Chief Information Security 
Officer

• Diese Schulung hat das Ziel, die Teilnehmer auf die DEKRA Chief Information Security Officer (CISO) Prüfung vorzubereiten.

• Die Rolle und Verantwortlichkeiten eines CISO im Kontext der Unternehmensführung zu verstehen und auszuführen.

• Strategische Steuerung von Prozessen wie PDCA (Plan-Do-Check-Act) und KVP (Kontinuierlicher Verbesserungsprozess) zu übernehmen.

• Aktuelle und potenzielle Bedrohungen und Risiken der Informationssicherheit zu bewerten und geeignete Strategien zur Risikominderung zu entwickeln.

• Verschiedene Sicherheitstechnologien zu bewerten und effektiv einzusetzen.

• Rechtliche Aspekte der Informationssicherheit zu verstehen und Compliance-Anforderungen zu erfüllen.

• Ein effektives Informationssicherheitsmanagement zu implementieren und zu steuern, einschließlich der Entwicklung und Durchführung von Sicherheitsaudits.

• Effektive Maßnahmen zur Incident Response und zum Management von Sicherheitsvorfällen zu implementieren.

• Die Performance des Informationssicherheitsmanagementsystems (ISMS) anhand von KPIs zu bewerten und zu lenken.

• Eine umfassende und effektive Risikoanalyse und -bewertung gemäß BSI-Standard 200-3 durchzuführen.

• Teilnehmer, die bereits den Grundlagenkurs zum Information Security Officer (ISO) abgeschlossen haben oder über äquivalentes Wissen verfügen.

• Dieses Konzept richtet sich an Führungskräfte und Manager, die eine Position als Chief Information Security Officer (CISO) anstreben oder ihre Fähigkeiten in diesem Bereich vertiefen wollen.

Dieser Kurs bietet eine Mischung aus detaillierten Vorträgen, interaktiven Workshops, Gruppenübungen und Fallstudienanalysen. Durch die aktive Beteiligung der Teilnehmer wird eine praxisnahe Lernerfahrung sichergestellt.

​

• Sie erwerben ein tieferes Verständnis für die Rollen, Verantwortlichkeiten und Erwartungen an einen CISO, einschließlich der strategischen Aspekte der Informationssicherheit und des Risikomanagements.

• Durch den Kurs erlangen die Teilnehmer praktische Fähigkeiten in Schlüsselbereichen der Informationssicherheit, wie z.B. Sicherheitsmanagement, Risikoanalyse, Compliance und Incident Response.

• Sie erhalten aktuelle Informationen über Bedrohungen und Risiken der Informationssicherheit sowie über moderne Sicherheitstechnologien und Best Practices.

• Der Kurs bereitet die Teilnehmer darauf vor, eine Führungsrolle in der Informationssicherheit zu übernehmen und erfolgreiche Sicherheitsprogramme in ihrem Unternehmen zu implementieren und zu leiten.

Die Schulung erstreckt sich über einen Zeitraum von 3 Tagen.

Die genaue Dauer wird durch den Umfang der Schulungsinhalte bestimmt.

• Vor-Ort und/oder Remote 

• Max. 10 Teilnehmer

Informationssicherheit-Governance

Dauer: 1 Tag

​

• Informationssicherheitskonzepte

• Definieren, Implementieren, Verwalten und Aufrechterhalten eines Informationssicherheits-Governance-Programms

  • Form der Geschäftsorganisation

    • Branche

    • Organisationsstruktur

    • Organisationsreife

• Treiber der Informationssicherheit

• Aufbau einer Informationssicherheitsmanagement-Struktur

  • Sicherheitsorganisation und Verantwortlichkeiten – strategische Rollen im ISMS

  • Organisationsstruktur

  • Abgrenzung ISO vs. CISO

  • CISO im Kontext der Unternehmensführung

    • Wo passt der CISO in die Organisationsstruktur?

    • Rolle und Verantwortlichkeiten des CISO

    • Der leitende CISO

    • Nicht leitender CISO

  • Rolle einer Informationssicherheits-Lenkungsgruppe.

  • Aufgaben, Verantwortlichkeiten und Struktur des Informationssicherheitsmanagements.

• Methoden zur Einbindung von Informationssicherheit in die Unternehmens-Governance.

• Best Practices für die Förderung der Informationssicherheit im Unternehmen.

• Festlegung von Niveaus und Erwartungen für Informationssicherheit im Unternehmen.

• Bereiche der Governance (z. B. Risikomanagement, Datenklassifizierungsmanagement, Netzwerksicherheit, Systemzugriff).

• Zentrale und dezentrale Ansätze für die Koordination der Informationssicherheit.

• Gesetze/Verordnungen/Standards als Treiber für Organisationsrichtlinien/Standards/Verfahren

  • NIST Risk Management Guidance

  • NIST RMF

• Verwaltung eines Unternehmensprogramms zur Einhaltung der Informationssicherheit.

• Funktion und Inhalt wesentlicher Elemente eines Informationssicherheitsprogramms (z. B. Ansatzdarlegungen, Verfahren und Richtlinien)

  • IT & Informationssicherheitsrichtlinie

    • Notwendigkeit einer unternehmensweit IT & Informationssicherheitsrichtlinie

    • Der Prozess, Ansätze mit den Geschäftszielen des Unternehmens zu verbinden

    • Herausforderungen bei der Erstellung einer IT & Informationssicherheitsrichtlinie

  • Inhalte einer Informationssicherheitsrichtlinie

    • Welche Art von Richtlinien gibt es?

    • Umsetzung einer Richtlinie in der Praxis.

  • Kommunikationsstruktur

  • Standards & Best Practices

  • Leadership & Ethics

​

​

ISMS Risikomanagement, Kontrollen & Maßnahmen und Audit Management

Dauer: 1 Tag

​

​

• Informationssicherheit Assetsmanagement

  • Unterscheidung Primäre & sekundäre Assets

  • Informationswerte, die zur Unterstützung der Geschäftsabläufe benutzt werden

  • Bewertungsmethodologien für Informationswerte

  • Informationsklassifizierung

  • Gefahren, Schwachstellen und Risikoanfälligkeit in Verbindung mit Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen

  • Quantitative und qualitative Methoden zur Bestimmung von Sensitivität und Wichtigkeit von Informationswerte und die Auswirkung ungünstiger Ereignisse

• Informationssicherheit Risikomanagement

  • Risikoanalyse und -Bewertung

  • Risikominderung, Risikobehandlung und akzeptables Risiko

  • Risikobehandlung

    • Optionen der Risikobehandlung

      • Risikomodifizierung oder -minderung

      • Risikorückhaltung oder Akzeptanz

      • Risikovermeidung oder -eliminierung

      • Risikoteilung oder -übertragung

  • Risikokategorien

  • Amortisationsdauer Ziele (RTO) für Informationsressourcen und die Bestimmung von RTO und in welchem Verhältnis diese zur betrieblichen Kontinuität und den Zielen und Prozessen der Notfallplanung stehen

  • Risikominderungsstrategien, die bei der Definition der Sicherheitsanforderungen für Informationsressourcen zur Unterstützung von Unternehmensanwendungen benutzt werden

  • Kosten-Nutzen-Analysetechniken zur Beurteilung von Optionen zur Abschwächung von Risiken, Bedrohungen und Risikoanfälligkeit auf ein annehmbares Niveau

  • Management und Reporting des Status identifizierter Risiken

  • Risikomanagement-Rahmenwerke

    • ISO 27005

    • BIS 200-3

    • NIST Risk Management Framework

    • Weitere Frameworks and Guidance (ISO 31000, TARA, OCTAVE, FAIR, COBIT, and ITIL)

  • Prinzipien und Praktiken des lebenszyklusbasierten Risikomanagements

• Informationssicherheitskontrollen

  • Management und Steuerung der Informationssicherheitkontrollen

  • Prinzipien zur Entwicklung von Richtlinien und ihre Beziehung zu risikobasierten Beurteilungen von Kontrollanforderungen

  • Identifizierung der Informationssicherheitsbedürfnisse der Organisation

    • Identifizierung des optimalen Informationssicherheits-Frameworks

    • Gestaltung von Sicherheitskontrollen

    • Lebenszyklusmanagement der Kontrollen

    • Kontrollklassifizierung

    • Auswahl und Implementierung von Kontrollen

    • Kontrollkatalog

    • Kontrollreife

    • Überwachung von Sicherheitskontrollen

    • Behebung von Kontrollmängeln

    • Wartung von Sicherheitskontrollen

    • Berichterstattung über Kontrollen

    • Informationssicherheits-Servicekatalog

• Compliance Management

  • Gesetze, Verordnungen und Statuten

  • Vorschriften

  • Standards

• Richtlinien & Best Practices

• Audit Management

  • Erwartungen und Ergebnisse von Audits

  • IT & Informationssicherheitsaudit

  • Bewertung von Nachweisen und Auditberichte und Korrekturmaßnahmen

• Security Incident Management in der Verantwortung des CISO

• Bewerten und Lenken des ISMS anhand von KPIs und internen Kontrollprozessen/Systemen

• Strategische Steuerung von PDCA / KVP

​

​

Informationssicherheitprogramm-Management

Dauer: 1 Tag

​

• Methoden zur Entwicklung eines Implementierungsplans, der den in der Risikoanalyse identifizierten Sicherheitsanforderungen entspricht

• Methoden und Techniken für das Projektmanagement

• Die Komponenten eines Informationssicherheits-Governance-Rahmenwerks zur Integration von Sicherheitsprinzipien, -praktiken, -management und -bewusstsein in alle Aspekte und Ebenen des Unternehmens

• Sicherheits-Richtlinien und Konfigurationsmanagement bei Design und Management von Geschäftsanwendungen und der Infrastruktur

• Informationssicherheitsarchitekturen: (z.B. Zero Trust, Einzelanmeldung, regelbasierte im Gegensatz zu listenbasierter Systemzugriffskontrolle für Systeme, beschränkte Systemverwaltungspunkte)

• Informationssicherheitstechnologien (z. B. Verschlüsselungstechniken und Digitalunterschriften, um der Geschäftsleitung die Wahl entsprechender Kontrollvorrichtungen zu ermöglichen)

• Sicherheitsverfahren und Richtlinien für Geschäftsabläufe und Infrastrukturaktivitäten Systementwicklungs-Lebenszyklusmethodologien (z. B. traditionelles SDLC, Prototypisierung)

• Planung, Durchführung, Reporting und Weiterverfolgung von Sicherheitstests

• Zertifizierung und Akkreditierung der Übereinstimmung der Geschäftsanwendungen und Infrastruktur mit dem Informationssicherheits-Governance-Rahmenwerk des Unternehmens

• Arten, Vorteile und Kosten physischer, verwaltungstechnischer und technischer Kontrollen

• Planung, Design, Entwicklung, Überprüfung und Implementierung der Informationssicherheitsanforderungen in die Geschäftsabläufe eines Unternehmens

• Design, Entwicklung und Implementierung von Sicherheitsmetriesystemen

• Methoden und Techniken für das Akquisitionsmanagement (z. B. Beurteilung von Lieferanten-Leistungsumfangsvereinbarungen, Vorbereitung von Verträgen)

​

​

Informationssicherheitsmanagement

Dauer: 1 Tag

​

• Umsetzung von Informationssicherheitsansätzen in betriebliche Anwendung

• Informationssicherheits-Verwaltungsprozesse und -verfahren

• Methoden zur Verwaltung der Implementierung des Informationssicherheitsprogramms des Unternehmens durch Drittparteien, einschließlich Handelspartnern und Anbietern von Sicherheitsdienstleistungen

• Fortwährende Überwachung der Sicherheitsaktivitäten in der Infrastruktur und den Geschäftsanwendungen des Unternehmens

• Methoden zur Verwaltung von Erfolg/Misserfolg von Informationssicherheitsinvestitionen durch Datenerfassung und periodische Überprüfung von Schlüssel-Leistungsindikatoren

• Aktivitäten des Änderungs- und Konfigurationsmanagements

• Gebotene Sorgfaltsaktivitäten des Informationssicherheitsmanagements und Überprüfungen der Infrastruktur

