Informationssicherheitsbeauftragte/r in der öffentlichen Verwaltung

Informationssicherheitsbeauftragte sind die zentralen Ansprechpartner für Informationssicherheitsfragen innerhalb einer Behörde. Sie sollen als Stabsstelle der Behördenleitung den Aufbau und die Aufrechterhaltung des Informationssicherheitsmanagementsystems (ISMS) in einem kontinuierlichen Verbesserungsprozess planen, steuern, koordinieren und optimieren. Zu den verantwortungsvollen Aufgaben der Informationssicherheitsbeauftragten gehören:

  • die Beratung der Behördenleitung,
  • die Beratung der Mitarbeiter,
  • die Erstellung einer Leitlinie zur Informationssicherheit,
  • die Gesamtkoordination des Informationssicherheitsprozesses,
  • die Initiierung von Sensibilisierungs- und Schulungsmaßnahmen,
  • die Erstellung von Sicherheits- und Notfallkonzepten,
  • die Untersuchung von Sicherheitsvorfällen,
  • die Koordination mit anderen Stellen, bspw. IT, Datenschutzbeauftragte.

Um diese komplexen Aufgaben wahrnehmen und letztlich die Schutzziele der Informationssicherheit – Verfügbarkeit, Vertraulichkeit und Integrität von Informationen – konsequent verfolgen zu können, ist eine umfangreiche und gute Ausbildung die Grundvoraussetzung für jeden Informationssicherheitsbeauftragten.

Die Schulung „Informationssicherheitsbeauftragte/r in der öffentlichen Verwaltung“ ist auf vier (4) aufeinander folgende Schulungstage angelegt. Am fünften Schulungstag findet die Prüfung durch die Personenzertifizierung des TÜV Rheinland (PersCert) statt. Die Teilnehmenden sollen grundlegende Kenntnisse und Fähigkeiten für die Ausführung von Tätigkeiten des Informationssicherheitsbeauftragten bzw. im Informationssicherheitsmanagement auffrischen und vertiefen.

Die Teilnehmerinnen und Teilnehmer erwerben im Rahmen dieses Seminars die notwendige Fachkunde sowie die fachlichen und methodischen Grundlagen für die praktische Anwendung der relevanten Normen und Standards für ihre Arbeit als Informationssicherheitsbeauftragte. Den Schwerpunkt bildet die Vermittlung von Methoden- und Praxiswissen, beispielsweise in den Bereichen Risikoanalyse, Erstellung und Pflege von Sicherheitsrichtlinien und IT‑Dokumentationen sowie Änderungswesen. Die ganzheitliche Ausrichtung des Kurses gewährleistet die Berücksichtigung sowohl technischer und organisatorischer Aspekte. Das Seminar bietet darüber hinaus Raum für Diskussionen sowie Meinungs- und Erfahrungsaustausch.

