Information Security 
Officer

• Diese Schulung hat das Ziel, die Teilnehmer auf die DEKRA Information Security Officer (ISO) Prüfung vorzubereiten.

• Vermittlung von umfassendem Wissen über die Anforderungen der ISO/IEC 27001 sowie über die Prozesse und Richtlinien eines Informationssicherheitsmanagementsystems.

• Entwicklung von Kenntnissen und Fähigkeiten, um Informationssicherheitsanforderungen in Unternehmen umzusetzen und zu überwachen.

• Kennenlernen relevanter Richtlinien, Standards und Best Practices im Bereich der Informationssicherheit und deren Anwendung.

• Mitarbeiter, die die Rolle des Informationssicherheitsbeauftragter oder Informationssicherheitskoordinator in Unternehmen übernehmen möchten.

• Personen, die bereits in der Informationssicherheitsbranche tätig sind und ihre Kenntnisse aktualisieren oder eine formale Zertifizierung erwerben möchten.

• Idealerweise sollten die Teilnehmer bereits über grundlegende Kenntnisse im Bereich der Informationssicherheit und IT-Sicherheit verfügen.

Dieser Kurs bietet eine Mischung aus detaillierten Vorträgen, interaktiven Workshops, Gruppenübungen und Fallstudienanalysen. Durch die aktive Beteiligung der Teilnehmer wird eine praxisnahe Lernerfahrung sichergestellt.

​

• Vorstellung der Normfamilie ISO/IEC 2700x und der Anwendungsbereich der Norm.

• Erfüllung der Anforderungen der ISO/IEC 27001

• Den Zertifizierungsprozess zu verstehen und die wesentlichen Herausforderungen bei der Umsetzung im Unternehmen zu kennen

• Kenntnisse über bewährte Praktiken, Risikomanagement und die Implementierung von Sicherheitsmaßnahmen

• Die Herausforderungen bei dem Ausfüllen des SoA, sowie der Festlegung der Scope und des anschließenden Auditprozesses kennen

• Vorbereitung auf die Prüfung

• Die Schulung erstreckt sich über einen Zeitraum von 4 Tagen.

• Die genaue Dauer wird durch den Umfang der Schulungsinhalte bestimmt.

• Vor-Ort und/oder Remote 

• Max. 10 Teilnehmer

Grundlagen der Informationssicherheit

Dauer: 2 Stunden

​

• Definition von Informationssicherheit und ihre Bedeutung für Organisationen.

• Werte der Informationssicherheit

• Schutzziele der Informationssicherheit

• Sicherheitsereignisse und -vorfälle

​

​

Informationssicherheitsmanagementsystem (ISMS)

Dauer: 4 Stunden

​

• Managementsystem

• Unterschied zwischen Richtlinien, Prozesse, Verfahren, Dokument und Aufzeichnung

• Erklärung eine dokumentierte Information

• Prozessorientierung bei der Implementierung und Aufrechterhaltung eines Managementsystems

• Deming Zyklus (PDCA)

• Audit und Verbesserung

• Bedeutung und Ziele eines Informationssicherheitsmanagementsystems (ISMS)

• Vorteile der Umsetzung eines ISMS

• Bewusstsein und Engagement von Mitarbeitern bei der Aufrechterhaltung eines ISMS

• VDA ISA vs. ISO/IEC 27001

​

​

Informationssicherheitsmanagementsystem vs. IT-Servicemanagement

Dauer: 1 Stunde

​

• Grundlagen und Prozessen der IT-Service Management.

• Unterschiede und Schnittstellen zwischen ISMS und IT-Servicemanagement verstehen.

• Rolle der Informationssicherheit im IT-Servicemanagement.

​

​

Normen und Standards der Informationssicherheit

Dauer: 1 Stunde

​

• Überblick über Normen, Standards und Framework der Informationssicherheit.

  • ISO/IEC 27001: Diese Norm beschreibt Anforderungen für ein Informationssicherheits-Managementsystem (ISMS). Sie bietet einen Rahmen, um Informationssicherheitsrisiken zu identifizieren, zu bewerten und zu behandeln.

  • ISO/IEC 27002: Dieser Standard enthält Leitlinien und Best Practices für die Umsetzung der Kontrollen aus ISO/IEC 27001. Er bietet einen umfassenden Katalog von Sicherheitsmaßnahmen, die Organisationen bei der Verbesserung ihrer Informationssicherheit nutzen können.

  • IT-Grundschutz (BSI-Standards): Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland bietet eine Reihe von IT-Grundschutz-Standards an, die als Leitfaden für die Implementierung von Informationssicherheitsmaßnahmen dienen.

  • NIST Cybersecurity Framework: Obwohl es sich um einen US-amerikanischen Standard handelt, wird das NIST-Framework in Europa und weltweit oft als bewährte Praxis für das Management der Informationssicherheit verwendet.

  • CIS Controls: Die "Center for Internet Security" (CIS) bietet eine Liste von 20 kritischen Sicherheitskontrollen, die als Grundlage für den Aufbau einer wirksamen Informationssicherheitsstrategie dienen sollen.

  • NIS2: Richtlinie für "Network and Information Systems" und bezieht sich auf die Sicherheit von Informationsnetzwerken und -systemen. In der Europäischen Union gibt es die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen.

  • ISIS12: "IT-Sicherheitsstandard für KRITIS-Betreiber nach B3S-Standard 12". Dabei steht KRITIS für "Kritische Infrastrukturen" und B3S für "Bundesamt für Sicherheit in der Informationstechnik (BSI) Standard 3". ISIS12 ist ein vom BSI entwickelter IT-Sicherheitsstandard, der speziell für Betreiber Kritischer Infrastrukturen in Deutschland entwickelt wurde.

  • EU-DSGVO (Europäische Datenschutz-Grundverordnung): Die Datenschutz-Grundverordnung der Europäischen Union regelt den Schutz personenbezogener Daten und die Rechte von Personen hinsichtlich ihrer Daten.

​

​

Normenreihe ISO/IEC 27000 im Überblick

Dauer: 2 Stunden

​

• Überblick über die ISO/IEC 27000-Reihe und deren Struktur.

  • 27000

  • 27001

  • 27006

  • 27009

  • 27002-27005

  • 27007

  • TR 27008

  • 27013

  • 270014

  • TR 27016

  • 27021

  • 27010

  • 27011

  • 27017 - 27019

  • 2703x und 2704x

• Einblick in relevante Teile der Normenreihe.

​

​

Anforderungen der ISO/IEC 27001

Dauer: 6 Stunden

​

• Detaillierte Betrachtung der Anforderungen der ISO/IEC 27001 (Kap 4 - 10) und die Bedeutung für die Organisation.

• Aufbau eines ISMS entsprechend den ISO 27001 Anforderungen.

​

​

Maßnahmenziele und Maßnahmen; Anhang A der ISO/IEC 27001 (ISO/IEC 27002)

Dauer: 14 Stunden

​

• Analyse und Auswahl von Maßnahmen und Maßnahmenzielen aus dem Anhang A.

• Umsetzung und Überwachung der ausgewählten Maßnahmen.

​

​

Datenschutzrechtliche Anforderungen

Dauer: 1 Stunde

​

• Wichtige Datenschutz Prozesse

• Verankerung von ISMS & Datenschutz Prozesse.

​

​

Rollen und Verantwortlichkeiten im ISMS

Dauer: 1 Stunde

​

• RACI Matrix

• Rollen und Verantwortlichkeiten für die Implementierung und Aufrechterhaltung eines ISMS

  • Management (Leitungsebene)

  • ISB / ISO

  • DSB / DPO

  • Asset Owner

  • Risk Owner

  • IT-Support

  • IT-Security Team

  • etc.

​

​

Sicherheitstechnologien und Kryptografie

Dauer: 2 Stunden

​

• Überblick über verschiedene Sicherheitstechnologien, Maßnahmen und ihre Anwendungsbereiche und Umsetzungen in der Praxis.

• Grundlagen der Kryptografie und deren Bedeutung für die Informationssicherheit.

​

​

SoA und Scope

Dauer: 2 Stunden

​

• Entwicklung des Statement of Applicability (SoA) und Festlegung des Scopes für das ISMS.

• Best Practices, Beispiele und Fauxpas

​

​

Risikoanalyse und -bewertung

Dauer: 4 Stunden

​

• Unterschiede zwischen primäre & sekundäre Assets.

• Identifikation und Klassifizierung von Assets in der Organisation.

• Methoden zur Durchführung von Risikoanalysen erlernen.

• Bewertung von Risiken und Festlegung angemessener Behandlungsmaßnahmen.

• Vorträge und Präsentationen durch erfahrene Informationssicherheitsexperten.

• Interaktive Diskussionen und Gruppenarbeit.

• Fallstudien und praktische Übungen zur Anwendung des erlernten Wissens.

• Schulungsmaterialien, Handbücher und Fallbeispiele für Selbststudium.

• Prüfungsvorbereitung und Feedback durch erfahrene Trainer.

• Regelmäßige Leistungsbewertung während der Schulung.

• Abschlussprüfung zur Bewertung des erworbenen Wissens.

• Bei erfolgreichem Abschluss der Prüfung erhalten Sie das DEKRA-Zertifikat Information Security Officer (ISO).

• Bereitstellung von Ressourcen und Empfehlungen für die kontinuierliche Weiterbildung in der Informationssicherheit.

• Unterstützung bei Fragen und Herausforderungen im praktischen Informationssicherheitsmanagementsystems.

• Evaluierung des Schulungserfolgs und Feedback der Teilnehmer zur Schulungsqualität.

• Möglichkeiten zur Vertiefung des Wissens und zur Erweiterung der Fähigkeiten durch weiterführende Schulungen oder Zertifizierungen.