Ausbildung zum Business Continuity Manager (DGI®) gemäß ISO 22301, ISO 27031 und BSI IT-Grundschutz

Die Haupttätigkeit eines Business Continuity Managers besteht darin, die Widerstandsfähigkeit der Organisation zu stärken, um bei zeitkritischen Sicherheitsvorfällen einen schnellstmöglichen Wiederanlauf der Geschäftstätigkeit sicherstellen und negative Auswirkungen für ihr Unternehmen abwenden zu können.

Weitere Aufgaben, die in die Zuständigkeit eines Business Continuity Managers fallen, sind die Abstimmung und Koordination der Business Continuity Strategie, insbesondere die Festlegung von Wiederanlauf- und Wiederherstellungsparametern, von Kontinuitätsstrategien sowie die Durchführung von Business Impact Analysen (BIA).

Der Business Continuity Manager sollte Maßnahmen zur Notfallvorsorge umsetzen, um den Eintritt von möglichen Schadensereignissen abzuwenden sowie Maßnahmen zur Umsetzung bringen, die für den Fall eines Schadenseintritts eine angemessene Notfallbewältigung ermöglichen.

Des Weiteren ist eine erfolgreiche Planung, Kontrolle und Steuerung von Notfallprozessen sowie die Dokumentation eines IT-Notfallkonzepts und eines IT-Notfallhandbuchs, inklusive Sofort-, Wiederanlauf-, Wiederherstellungs- und Geschäftsfortführungsplänen, essenziell für die Etablierung eines organisationsspezifischen Business Continuity Management Systems (BCMS).


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich des Business Continuity Managements (BCM), der Aufgabenbeschreibung des Business Continuity Managers und des erforderlichen Fachwissens für die Etablierung eines BCMS gemäß ISO 22301, ISO 27031 sowie des BSI IT-Grundschutz.

Die Teilnehmer können nach Abschluss der Ausbildung die Planung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines normkonformen BCMS, bis hin zur Zertifizierungsreife Ihres Unternehmens, zur Umsetzung bringen.

 


Inhalt

  • IT-Management, BCM und Resilienz
  • Die Strategie zum BCM
  • Rechtliche Vorgaben zum BCM
  • Das IT-Sicherheitsgesetz und KRITIS
  • Kennzahlen und KPIs des BCM
  • Aufgaben des BC Managers wie Planung, Kontrolle und Steuerung des BCMS
  • Die Notfallorganisation und Verantwortlichkeiten im BCM
  • Fachbegriffe im BCM
  • Die Normenfamilie 223xx
  • Die ISO 27031 und IT Readiness for Business Continuity (IRBC)
  • Die ISO 27002 und BCMS
  • Der BSI-Standard „200-4 Business Continuity Management”
  • Betrieb, Aufrechterhaltung und Verbesserung eines BCMS
  • Durchführung einer BIA
  • Wiederanlauf- und Wiederherstellungsphasen
  • RPO, RTO und MTPD
  • Der IT-Notfallmanagementprozess
  • Die Entwicklung von Kontinuitätsstrategien
  • Maßnahmen zur Kontinuität
  • Die Schadensanalyse und Schadensklassen
  • Die Implementierung eines BCMS
  • Die Umsetzung der Notfallvorsorge
  • Das Notfallvorsorgekonzept
  • Maßnahmen zur Notfallvorsorge
  • Die Umsetzung der Notfallbewältigung
  • Das Notfallkonzept
  • Maßnahmen zur Notfallbewältigung
  • Tests und Übungen im BCM
  • Das IT-Notfallhandbuch
  • Kontinuierliche Verbesserung des BCMS
  • Die Dokumentationen des BCM
  • Desaster Recovery
  • Awareness / Sensibilisierung der Beschäftigten
  • Das Risikomanagement und BCM
  • Die Risikofrüherkennung
  • Die Risikoanalyse
  • Die Risikobehandlung und Maßnahmenumsetzung

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Angehende Business Continuity Manager
  • IT-Leitung
  • IT-Administratoren
  • IT-Sicherheitsbeauftragte / Chief Information Security Officer
  • Verantwortliche im Risikomanagement
  • Verantwortliche in der Revision / IT-Revision
  • Führungskräfte
  • Projektleitung
  • Unternehmensberater
  • Wirtschaftsprüfer

IT-Grundlagen aus Sicht des Datenschutzes und der IT-Sicherheit (DGI®)

Die in den letzten Jahren vermehrt Einzug gehaltene Digitalisierung von Geschäftsprozessen und die damit einhergehende IT-gestützte Datenverarbeitung führt zu einer intensiven Auseinandersetzung mit den Maßnahmen zur IT-Sicherheit sowie des Datenschutzes.

So müssen insbesondere der Datenschutzbeauftragte und sämtliche Personen, die für die Einhaltung von Anforderungen an die IT-Sicherheit verantwortlich sind, eine zunehmend hohe Kenntnis der in der eigenen Organisation verwendeten technischen Komponenten und IT-gestützten Anwendungen sowie deren Funktionsweisen und Aufgaben bei der Verarbeitung digitaler Daten besitzen.

Zudem müssen IT-sicherheitsrelevante und datenschutzrechtlich gesondert zu berücksichtigende Bereiche, anhand der Signifikanz der automatisierten Verarbeitung von geschäftsrelevanten und personenbezogenen Daten, bewertet werden können.