• Verbindungsaktivitäten mit internen/externen Versicherungsanbietern, die Informationssicherheitsprüfungen durchführen

• Gebotene Sorgfaltsaktivitäten, Revisionen und damit verbundene Standards für Verwaltung und Kontrolle des Zugriffs auf Informationsressourcen

• Externe Schwachstellen-Reportingquellen, die Informationen liefern, welche Änderungen an der Informationssicherheit von Anwendungen und Infrastruktur erforderlich machen können

• Ereignisse, welche die Sicherheits-Basislinien beeinträchtigen und Risikobeurteilungen sowie Änderungen an den Informationssicherheitsanforderungen in Sicherheitsplänen, Testplänen und Reperfomance erforderlich machen Informationssicherheit-Problemmanagementpraktiken

• Informationssicherheits-Manager übernimmt Aufgaben als Änderungsagent, Ausbilder und Berater

• Die Art und Weise, in der Kultur und kulturelle Unterschiede das Verhalten des Personals beeinflussen

• Die Aktivitäten, die Kultur und Verhalten des Personals verändern können

• Methoden und Techniken zur Schulung und Ausbildung eines Sicherheitsbewusstseins

​

​

Technologien, Bedrohungen und Reaktionsmanagement bei der Informationssicherheit

Dauer: 1 Tag

​

• Aktuelle Bedrohungen und Gefährdungen der IT-Sicherheit aus strategischer Sicht

• Sicherheitstechnologien im Überblick

• Informationssicherheitsmanagement vs. IT-Servicemanagement – Managemententscheidunge

• Reaktionsmanagement

  • die Komponenten einer Zwischenfall-Reaktionsfähigkeit

  • Informationssicherheits-Notfallmanagementpraktiken (z. B. Produktionsänderungs-Kontrollaktivitäten, Entwicklung eines Computernotfall-Raktionsteams)

  • Notfallplanung und betriebliche Wiederherstellungsprozesse

  • Notfall-Wiederherstellungstests für Infrastruktur und wichtige Geschäftsanwendungen

  • Eskalationsprozesse für effektives Sicherheitsmanagement

  • Ansätze und Prozesse zum Erkennen von Eindringlingen

  • Helpdeskprozesse zur Identifizierung von Zwischenfällen, die von Benutzern gemeldet werden, und Unterscheidung von anderen Angelegenheiten, die vom Helpdesk erledigt werden

  • Der Benachrichtigungsprozess bei der Handhabung von Sicherheitszwischenfällen und Wiederherstellung: (z. B. automatische Benachrichtigungs- und Wiederherstellungsmechanismen, bspw. als Reaktion auf Virenalarm in Echtzeit)

  • Die Anforderungen zur Erfassung und Präsentation von Nachweisen; Regeln für Nachweise, Zulässigkeit von Nachweisen, Qualität und Vollständigkeit von Nachweisen

  • Revisionen und Weiterverfolgungsverfahren nach dem Zwischenfall

• Vorträge und Präsentationen durch erfahrene Informationssicherheitsexperten.

• Interaktive Diskussionen und Gruppenarbeit.

• Fallstudien und praktische Übungen zur Anwendung des erlernten Wissens.

• Schulungsmaterialien, Handbücher und Fallbeispiele für Selbststudium.

• Prüfungsvorbereitung und Feedback durch erfahrene Trainer.

• Regelmäßige Leistungsbewertung während der Schulung.

• Abschlussprüfung zur Bewertung des erworbenen Wissens.

• Bei erfolgreichem Abschluss der Prüfung erhalten die Teilnehmer das DEKRA-Zertifikat Chief Information Security Officer (CISO).

• Bereitstellung von Ressourcen und Empfehlungen für die kontinuierliche Weiterbildung in der Informationssicherheit.

• Unterstützung bei Fragen und Herausforderungen im praktischen Informationssicherheitsmanagementsystems.

• Evaluierung des Schulungserfolgs und Feedback der Teilnehmer zur Schulungsqualität.

• Möglichkeiten zur Vertiefung des Wissens und zur Erweiterung der Fähigkeiten durch weiterführende Schulungen oder Zertifizierungen.