Seminarablauf

  • 1. Tag – Anforderungen; Rechtliche und organisatorische Rahmenbedingungen für Informationssicherheit
    • Begrüßung / Einleitung
    • Informationssicherheit – Anforderungen
      • Grundlagen
        • Grundbegriffe: Informationssicherheit, Datensicherheit, Datensicherung, Datenschutz, Authentisierung, Autorisierung, u. a.
        • Ganzheitliche Informationssicherheit: Ziele, Werte, Definitionen
    • Gefährdungen – Rahmenbedingungen – Anforderungen
      • Typische Gefährdungen der IT
      • Gruppenaufgabe zur Darstellung wichtiger Gefährdungstrends:
        • Schadsoftware
        • Sicherheitslücken
        • Botnetze
        • Identitätsdiebstahl
      • Funktionen der Einrichtungen des Bundes für Informationssicherheit:
        • Das BSI
        • CERT-Bund
    • Rechtliche und organisatorische Rahmenbedingungen für IT-Sicherheit
      • Allgemeine Anforderungen:
        • Cyber-Sicherheitsstrategie und UP-Bund
      • Rechtliche Vorgaben aus relevanten Gesetzen:
        • Urheberrecht
        • Ausblick Datenschutz
        • Behörden im Internet
        • Vorratsdatenspeicherung
        • Strafgesetzbuch
      • Haftung
        • Personenhaftung, Amtshaftung
        • Anforderungen an IS und Leitung
        • Angemessene und nachweisbare Maßnahmen ergreifen und dokumentieren
  •  2. Tag – Datenschutz und Informationssicherheit; Standards und Zertifizierung; IT-Sicherheitsmanagement und Leitlinie
    • Datenschutz und Informationssicherheit
      • Grundlagen zum Datenschutz
      • DSGVO, BDSG
      • Gefährdungen
      • Aufgabenbereiche & Zusammenarbeit DSB und ISB
    • Standards und Zertifizierung
      • Überblick: Standards und Normen
        • ISO 2700X
        • ITIL und ISO 20000
        • COBIT
        • ISO 99001
        • ISO 22301
        • S-O-S Methode
      • Zertifizierung
        • Zertifizierung eines ISMS
        • Zertifizierung von Produkten
        • Zertifizierung von Prüfstellen und Dienstleistern
        • Zertifizierung von Personen
    • IT-Sicherheitsmanagement und Leitlinie
    • IT-Sicherheitsmanagement – Anforderungen und Aufgaben des ISB
      • Aufgaben des ISB
        • Kommunikative Aufgaben
        • Erstellung von Leitlinien, Richtlinien, Dienstanweisungen
        • Schulungs- und Sensibilisierungsmaßnahmen
        • Sicherheitsvorfälle erkennen und behandeln
      • IS-Management und Einbindung des ISB
    • Die IT-Sicherheitsleitlinie
      • Fallbeispiele für Sicherheitsleitlinien
      • Anwendungsbezogene Sicherheitsleitlinien
      • Übung: Erstellung einer Sicherheitsleitlinie
  • 3. Tag – IS nach IT-Grundschutz; Sensibilisierungs- und Schulungskonzept
    • Begrüßung / Einleitung/Beantwortung von Fragen vom Vortag
    • IS nach IT-Grundschutz
    • Wiederholung: IT-Grundschutz Standards und Kataloge
      • BSI-Standard 200-1
      • BSI-Standard 200-2
      • BSI-Standard 200-3
      • BSI-Standard 100-4
      • IT-Grundschutz-Kompendium
        • B: Bausteine
        • G: Gefährdungen
        • A: Anforderungen
    • IT-Grundschutz als Grundlage eines professionellen Sicherheitskonzeptes
      • Initiierung des IT-Sicherheitsprozesses
        • Erstellung der Leitlinie
    • Vorgehensweise nach Basis-, Kern- und Standard-Absicherung
      • IT-Strukturanalyse
      • Schutzbedarfsfeststellung
      • Modellierung Ergänzende Sicherheitsanalyse
      • Basis-Sicherheitscheck
      • Überblick Risikoanalyse
      • Realisierungsplanung
      • Gruppenaufgabe zur Standard-Absicherung
    • Grundschutz-Werkzeuge
    • Sensibilisierungs- und Schulungskonzept
      • Ziele
      • Abgrenzung: Schulung – Sensibilisierung
      • Entwicklung von Schulungs- und Sensibilisierungskonzepten
      • Übung: Erstellen eines Schulungs- / Sensibilisierungskonzeptes
      • Beispiele für Sensibilisierungskampagnen
  • 4. Tag – Behandlung von Sicherheitsvorfällen und Notfallvorsorge; Aufrechterhaltung der IS und Revision; IT-Krisenmanagement in der Bundesverwaltung
    • Begrüßung / Einleitung/Beantwortung von Fragen vom Vortag
    • Behandlung von Sicherheitsvorfällen und Notfallvorsorge
      • Sicherheitsvorfälle
        • Was sind Sicherheitsvorfälle?
        • Anforderungen an den Umgang mit Sicherheitsvorfällen
        • Verantwortlichkeiten
        • Verhaltensregeln und Meldewege
        • Eskalationsstrategien
        • Umsetzung von Maßnahmen
        • Nachbearbeitung und Dokumentation
      • Notfallvorsorge
        • Notfallhandbuch
        • Computer-Notfallteam
        • Notfallmanagement
        • BSI-Übungen
    • Aufrechterhaltung der IT-Sicherheit und Revision
      • Aufgabenstellung
      • IS-Revisionen und Audits
      • Penetrationstests
      • Informationsfluss im IS-Prozess
      • Nachhaltigkeitsstrategien und Change Management
    • IT-Krisenmanagement in der Bundesverwaltung (und im Freistaat Bayern)
      • Einsatzes der Informationstechnik und die Folgen für Staat und Gesellschaft
      • Aktuelle Entwicklungen
      • IT-Sicherheitsgesetz, KRITIS
  • 5. Tag – Vorbereitung und Durchführung der Zertifikatsprüfung durch TÜV Rheinland
  • Patrick Hoffmann

Informationssicherheit – Anforderungen / Gefährdungen – Rahmenbedingungen – Anforderungen / Rechtliche und organisatorische Rahmenbedingungen für IT-Sicherheit /

  • Patrick Hoffmann

Datenschutz und Informationssicherheit / Standards und Zertifizierung / IT-Sicherheitsmanagement und Leitlinie/ IT-Sicherheitsmanagement – Anforderungen und Aufgaben des ISB / Die IT-Sicherheitsleitlinie

  • Patrick Hoffmann

IS nach IT-Grundschutz / IT-Grundschutz als Grundlage eines professionellen Sicherheitskonzeptes / Vorgehensweise nach Basis-, Kern- und Standard-Absicherung / Grundschutz-Werkzeuge / Sensibilisierungs- und Schulungskonzept

  • Patrick Hoffmann

Behandlung von Sicherheitsvorfällen und Notfallvorsorge / Aufrechterhaltung der IT-Sicherheit und Revision / IT-Krisenmanagement in der Bundesverwaltung (und im Freistaat Bayern)

  • Patrick Hoffmann

Vorbereitung und Durchführung der Zertifikatsprüfung durch TÜV Rheinland

Noch Fragen?

Details

16. November 2020 10:00
20. November 2020 12:00
Bonn