Somit ist der Aufbau von persönlichem Wissen und die Vertiefung des Know-hows der verantwortlichen Personen, für die Sicherstellung eines ordnungsgemäßen, sicheren und konformen Betriebs der IT, eine Schlüsselqualifikation, um die Bewertung des organisationsspezifischen Sicherheitsniveaus vornehmen zu können und angemessene Maßnahmen der Informationssicherheit umzusetzen.


Seminarziel

Der Schwerpunkt des Seminars liegt in der Vermittlung von Basiswissen aus dem Bereich der Informationstechnologie (IT). Insbesondere werden Grundlagen geschaffen, um die Zusammenhänge zwischen technischen Komponenten und deren Auswirkungen auf datenschutzrechtliche Anforderungen und die IT-Sicherheit verstehen und beurteilen zu können.


Inhalt

  • Netzwerkkomponenten
    • Server (z. B. Mailserver, Webserver, Proxyserver)
    • Clients (z. B. PC, Host)
    • Hardware (z. B. Router, Switch, Firewall, USV)
    • Mobile Geräte (z. B. Laptop, Smartphones)
  • Netzwerke
    • Netzwerkdienste (z. B. DNS)
    • Topologien
    • Protokolle (z. B. TCP/IP)
    • Internet, Intranet, Extranet
    • WLAN, VoIP
  • Anwendungen
    • Software
    • Maildienste (z. B. Microsoft Exchange)
  • Infrastruktur
    • Gebäude- und Raumstruktur
    • Klima / Notstrom
  • Schutzkonzepte
    • Passwortkonvention
    • Passwortkonzept
    • Berechtigungskonzept
    • Backupkonzept
    • Archivkonzept
    • Gruppen- / Rollenbasierte Zugänge
  • Angriffe und Schutzmaßnahmen
    • Hacking, Penetration Testing
    • Malware (Virus, Trojaner)
    • Netzwerkanalyse
    • Intrusion Detection- und Prevention Systeme
    • Virtualisierung
    • Virtual Private Network
    • Public Key Infrastructure
  • Kryptographie in der praktischen Anwendung
  • Neue Entwicklungen, wie z. B. Cloud Computing, Social Media

Abschluss: Teilnahmebestätigung


Zielgruppe

  • Datenschutzbeauftragte
  • IT-Sicherheitsbeauftragte / Chief Information Security Officer
  • Verantwortliche in den Bereichen Datenschutz und Informationssicherheit
  • Revisoren / IT-Revisoren
  • Wirtschaftsprüfer
  • Mitarbeiter aus den Bereichen Personal
  • Mitarbeiter aus Betriebs- / Personalräten

Ausbildung zum BSI IT-Grundschutz-Praktiker (DGI®)

Die Schulung zum BSI IT-Grundschutz-Praktiker erfüllt das Curriculum sowie die Qualifizierungsanforderungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) und versetzt Sie in die Lage die Aufgaben eines IT‑Sicherheitsbeauftragten (ITSiBe) oder Informationssicherheitsbeauftragten (ISB) zu übernehmen.

Sie erlernen die Leitung Ihrer Organisation bei der Wahrnehmung der Pflichten zur Sicherstellung eines angemessenen Informationssicherheitsniveaus zu unterstützen, angemessene Maßnahmen für Ihr Sicherheitskonzept zu bestimmen sowie den spezifischen Schutzbedarf Ihrer Informationen, Anwendungen und IT-Systeme zu identifizieren.

Vertiefende Kenntnisse, die Sie im Rahmen unserer Ausbildung zum BSI IT-Grundschutz-Praktiker erlangen, sind die Umsetzung der Initiierung, Entwicklung, Lenkung und Dokumentation des Sicherheitsprozesses, die Umsetzung der erforderlichen Sicherheitskonzeption sowie der Aufrechterhaltung und Verbesserung der Informationssicherheit.

In Ihrer Funktion als ITSiBe oder ISB steuern Sie die Einhaltung der Ziele zur Informationssicherheit durch die Betrachtung von Gefährdungslagen, die Überprüfung von Sicherheitsvorfällen sowie deren Schadensereignissen und fördern das Erkennen der Risikolagen und Bedrohungsszenarien in der eigenen Organisation.

Des Weiteren erwerben Sie das Know-how für den Aufbau eines organisationsspezifischen ISMS gemäß BSI IT-Grundschutz, die erfolgreiche Integration der Planung, der Kontrolle sowie der Steuerung von Prozessen und ergänzenden Dokumenten sowie die Dokumentation einer Sicherheitskonzeption gemäß BSI-Standard 200-2.


Ziel der Ausbildung

Der Schwerpunkt der Basisschulung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich der Informationssicherheit sowie des erforderlichen Fachwissens für die Planung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines ISMS gemäß BSI IT-Grundschutz bis hin zur erforderlichen Zertifizierungsreife.

Als Teilnehmer erwerben Sie, durch das erfolgreiche Ablegen unserer Prüfung zum BSI IT-Grundschutz-Praktiker (DGI®), die Berechtigung zur Teilnahme an der Aufbauschulung zum BSI IT-Grundschutz-Berater (DGI®).


