taktische Ebene
  • Operative Ebene
  • Mitwirkungspflichten
  • Leitlinie zur Informationssicherheit
  • Aufbau
  • Inhalt
  • Praxisübung

Dokumente eines ISMS – Teil 2

  • Dokumententypen
  • Richtlinien
  • Konzepte
  • Arbeitsanweisungen
  • A0-Dokumenten nach BSI IT-Grundschutz
  • RL zur Lenkung von Dokumenten und Aufzeichnungen
  • RL zur internen Auditierung
  • RL zum Risikomanagement
  • RL zu Vorbeuge- und Korrekturmaßnahmen
  • Wichtige Regelungsinhalte
  • Tipps zum Erstellen von Regelungsdokumenten

Praxis der Erstellung von Sicherheitskonzepten

  • Schutzbedarfsfeststellung in der Praxis
  • Vererbung des Schutzbedarfs
  • Maximumprinzip
  • Kumulationseffekt
  • Verteilungseffekt
  • Aufbau von Referenzen
  • Benutzerdefinierte Bausteine
  • Textbausteine
  • Maßnahmenreferenzierung
  • Entbehrlichkeit von Maßnahmen anhand von praktischen Beispielen

ISMS-Tools und weitere unterstützende Tools

  • Dokumentation von Sicherheitskonzepten
  • Einsatz von gängigen ISMS-Tools
  • CMDB
  • Abgrenzung zu Inventaren
  • Möglichkeiten
  • Nutzen für die IT-Dokumentation

Diskussion, Feedback

  • Die Teilnehmer können Rückfragen zum Seminar stellen und gegebenenfalls weitere individuelle Diskussionspunkte einbringen.

Themenüberblick, 5. Tag, 09:30-12:00 Uhr:

Am fünften Tag erfolgt am Vormittag eine zusammenfassende Vortragsveranstaltung und am Nachmittag wird eine Prüfungsklausur, die im Falle ihres Bestehens zur Zertifizierung führt, angeboten. Sollte die Teilnahme an der Prüfungsklausur nicht gewünscht bzw. die Prüfung nicht bestanden werden, kann eine Teilnahmebescheinigung ausgestellt werden.

Referenten
Heiko  Fauth, BSI-lizensierter Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz, IS-Revisions- und IS-Beratungsexperte sowie zertifizierter Datenschutzbeauftragter nach dem Ulmer-Modell. Er ist auf die Vorbereitung, Umsetzung und Auditierung von Risiko- und IS-Managementsystemen nach ISO/IEC 27001 und BSI IT-Grundschutz spezialisiert, sowie als externer Datenschutzbeauftragter bei zahlreichen namhaften national und international tätigen Unternehmen aus verschiedensten Wirtschaftsbereichen bestellt. Herr Fauth war über 20 Jahre für Sicherheitsbehörden tätig, unter anderem mehr als 6 Jahre als IT-Sicherheitsbeauftragter und IT-Grundschutz-Auditor.
Termin und Ort
Zeitraum:
10.06.2019 09:00 Uhr - 14.06.2019 12:00 Uhr

Preis

1.299,- Euro zzgl. MwSt.

Prüfungsgebühr:
150,- Euro zzgl. MwSt.

Zur Anmeldung


Partner:



Veranstaltungen nach Datum


November 2018 (1)

Dezember 2018 (2)

Januar 2019 (7)

Februar 2019 (8)

März 2019 (20)

April 2019 (9)

Mai 2019 (15)

Juni 2019 (12)

September 2019 (22)

Oktober 2019 (4)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung