TÜV - Nord Gruppe

ISO 27001-Praxisworkshop – wir optimieren mit gezieltem ISO 27001-Training Ihr Wissen über Informationssicherheits-Managementsysteme: Die anhaltende Entwicklung zur Digitalisierung von Geschäftsprozessen auch über Unternehmensgrenzen hinweg hat viele Unternehmen bewogen, den Schritt von klassischer IT-Sicherheit hin zu einem Management von Informationssicherheit zu forcieren, um einen allgemeinen Grundschutz zu gewährleisten. Die internationale Norm ISO 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Sie hat sich dabei zwischenzeitlich weltweit als branchenübergreifender Standard etabliert.
Bedingt durch das Ziel der Norm, für alle Organisationen und Branchen gleichermaßen geeignet zu sein, steht der Anwender häufig vor der Frage, wie Anforderungen, die in der Norm mit wenigen Sätzen umrissen sind, konkret umgesetzt werden können. Zwar gibt es mit der ISO 27003 und der ISO 27002-Leitfäden zur Umsetzung des Informationssicherheits-Managementsystems und zur Ausgestaltung flankierender Sicherheitsmaßnahmen. Dennoch stellen Normanforderungen wie zum Beispiel die Definition eines Geltungsbereiches, die Formulierung einer Sicherheitsstrategie, das Risikomanagement sowie die erforderliche Erfolgsmessung häufig große Hürden bei der Etablierung eines ISMS dar.

Ziel des ISO 27001-Praxisworkshops ist daher weniger die Vermittlung von Normanforderungen als das gemeinsame Erarbeiten von Umsetzungsmöglichkeiten der ISO 27001 auf Basis einer Fallstudie. Die Aufteilung zwischen Wissensvermittlung durch den Referenten und Praxisübungen erfolgt dabei gleichgewichtig. Abgerundet wird dieser ISO 27001 Kurs durch einen Blick auf verwandte ISO Standards nach dem neuen ISO Annex SL sowie auf weitere hilfreiche Standards aus der ISO 27000-Familie.

Das Seminar richtet sich thematisch an Personen in Unternehmen und Verwaltung, die zum Beauftragten in dem Bereich der Informationssicherheit (IS) bestellt wurden oder bestellt werden sollen. Häufig verwendete Titel für diese Personen sind IT-Sicherheitsbeauftragter (ITSiBe), Chief Security Officer CSO, Information Security Officer ISO, Chief Information Security Officer CISO, Informations-Sicherheitsbeauftragter oder Information Security Manager.

Kurzeinführung und Abgrenzung des Begriffes Informationssicherheit

Bestandsaufnahme für das ISMS (Fallstudie, flankiert von unterstützenden Normen wie ISO 27003 und ISO 27005):
- Was sind die zu schützenden Informationen des Unternehmens?
- Warum sind diese Informationen schützenswert, bzw. welche Anforderungen werden an ihren Schutz gestellt?
- In welchen Prozessen werden diese Informationen verarbeitet, bzw. wie können diese Prozesse erhoben und dargestellt werden?

Wie formuliert man einen Geltungsbereich?

Überblick Risikomanagementansätze ISO 27005 vs. ISO 31000
- Assetmanagement
- Übung zum Risikomanagement
- Erstellen der „Erklärung zur Anwendbarkeit“

Arbeiten mit der ISO 27002: Maßnahmenempfehlungen und sich daraus ergebende Aspekte
- Prozessanforderungen
- Dokumentationsanforderungen
- Wer handelt?
- Welche Ziele sollen erreicht werden: Grundlage für Erfolgsmessung
- Schulungsbedarfe bzw. sich aus Controls ergebende Zielgruppen und Inhalte

Definition von Kennzahlen
- ISO 27004/NIST 800-55: Messgrundlagen
- Übungen zu Kennzahlen

Interne Auditierung
- Grundlagen aus ISO 19011, ISO 27003
- Auditprogramm und Auditplanung
- Übungen zur internen Auditierung

Der ISO 27001-Praxisworkshop gliedert sich als Aufbauseminar in die Strukturen der bereits vorhandenen ISO- (Information Security Officer) und CISO- (Chief Information Security Officer) Seminare ein. Die vorherige Teilnahme am ISO-Seminar oder vergleichbarere Vorkenntnisse sind daher wesentlich für einen erfolgreichen Workshop.

Teilnahmebescheinigung der TÜV NORD Akademie