Inhalt

  • IT-Management, Informationssicherheit und Cyber Security
  • IT Compliance und IT Governance
  • IT-Sicherheitsgesetz und KRITIS
  • Rechtsvorschriften, Standards und Normen in der Informationssicherheit
  • Initiierung und Organisation des Sicherheitsprozesses
  • Informationssicherheitsstrategie und Informationssicherheitsleitlinie
  • Aufgaben des ISB im ISMS
  • Die Sicherheitsorganisation und Verantwortlichkeiten im ISMS
  • Fachbegriffe der Normen und der Informationssicherheit
  • Fachbegriffe des BSI IT-Grundschutzes
  • Vergleich BSI IT-Grundschutz und ISO 27001 / 27002
  • Aufbau, Begrifflichkeiten und Umsetzung eines ISMS
  • Umsetzung eines ISMS als integriertes Managementsystem
  • Das BSI IT-Grundschutz-Kompendium
    • Bausteinstruktur und -inhalte wie APP, CON, DER, IND, INF, ISMS, NET, OPS, ORP und SYS
  • Die BSI-Standards
    • 200-1 „Managementsysteme für Informationssicherheit“
    • 200-2 „IT-Grundschutz-Methodik“
    • 200-3 „Risikoanalyse auf Basis von IT-Grundschutz“
    • 100-4 „Notfallmanagement” (Ausblick auf 200-4 “Busniess Continuity Management”)
  • Technische Richtlinien des BSI
  • Dokumentation im Sicherheitsprozess
  • Erstellung einer Sicherheitskonzeption nach der Vorgehensweise
    • Basisabsicherung
    • Standardabsicherung
    • Kernabsicherung
  • Geltungsbereich und Informationsverbund
  • Strukturanalyse und Netzplanerhebung
  • Erfassung der Geschäftsprozesse und Anwendungen sowie zugehöriger Informationen
  • Erhebung der IT- und ICS-Systeme, der Räume und der Kommunikationsverbindungen
  • Schutzbedarfsfeststellung
    • Definition der Schutzbedarfskategorien
    • Maximumprinzip, Verteilungs- und Kumulationseffekt
  • Modellierung eines Informationsverbunds
  • IT-Grundschutz-Check
  • Umsetzung der Sicherheitskonzeption
  • Konsolidierung des Sicherheitskonzepts
  • Rückführung in den Sicherheitsprozess
  • Grundlagen des IT-Risikomanagements
  • Notfallmanagement / Business Continuity Management (BCM)
  • Business Impact Analyse (BIA)
  • Korrelierende Normen wie ISO 31000 und ISO 22301
  • Empfehlungen zu Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal und Technik
  • Zertifizierung auf der Basis von IT-Grundschutz
  • Hilfsmittel zur Umsetzung eines ISMS

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Angehende Informationssicherheitsbeauftragte
  • IT-Leitung
  • IT-Administratoren
  • Verantwortliche in der Informationssicherheit
  • Verantwortliche im Risikomanagement
  • Verantwortliche im Business Continuity Management
  • Verantwortliche in der Revision / IT-Revision
  • Führungskräfte

Ausbildung zum IT-Sicherheitsbeauftragten (ITSiBe) / Chief Information Security Officer (CISO) (DGI®)

Die Haupttätigkeit eines IT-Sicherheitsbeauftragten (ITSiBe) / Chief Information Security Officer (CISO) besteht darin, die Geschäftsführung bei der Wahrnehmung ihrer Pflichten zur Sicherstellung eines angemessenen Informationssicherheitsniveaus zu unterstützen und den spezifischen Schutzbedarf der Unternehmenswerte bei der Ausführung der Geschäfts- und Produktionsprozesse zu identifizieren.

Weitere Aufgaben, die in die Zuständigkeit eines ITSiBe / CISO fallen, sind die Abstimmung und Koordination der Informationssicherheitsstrategie, die Ableitung der Ziele zur Informationssicherheit, das Erkennen der unternehmensspezifischen Risikolagen und Bedrohungsszenarien sowie die Kontrolle und Steuerung der nachhaltigen Umsetzung von angemessenen und wirksamen Sicherungsmaßnahmen.

Der ITSiBe / CISO muss den IT-gestützten Geschäftsbetrieb in Einklang mit den Vorgaben der Governance, der Compliance und des ordnungsgemäßen IT-Betriebs bringen, die Überprüfung eingetretener Sicherheitsvorfälle und Schadensereignisse initiieren und verbessern sowie insbesondere die Wahrung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität sicherstellen.

Des Weiteren ist für den Aufbau eines organisationsspezifischen Informationssicherheitsmanagementsystems (ISMS) die erfolgreiche Integration der Planung, der Kontrolle sowie der Steuerung von Prozessen und ergänzenden Dokumenten sowie die Dokumentation eines Sicherheitskonzepts erforderlich.


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich der Informationssicherheit, der Aufgabenbeschreibung des ITSiBe / CISO sowie des erforderlichen Fachwissens für den Aufbau eines Informationssicherheits­managementsystems (ISMS) gemäß ISO 27001 und ISO 27002.

Die Teilnehmer können nach Abschluss der Ausbildung die Planung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines normkonformen ISMS, bis hin zur Zertifizierungsreife einer Organisation, zur Umsetzung bringen.


Inhalt

  • Datenschutzrechtliche Anforderungen und Informationssicherheit
  • IT-Management und Informationssicherheit
  • Die Sicherheitsstrategie
  • Ziele der Informationssicherheit
  • Bedrohungslagen der Cyber Security
  • IT Compliance
  • IT Governance
  • IT-Sicherheitsgesetz und KRITIS
  • Überblick ITIL und COBIT
  • IT Controlling
  • IT Scorecard
  • Kennzahlen und KPIs der Informationssicherheit
  • Aufgaben des ITSiBe wie Planung, Kontrolle und Steuerung des ISMS
  • Die Sicherheitsorganisation und Verantwortlichkeiten im ISMS
  • Fachbegriffe der Normen und der Informationssicherheit
  • Die 270xx-Normenreihe
  • Zusammenwirken der ISO 27001 und ISO 27002
  • Die Informationssicherheitsleitlinie
  • Planung, Initiierung, Betrieb, Kontrolle und Aufrechterhaltung eines ISMS
  • Ressourcen und Fähigkeiten zum Betrieb eines ISMS
  • Verantwortlichkeiten und Rollen im ISMS
  • Risikolagen und Bedrohungsszenarien
  • Die Strukturanalyse
  • Die Schutzbedarfsfeststellung
  • Die Definition von Schutzbedarfsklassen
  • Vorgehensweise des BSI IT-Grundschutz
  • Übersicht IT-Grundschutz-Kompendium
  • Die Erstellung eines IT-Sicherheitskonzeptes
  • Umsetzung des Informationssicherheitsprozesses
  • Risikomanagement gemäß ISO 31000
  • Der IT-Risikomanagementprozess
  • Das IT Risiko-Assessment
  • Die Risikobehandlung und Maßnahmenumsetzung
  • IT-Sicherheitszertifizierungen und Auditierung
  • Business Continuity Management (BCM) gemäß ISO 22301
  • Business Impact Analyse (BIA)
  • Erstellung eines IT-Notfallkonzeptes

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Angehende ITSiBe / CISO
  • IT-Leitung
  • IT-Administratoren
  • Verantwortliche in der Informationssicherheit
  • Verantwortliche im Risikomanagement
  • Verantwortliche im Business Continuity Management
  • Verantwortliche in der Revision / IT-Revision
  • Führungskräfte
  • Projektleitung
  • Datenschutzbeauftragte
  • Unternehmensberater
  • Wirtschaftsprüfer

Ausbildung zum ICS Security Manager (DGI®)

Die Haupttätigkeit des “ICS (Industrial Control System) Security Manager” besteht darin, die Leitung der Organisation in der Wahrnehmung ihrer Pflichten zur Sicherstellung eines angemessenen Informationssicherheitsniveaus, bei dem Betrieb von industriellen Automatisierungssystemen (IACS), zu unterstützen, sowie die angemessenen Security Level und Protection Level zu bestimmen.

Die stark zunehmende Vernetzung von Prozesssteuerungssystemen mit IT Netzen führt zu zusätzlichen, spezifischen Risiko- und Bedrohungsszenarien, insbesondere für die Betreiber von IACS. Bei der Entwicklung, der Integration sowie dem Betrieb von IACS müssen insbesondere geltende Normen und Rechtsvorschriften beachtet werden, um eine risikoadäquate Entwicklung der organisationsspezifischen Sicherheitsstrategie sowie die Umsetzung eines angemessenen ganzheitlichen Sicherheitskonzeptes sicherzustellen.

Bedrohungen wie Sabotage, Spionage oder gezielte Angriffe auf Daten und Systeme sowie geistiges Eigentum und Know-how fordern ein proaktives Sicherheitsdenken der verantwortlichen Personen sowie einen bewussten Umgang mit dem Thema Betriebs- und Informationssicherheit. Die zu berücksichtigenden Sicherheitsfunktionen, beim Design der Hard- und Softwarekomponenten von ICS und IACS, auf Betriebsplattformen und in den hochgradig vernetzten Infrastrukturen, erfordern oftmals ein komplexes internes Prozessmanagement, sichere Systemarchitekturen sowie anlagenspezifische Schutzmaßnahmen.

Die Ausbildung entspricht inhaltlich den Empfehlungen für Fortbildungs- und Qualifizierungsmaßnahmen im ICS-Umfeld des Bundesamtes für Sicherheit in der Informationstechnik (BSI).


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen und Methoden zur Planung und Umsetzung der Informationssicherheit in IT-gestützten Steuerungs- und Automatisierungsanlagen.

Die Teilnehmer können nach Abschluss der Ausbildung das Zusammenwirken von IT Sicherheit und Anlagensicherheit, für einen sicheren Betrieb von ICS-Umgebungen, erkennen und bewerten. Unter Einbeziehung der Anforderungen an ein ISMS sowie durch die Einbindung des Business Continuity Managements können die Teilnehmer die angemessenen Maßnahmen zur Etablierung des geforderten Sicherheitsniveaus planen und zur Umsetzung bringen.


Inhalt

  • Die IEC 62443-Normenreihe für industrielle Kommunikationsnetze
  • Anforderungen an Hersteller, Betreiber und Integratoren
  • Die „Defense in Depth“-Strategie beim Betrieb von ICS und IACS
  • Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung
  • Anforderungen an die Fähigkeiten des Integrators
  • Anforderungen an Sicherheitsmaßnahmen bei der Erbringung von Dienstleistungen an IACS
  • Die ISO 270xx-Normenreihe für ISMS
  • Die VDI/VDE-Richtlinie 2182
  • Vorgehensbeschreibung der VDI/VDE 2182
  • IT-Sicherheit in industriellen Anlagen
  • Das IT-Sicherheitsgesetz und KRITIS
  • Sicherheitskataloge der BNetzA für Energie und ITK
  • Informationssicherheit und IT Sicherheitskonzepte für ICS-Umgebungen
  • IT-Sicherheitsmaßnahmen beim Betrieb von IACS
  • Die Schutzzieldefinitionen in der industriellen IT
  • Security Level und Protection Level
  • Cyber Security und ICS
  • Der IT-Grundschutz des BSI
  • Bausteine und Umsetzungshinweise für ICS
  • IT-Sicherheit vs. Betriebssicherheit
  • Security by Design / Security by Default
  • Bestimmung von Security Levels in der Automation
  • Die ISO 22301 für Business Continuity Management Systeme (BCMS)
  • Aufbau eines ISMS und BCMS
  • Risikomanagement beim Betrieb von ICS-Systemen
  • Zonen, Conduits und Risikobeurteilung
  • Die Behandlung von Informationssicherheitsvorfällen
  • Haftungsrisiken für ICS-Betreiber
  • Gefährdungen und Maßnahmen in ICS- und IT- Infrastrukturen

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Verantwortliche für ICS / Automation Security
  • Betriebspersonal für industrielle IT / ICS
  • Verantwortliche im Risikomanagement
  • Verantwortliche im Business Continuity Management
  • Verantwortliche in der Informationssicherheit
  • CISO / IT-Sicherheitsbeauftragte
  • IT-Leitung / Administratoren
  • Unternehmensberater / Wirtschaftsprüfer

 

Ausbildung zum IT Risk Manager (DGI®)

Die Haupttätigkeit eines IT Risk Managers besteht darin, die IT-Risiken eines Unternehmens anhand der spezifischen Bedrohungslage zu identifizieren, realistische Risikoszenarien zu entwickeln und die Abschätzung der Schadensauswirkungen auf den Geschäftsbetrieb vorzunehmen.

Weitere Aufgaben, die in die Zuständigkeit eines IT Risk Managers fallen, sind insbesondere die Abstimmung und Koordination der IT-Risikostrategie, die Festlegung von Kriterien der Risikobewertung und der Risikoakzeptanz sowie die Planung angemessener Maßnahmen der Risikobehandlung zur Unterstützung der Unternehmensziele.

Der IT Risk Manager muss, um die Einhaltung der gesetzlich vorgeschriebenen Risikofrüherkennung zu gewährleisten, ein aktives risikoorientiertes Vorgehen in allen Geschäftsabläufen etablieren sowie die Planung und Umsetzung der Sicherungsmaßnahmen in den Bereichen Informationssicherheit und Business Continuity kontrollieren und steuern.

Des Weiteren ist für den Aufbau eines organisationsspezifischen Risikomanagementsystems (RMS) die erfolgreiche Integration der Planung, der Kontrolle und der Steuerung von Prozessen und ergänzenden Dokumenten sowie die Dokumentation eines Risikomanagementhandbuchs erforderlich.


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich des IT-Risikomanagements, der Aufgabenbeschreibung eines IT Risk Managers und des erforderlichen Fachwissens für die Etablierung eines RMS gemäß ISO 31000, ISO 27005 sowie des BSI IT-Grundschutz.

Die Teilnehmer können nach Abschluss der Ausbildung die Planung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines RMS zur Umsetzung bringen.


Inhalt

  • IT-Management und IT-Risikomanagement
  • Die Risikostrategie
  • Aufbau, Begrifflichkeiten und Umsetzung eines RMS
  • Aufgaben des „Risk Managers“ im RMS
  • Die Risikomanagementorganisation und Verantwortlichkeiten im RMS
  • Fachbegriffe der Normen und des Risikomanagements
  • Die IT Compliance
  • Die Risikofrüherkennung
  • Die IT Governance
  • IT-Sicherheitsgesetz und KRITIS
  • Informationssicherheit und Cybersicherheit
  • ISO 31000
  • ONR 4900x-Normenfamilie
  • ISO 27005
  • ISO 270xx-Normenfamilie
  • BSI-Standard „200-3 Risikoanalyse“
  • Der Risikomanagementprozess
  • Durchführung eines Risiko-Assessments
  • Die Risikoanalyse
  • Die Risikoidentifikation
  • Die Risikoabschätzung
  • Die Risikopriorisierung
  • Die Risikokriterien zur Risikobewertung und Risikoakzeptanz
  • Die Risikobehandlung
  • Die Restrisiken
  • Schadenshöhe und Eintrittswahrscheinlichkeit
  • „Brutto“- und „Netto“-Risiken
  • Proaktives und reaktives Risikomanagement
  • Die Risikoakzeptanz
  • Die Risikointegration in den Geschäftsbetrieb
  • Risikoorientierte Steuerung von Geschäftsabläufen
  • Bestimmung geschäftskritischer Geschäftsprozesse
  • Abhängigkeiten und Wechselwirkungen des IT-gestützten Geschäftsbetriebs erkennen
  • Kennzahlen und KPIs im IT-Risikomanagement
  • Kommunikation und Reporting des Risikomanagements
  • Aufrechterhaltung und Verbesserung des RMS
  • Unterstützende Managementsysteme wie ISMS und BCMS
  • Maßnahmen der Informationssicherheit
  • Maßnahmen des Business Continuity Management (BCM)
  • Business Impact Analyse (BIA)
  • Kontinuitätsstrategien

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Angehende IT Risk Manager
  • IT-Leitung
  • IT-Administratoren
  • IT-Sicherheitsbeauftragte / Chief Information Security Officer
  • Verantwortliche im Risikomanagement
  • Verantwortliche in der Revision / IT-Revision
  • Führungskräfte
  • Projektleitung
  • Unternehmensberater
  • Wirtschaftsprüfer

Ausbildung zum Kryptographie Security Expert (DGI®)

Sicherheitsmaßnahmen können nur dann wirksam sein, wenn deren Bestimmung und Umsetzung eine ganzheitliche Betrachtung, einschließlich der Betrachtung der Perspektive potenzieller Angreifer, zugrunde liegt.

Eine Vielzahl von Sicherheitsmaßnahmen berücksichtigt die Anwendung kryptographischer Verfahren, wie die Nutzung digitaler Zertifikate und Signaturen, den Aufbau von Public-Key-Infrastrukturen (PKI), den verschlüsselten Datenaustausch in Netzwerken via Ethernet- oder IP-Verschlüsselung oder auf der Anwendungsschicht via S/MIME. Die sinnhafte Einführung und Nutzung solcher Verfahren und Komponenten setzt ein strukturiertes Vorgehen in der Bedrohungsanalyse, unter Berücksichtigung aktueller Angriffsmethoden und Vorgehensweisen potenzieller Angreifer, voraus. Des Weiteren muss die ordnungsgemäße Anwendung kryptografischer Verfahren umgesetzt und fehlerhafte Implementierungen und Konfigurationen von Sicherheitskomponenten verhindert werden. Ein angemessenes Sicherheitsniveau der Nutzung kryptographischer Verfahren wird erreicht, wenn das Zusammenwirken aller Faktoren bei der Einführung und Verwendung bewusst gesteuert wird.

Die Auseinandersetzung mit der Nutzung und Anwendung kryptographischer Verfahren unterstützt zusätzlich den Wissensaufbau im Bereich der Informationssicherheit, insbesondere des Datenschutzes sowie der IT-Sicherheit.


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung ist die Vermittlung der für die praktische Anwendung kryptographischer Verfahren erforderlichen Fachkenntnisse, der aktuellen Verschlüsselungstechniken, der Anwendung von Sicherheitszertifikaten und digitalen Signaturen sowie des Aufbaus von Public-Key-Infrastrukturen (PKI).

Die Teilnehmer erwerben Kenntnisse über aktuelle Bedrohungs- und Risikolagen bei der Nutzung kryptographischer Verfahren, wie S/MIME, SSL oder X.509-Zertifikaten und die Umsetzung von Maßnahmen zur Sicherstellung der Schutzziele einer Organisation.


Inhalt

  • Einführung
    • Definition und Abgrenzung der IT‑Sicherheit
    • Diskussion konkreter Beispiele
  • Theoretische Grundlagen
    • Grundlegende Operationen in der Kryptographie (einführende mathematische Grundlagen)
    • Historische Verfahren der Kryptographie
    • Kryptographische Hashverfahren
    • Symmetrische Verschlüsselungsalgorithmen
    • Asymmetrische Verfahren (Verschlüsselung und digitale Signatur mit RSA und elliptischen Kurven)
    • Schlüsselaustauschverfahren (Diffie-Hellmann und Elliptic Curve Diffe-Hellmann)
    • Zufallszahlen
    • PKI-Infrastrukturen (Digitale Zertifikate, Wurzel- und CAInstanzen, Sperrlisten, OCSP)
  • Ermittlung und Definition von IT‑Sicherheitsanforderungen
    • Technische Richtlinien und Vorgaben des Bundesamts für Sicherheit in der Informationstechnik
    • Bedrohungsanalyse
    • Risikobewertung
    • Nutzung des CORAS-Verfahrens
  • Ausgewählte Themenschwerpunkte (werden nach Bedarf der angemeldeten Teilnehmer vertiefend behandelt)
    • Frameworks und Bibliotheken für die Entwicklung sicherer Komponenten
    • Vorgehensmodelle in der Entwicklung und Test
    • Evaluierung und Zertifizierung gemäß ISO 15408 (Common Criteria)
    • Netzwerksicherheit – Diskussion aktueller Verfahren auf OSI Layer-2 und Layer-3
  • Praktische Übungen (finden verteilt über den gesamten Verlauf des Seminars statt)
    • Schlüsselgenerierung / Erzeugung von Zertifikaten
    • Verschlüsselung von Daten und Dateien
    • S/MIME-Sicherheit
    • Netzwerkanalyse und Netzwerksicherheit
    • Passwortsicherheit

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Personen, die kryptographische Verfahren bewerten oder anwenden müssen (z. B. Lösungsarchitekten)
  • IT-Sicherheitsbeauftragte
  • Chief Information Security Officer
  • Datenschutzbeauftragte
  • Verantwortliche in der Informationssicherheit

Ausbildung zum Lead Auditor ISO 27001 (DGI®)

Die Haupttätigkeit eines Lead Auditors ISO 27001 besteht darin, die systematische Beurteilung des bestehenden Informationssicherheitsniveaus eines Unternehmens vorzunehmen sowie insbesondere die Angemessenheit der umgesetzten infrastrukturellen, technischen, organisatorischen und personellen Maßnahmen zu bewerten.

Weitere Aufgaben, die in die Zuständigkeit eines Lead Auditors ISO 27001 fallen, sind die Entwicklung und Steuerung des Auditprogramms sowie die Erstellung der erforderlichen Audit-Checklisten für die Bewertung des ISMS.

Der Lead Auditor ISO 27001 muss die erforderlichen Audit-Methoden, wie Stichprobenprüfung, Dokumentenprüfung, Interviewführung oder Begehung von Standorten, anwenden können. Er benötigt die Kompetenzen, um die an ein Unternehmen gestellten standort- und branchenspezifischen Anforderungen fachgerecht einzubeziehen und die Konformität der Maßnahmenumsetzung sowie die Einhaltung der beabsichtigten Maßnahmenziele festzustellen.

Des Weiteren ist die Festlegung von Kriterien für die Bewertung der Feststellungen im Rahmen der Durchführung des ISMS‑Audits sowie für die Erstellung eines ISMS-Auditberichts erforderlich.


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich der Durchführung eines Audits gemäß ISO 19011, der Aufgabenbeschreibung des Lead Auditors ISO 27001 und des erforderlichen Fachwissens für die Auditierung eines ISMS.

Die Teilnehmer können nach Abschluss der Ausbildung die Durchführung eines ISMS-Audits planen sowie eine Bewertung des bestehenden ISMS vornehmen.


Inhalt

  • Planung, Zielsetzung und Durchführung eines Audits
  • Bestimmung des Anwendungs-bereichs eines Audits (Scope)
  • Bestimmung eines Informationsverbundes
  • Internes und externes Audit
  • Anforderungen an ein Audit und den Auditor
  • Fachbegriffe aus Normen
  • Fachbegriffe eines Audits
  • Auditierung von Konformitäten gegen Rechtsvorschriften, Standards und Normen
  • Prüfkriterien gemäß ISO 19011
  • Erstellung eines Auditprogramms
  • Rollen und Zuständigkeiten im Auditprozess
  • Kommunikation im Auditprozess
  • Umgang mit Auditrisiken
  • Audit-Methoden zur Überprüfung eines Sicherheitskonzepts
  • Prüfung der Prozesse und Dokumentationen eines ISMS
  • Audit-Checkliste gemäß ISO 27001 und BSI IT-Grundschutz
  • Exemplarische Prüfpunkte eines ISMS-Audits
  • Prüfung der Aufbau- und Ablauforganisation
  • Prüfung der technischen und organisatorischen Maßnahmen
  • Beobachtung von Arbeitsabläufen
  • Dokumentensichtung und Dokumentenprüfung
  • Erfüllung von Nachweispflichten
  • Stichprobenprüfung und statistische Analysen
  • Vor-Ort-Prüfung
  • Interviewteilnehmer
  • Interviewführung
  • Konformitäten und Abweichungen
  • Feststellungen eines ISMS-Audits
  • Behandlung von Feststellungen
  • Entwicklung, Umsetzung und Nachverfolgung von Korrekturmaßnahmen
  • Festlegung von Maßnahmen
  • Bewertung der Ergebnisse
  • Dokumentation von Feststellungen
  • Regelmäßige Überprüfung von Maßnahmen und Revision
  • Kontinuierliche Verbesserung
  • Inhalte, Gliederung und Erstellung eines ISMS-Auditberichts
  • Nachbereitung und Auswertung eines Audits
  • Abschlussgespräch zum Audit
  • Integration anderer Managementsysteme wie ISO 9001 oder ISO 22301

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Voraussetzungen

Der vorherige Besuch einer Ausbildung zum IT-Sicherheitsbeauftragten /Informationssicherheitsbeauftragten oder vertiefte Kenntnisse im Bereich der Informationssicherheit werden vorausgesetzt.


Zielgruppe

  • Informationssicherheitsbeauftragte / IT‑Sicherheitsbeauftragte
  • Verantwortliche in der Informationssicherheit
  • Verantwortliche im IT-Risikomanagement
  • Verantwortliche in der IT-Compliance
  • IT-Revisoren
  • Unternehmensberater

Ausbildung zum BSI IT-Grundschutz-Praktiker (DGI®)

Die Schulung zum BSI IT-Grundschutz-Praktiker erfüllt das Curriculum sowie die Qualifizierungsanforderungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) und versetzt Sie in die Lage die Aufgaben eines IT‑Sicherheitsbeauftragten (ITSiBe) oder Informationssicherheitsbeauftragten (ISB) zu übernehmen.

Sie erlernen die Leitung Ihrer Organisation bei der Wahrnehmung der Pflichten zur Sicherstellung eines angemessenen Informationssicherheitsniveaus zu unterstützen, angemessene Maßnahmen für Ihr Sicherheitskonzept zu bestimmen sowie den spezifischen Schutzbedarf Ihrer Informationen, Anwendungen und IT-Systeme zu identifizieren.

Vertiefende Kenntnisse, die Sie im Rahmen unserer Ausbildung zum BSI IT-Grundschutz-Praktiker erlangen, sind die Umsetzung der Initiierung, Entwicklung, Lenkung und Dokumentation des Sicherheitsprozesses, die Umsetzung der erforderlichen Sicherheitskonzeption sowie der Aufrechterhaltung und Verbesserung der Informationssicherheit.

