Kursüberblick
Die Einführung und die Inbetriebnahme eines Informationssicherheitsmanagementsystems (ISMS) sind je nach Größe und Geschäftszweck der Organisation mit erheblichen und zudem schwer kalkulierbaren Aufwendungen verbunden. Insbesondere die Ausrichtung des ISMS an der Norm ISO 27001 bedingt häufig die Unterstützung durch externe Beratung, um die gestellten Anforderungen der Norm an den Bedürfnissen der Organisation auszurichten. Das liegt unter anderem an der internationalen Reichweite, dem generischen Vokabular und den nicht ausformulierten Methodiken der ISO-Norm.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich seit vielen Jahren umfassend mit dem Vokabular und den Methodiken der ISO 27001 und hat darauf basierend die nunmehr aktuellen BSI-Standards 200-1, 200-2 und 200-3 sowie das BSI IT-Grundschutz-Kompendium veröffentlicht. Darin wird ein deutschsprachiges Best-Practice für die anschauliche Vermittlung von Fachbegriffen der Informationssicherheit sowie für eine prozessgesteuerte Methodenkompetenz zur Initiierung, Etablierung und zum Betrieb eines ISMS beschrieben, welches kompatibel zur ISO 27001 ist.
Insbesondere bei öffentlichen Einrichtungen und Behörden sowie bei deren Dienstleistern und Zulieferern ist der BSI IT-Grundschutz mittlerweile vielfach verbindlich anzuwenden, aber auch darüber hinaus ist er durch seine greifbaren Verzüge im Vergleich zur nativen ISO 27001 längst im ISMS-Umfeld etabliert.
Der BSI IT-Grundschutz bietet zudem die Chance eine nachhaltige interne Expertise aufzubauen, denn die Dokumente des BSI IT-Grundschutz sind nicht nur lesbar und verständlich, sondern sie stehen in der Regel kostenfrei digital zur Verfügung.
Um ein mögliches Selbststudium durch eine qualifizierte Ausbildung und Personenzertifizierung zu unterstützen hat das BSI ein Schulungsprogramm für den BSI IT-Grundschutz-Praktiker und den BSI IT-Grundschutz-Berater entwickelt.
Für die Vermittlung der Fachbegriffe und Methoden gemäß den BSI-Standards und dem BSI IT-Grundschutz-Kompendium hat das BSI separate Regeln in einem Curriculum festgelegt, um vergleichbare Schulungsformate wie unsere Ausbildung zum BSI IT-Grundschutz-Praktiker zu erzeugen.
Unsere Ausbildung zum BSI IT-Grundschutz-Praktiker (DGI®) erfüllt das Curriculum sowie die Qualifizierungsanforderungen des BSI.
Im Rahmen unserer Ausbildung lernen Sie demnach auf der Basis der Methoden der BSI-Standards den ISMS-Prozess, das Stufenmodell für die Einführung und den Betrieb eines ISMS sowie den Aufbau und die Spezifikationen der ISMS-Aufbau Organisation kennen.
Weiterhin vermitteln wir die Vorgehensweise für die Kommunikation zwischen der Organisation und den internen und externen Stakeholdern im Informationssicherheitsmanagement.
Für die Bestimmung der Kritikalität von Informationen und Daten erläutern wir die Durchführung einer Schutzbedarfsfeststellung sowie deren Verknüpfung zur Risikoanalyse und leiten daraus die Sicherheitsmaßnahmen für die Gewährleistung eines ordnungsgemäßen, konformen und zuverlässigen Geschäftsbetriebs ab.
Nicht zuletzt vermitteln wir die Struktur und die Anforderungen des BSI IT-Grundschutz-Kompendiums für die Entwicklung und Dokumentation von organisationsspezifischen Sicherheitskonzepten und beschreiben wesentliche Aktivitäten für die Überwachung und fortlaufende Verbesserung eines ISMS.
Zielgruppe
- Angehende Informationssicherheitsbeauftragte
- IT-Leitung
- IT-Administratoren
- Verantwortliche in der Informationssicherheit
- Verantwortliche im Risikomanagement
- Verantwortliche im Business Continuity Management
- Verantwortliche in der Revision / IT-Revision
- Führungskräfte
Voraussetzungen
keine
Kursziele
Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich des Informationssicherheitsmanagements sowie des erforderlichen Fachwissens für die Anwendung der Begriffe und Methoden gemäß den BSI-Standards und dem BSI IT-Grundschutz-Kompendium.
In Abgrenzung zu der Ausbildung zum IT-Sicherheitsbeauftragten (ITSiBe) / Chief Information Security Officer (CISO) (DGI®) wird in dieser Ausbildung vertiefend auf die Ausgestaltung eines organisationsspezifischen ISMS gemäß den BSI-Standards und dem BSI IT-Grundschutz-Kompendium eingegangen.
Unter Zuhilfenahme von Leseproben zu relevanten Konzepten und Regelungen eines ISMS werden die Umfänge und die Formulierungen von geforderten Nachweisen des ISMS umfassend dargelegt.
Nach Abschluss der Ausbildung können Sie ein BSI-IT-Grundschutz konformes ISMS initiieren und die Managementprozesse des ISMS bis hin zur Zertifizierungsreife entwickeln.
Kursinhalt
- Rechtliche Anforderungen an die Informationssicherheit
- Fachbegriffe des BSI IT-Grundschutz und der Informationssicherheit
- Zusammenwirken des BSI IT-Grundschutz mit der ISO 27001
- IT-Management und Informationssicherheit
- Informationssicherheitsstrategie
- Informationssicherheitsleitlinie
- Ziele der Informationssicherheit
- Planung, Initiierung, Betrieb, Kontrolle und Aufrechterhaltung eines ISMS
- Wesentliche Schritte für die Einführung eines ISMS
- Ressourcen und Fähigkeiten zum Betrieb eines ISMS
- IT Compliance
- IT Governance
- NIS2 und KRITIS
- Überblick ITIL (Servicemanagement)
- IT Controlling
- Kennzahlen und KPIs der Informationssicherheit
- Aufgaben des Informationssicherheitsbeauftragten bei der Planung, Kontrolle und Steuerung des ISMS
- Befugnisse des Informationssicherheitsbeauftragten
- Die Sicherheitsorganisation und Rollen im ISMS
- Verteilung der Verantwortlichkeiten des ISMS auf der Basis des „PDCA-Modells“
- Die BSI-Standards
- 200-1 „Managementsysteme für Informationssicherheit“
- 200-2 „IT-Grundschutz-Methodik“
- 200-3 „Risikoanalyse auf Basis von IT-Grundschutz“
- 200-4 „Business Continuity Management“
- Stufenmodell für die Etablierung eines ISMS nach der Vorgehensweise
- Basisabsicherung
- Standardabsicherung
- Kernabsicherung
- Inventarisierung und Erfassung des Informationsverbundes
- Strukturanalyse und Netzplanerhebung
- Erfassung der Geschäftsprozesse und Anwendungen sowie zugehöriger Informationen
- Erhebung der IT- und ICS-Systeme, der Räume und der Kommunikationsverbindungen
- Schutzbedarfsfeststellung
- Definition der Schutzbedarfskategorien
- Maximumprinzip, Verteilungs- und Kumulationseffekt
- Modellierung eines Informationsverbunds gemäß BSI IT-Grundschutz Kompendium
- Das BSI IT-Grundschutz-Kompendium
- Prozess-Bausteine
- Systembausteine
- Technische Richtlinien des BSI
- IT-Grundschutz-Check
- Informationssicherheitsrisikomanagement gemäß BSI-Standard 200-3
- IT-Risikolagen und Bedrohungsszenarien u. a. der Cyber-Security
- Die IT-Risikobehandlung und Maßnahmenumsetzung
- Die Erstellung eines IT-Sicherheitskonzeptes
- IT-Sicherheitszertifizierungen und Auditierung auf der Basis von IT-Grundschutz
- Zusammenwirken mit dem Business Continuity Management (BCM) gemäß BSI-Standard 200-4
- Hilfsmittel zur Umsetzung eines ISMS
- Kritischer Austausch zu relevanten Fragestellungen
Deutsch
Deutschland