Course Overview
Die stetig wachsende Komplexität bei der Planung und Ausübung von Geschäfts- und Produktionsprozessen einer Organisation geht unter anderem damit einher, dass in Bezug auf zu treffende Entscheidungen zahlreiche rechtliche, technische, organisatorische und personelle Bedingungen und Einflüsse abgewogen werden müssen.
Als Nebeneffekte dieser Komplexität mangelt es in vielen Organisationen nicht selten an Klarheit über Zuständigkeiten und Verantwortlichkeiten für zu treffende Entscheidungen sowie an Effektivität und Effizienz bei der Ausübung der IT-gestützten Geschäfts- und Produktionsprozesse.
Die Haupttätigkeit eines IT Risk Managers besteht darin, die Geschäftsführung bzw. oberste Leitung bei der Erfüllung ihrer Organisationspflichten zur Sicherstellung der gesetzlich geforderten Risikofrüherkennung und Risikominimierung im Zusammenhang mit der Bereitstellung und Nutzung von Informationstechnik (IT) zu unterstützen, Entscheidungen der Verantwortlichen sachgerecht und revisionssicher herzuleiten sowie Kriterien für die Festlegung der Risikoakzeptanz zu entwickeln.
Dazu entwickelt der IT Risk Manager eine IT-Risikostrategie und stimmt diese mit der Geschäftsführung bzw. obersten Leitung ab, um ein akzeptables Informationssicherheitsrisikoniveau im Einklang mit den Organisationszielen zu etablieren.
Für die Abstimmung und die anschließende Umsetzung der IT-Risikostrategie orientieren sich sachkundige IT Risk Manager regelmäßig an der international anerkannten Norm ISO 27005 und initiieren ein organisationsspezifisches IT-Risikomanagement.
Im Rahmen des IT-Risikomanagement erstellen IT Risk Manager Konzepte und Regelungen für die Durchführung von IT-Risikobeurteilungen sowie für die Planung und Umsetzung der Risikobehandlung.
Bei der Durchführung von IT-Risikobeurteilungen identifizieren, analysieren und bewerten IT Risk Manager die Schwere und die Eintrittswahrscheinlichkeit von spezifischen Bedrohungslagen und Schwachstellen sowie von potenziellen Auswirkungen bei der Bereitstellung und Nutzung von IT. Auf der Basis der Ergebnisse der IT-Risikobeurteilungen leiten IT Risk Manager sodann die verschiedenen Optionen für die Beibehaltung, Vermeidung, Modifikation oder Teilung der bewerteten Risiken ab und führen relevante Entscheidungen für die Maßnahmenumsetzung bei den Verantwortlichen herbei.
Als Nachweis der Aktivitäten des IT Risk Managers und darüber hinaus für die erfolgreiche Integration des IT-Risikomanagements in das zentrale Sicherheitsmanagement der Organisation müssen IT Risk Manager die dafür relevanten Managementprozesse etablieren und steuern sowie die erforderliche Dokumentation erstellen und fortlaufend weiterentwickeln.
Weitere Aufgaben, die in die Zuständigkeit eines IT Risk Manager fallen, sind nicht zuletzt die Mitwirkung im zentralen Sicherheitsmanagement der Organisation bei der Festlegung von Schadensklassen, Wahrscheinlichkeitsklassen und Risikoklassen für die bestmögliche Konsolidierung von Risiken aus korrelierenden Risikogebieten wie Datenschutz, Business Continuity, Compliance, Revision etc..
Who should attend
- Angehende IT Risk Manager
- IT-Leitung
- IT-Administratoren
- IT-Sicherheitsbeauftragte / Chief Information Security Officer
- Verantwortliche im Risikomanagement
- Verantwortliche in der Revision / IT-Revision
- Führungskräfte
- Projektleitung
- Unternehmensberater
- Wirtschaftsprüfer
Prerequisites
keine
Course Objectives
Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von relevanten Fachbegriffen aus dem Bereich des IT-Risikomanagement, der typischen Aufgaben eines IT Risk Managers sowie der erforderlichen Sachkenntnisse für den Aufbau eines IT-Risikomanagement.
Unter Zuhilfenahme von zahlreichen Leseproben zu relevanten Konzepten und Regelungen eines IT-Risikomanagement werden die Umfänge und die Formulierungen von geforderten Nachweisen des IT-Risikomanagement umfassend dargelegt.
Nach Abschluss der Ausbildung können Sie ein normenkonformes IT-Risikomanagement initiieren und die Managementprozesse des IT-Risikomanagement organisationsspezifisch weiterentwickeln.
Course Content
- Rechtliche Anforderungen an das IT-Risikomanagement
- Fachbegriffe der Normen und des IT-Risikomanagement
- IT-Management und IT-Risikomanagement
- IT-Risikostrategie
- Risikomanagementhandbuch
- Ziele des IT-Risikomanagement
- Bedrohungslagen, Schwachstellen und Auswirkungen im Kontext der IT
- IT Compliance
- IT Governance
- NIS2 und KRITIS
- Überblick ITIL (Servicemanagement)
- Kennzahlen und KPIs des IT-Risikomanagement
- Aufgaben des IT Risk Managers bei der Planung, Kontrolle und Steuerung des IT-Risikomanagement
- Befugnisse des IT Risk Managers
- Das Sicherheitsmanagement einer Organisation
- Verteilung der Verantwortlichkeiten auf der Basis des „PDCA-Modells“
- ISO 27005
- Zusammenwirken mit weiteren ISO-Normen
- Planung, Initiierung, Betrieb, Kontrolle und Aufrechterhaltung eines IT-Risikomanagement
- Wesentliche Schritte für die Einführung eines IT-Risikomanagement
- Ressourcen und Fähigkeiten zum Betrieb eines IT-Risikomanagement
- Integration des IT-Risikomanagement in bestehende Prozesse und Strukturen
- Inventarisierung und Erfassung des Informationsverbundes
- Business Impact Analysen (BIA)
- Schutzbedarfsfeststellungen
- Datenschutz-Folgenabschätzungen (DSFA)
- IT-Risikolagen und Schadensszenarien
- IT-Risikobehandlung und Maßnahmenumsetzung
- Erstellung relevanter Konzepte und Regelungen im IT-Risikomanagement
- Überwachung der Aktivitäten im IT-Risikomanagement
- Best Practice „BSI-Standard 200-3“
- IT-Risikomanagement in Audits
- Kritischer Austausch zu relevanten Fragestellungen
German
Germany