In Ihrer Funktion als ITSiBe oder ISB steuern Sie die Einhaltung der Ziele zur Informationssicherheit durch die Betrachtung von Gefährdungslagen, die Überprüfung von Sicherheitsvorfällen sowie deren Schadensereignissen und fördern das Erkennen der Risikolagen und Bedrohungsszenarien in der eigenen Organisation.

Des Weiteren erwerben Sie das Know-how für den Aufbau eines organisationsspezifischen ISMS gemäß BSI IT-Grundschutz, die erfolgreiche Integration der Planung, der Kontrolle sowie der Steuerung von Prozessen und ergänzenden Dokumenten sowie die Dokumentation einer Sicherheitskonzeption gemäß BSI-Standard 200-2.


Ziel der Ausbildung

Der Schwerpunkt der Basisschulung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich der Informationssicherheit sowie des erforderlichen Fachwissens für die Planung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines ISMS gemäß BSI IT-Grundschutz bis hin zur erforderlichen Zertifizierungsreife.

Als Teilnehmer erwerben Sie, durch das erfolgreiche Ablegen unserer Prüfung zum BSI IT-Grundschutz-Praktiker (DGI®), die Berechtigung zur Teilnahme an der Aufbauschulung zum BSI IT-Grundschutz-Berater (DGI®).


Inhalt

  • IT-Management, Informationssicherheit und Cyber Security
  • IT Compliance und IT Governance
  • IT-Sicherheitsgesetz und KRITIS
  • Rechtsvorschriften, Standards und Normen in der Informationssicherheit
  • Initiierung und Organisation des Sicherheitsprozesses
  • Informationssicherheitsstrategie und Informationssicherheitsleitlinie
  • Aufgaben des ISB im ISMS
  • Die Sicherheitsorganisation und Verantwortlichkeiten im ISMS
  • Fachbegriffe der Normen und der Informationssicherheit
  • Fachbegriffe des BSI IT-Grundschutzes
  • Vergleich BSI IT-Grundschutz und ISO 27001 / 27002
  • Aufbau, Begrifflichkeiten und Umsetzung eines ISMS
  • Umsetzung eines ISMS als integriertes Managementsystem
  • Das BSI IT-Grundschutz-Kompendium
    • Bausteinstruktur und -inhalte wie APP, CON, DER, IND, INF, ISMS, NET, OPS, ORP und SYS
  • Die BSI-Standards
    • 200-1 „Managementsysteme für Informationssicherheit“
    • 200-2 „IT-Grundschutz-Methodik“
    • 200-3 „Risikoanalyse auf Basis von IT-Grundschutz“
    • 100-4 „Notfallmanagement” (Ausblick auf 200-4 “Busniess Continuity Management”)
  • Technische Richtlinien des BSI
  • Dokumentation im Sicherheitsprozess
  • Erstellung einer Sicherheitskonzeption nach der Vorgehensweise
    • Basisabsicherung
    • Standardabsicherung
    • Kernabsicherung
  • Geltungsbereich und Informationsverbund
  • Strukturanalyse und Netzplanerhebung
  • Erfassung der Geschäftsprozesse und Anwendungen sowie zugehöriger Informationen
  • Erhebung der IT- und ICS-Systeme, der Räume und der Kommunikationsverbindungen
  • Schutzbedarfsfeststellung
    • Definition der Schutzbedarfskategorien
    • Maximumprinzip, Verteilungs- und Kumulationseffekt
  • Modellierung eines Informationsverbunds
  • IT-Grundschutz-Check
  • Umsetzung der Sicherheitskonzeption
  • Konsolidierung des Sicherheitskonzepts
  • Rückführung in den Sicherheitsprozess
  • Grundlagen des IT-Risikomanagements
  • Notfallmanagement / Business Continuity Management (BCM)
  • Business Impact Analyse (BIA)
  • Korrelierende Normen wie ISO 31000 und ISO 22301
  • Empfehlungen zu Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal und Technik
  • Zertifizierung auf der Basis von IT-Grundschutz
  • Hilfsmittel zur Umsetzung eines ISMS

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Angehende Informationssicherheitsbeauftragte
  • IT-Leitung
  • IT-Administratoren
  • Verantwortliche in der Informationssicherheit
  • Verantwortliche im Risikomanagement
  • Verantwortliche im Business Continuity Management
  • Verantwortliche in der Revision / IT-Revision
  • Führungskräfte

Ausbildung zum Business Continuity Manager (DGI®) gemäß ISO 22301, ISO 27031 und BSI IT-Grundschutz

Die Haupttätigkeit eines Business Continuity Managers besteht darin, die Widerstandsfähigkeit der Organisation zu stärken, um bei zeitkritischen Sicherheitsvorfällen einen schnellstmöglichen Wiederanlauf der Geschäftstätigkeit sicherstellen und negative Auswirkungen für ihr Unternehmen abwenden zu können.

Weitere Aufgaben, die in die Zuständigkeit eines Business Continuity Managers fallen, sind die Abstimmung und Koordination der Business Continuity Strategie, insbesondere die Festlegung von Wiederanlauf- und Wiederherstellungsparametern, von Kontinuitätsstrategien sowie die Durchführung von Business Impact Analysen (BIA).

Der Business Continuity Manager sollte Maßnahmen zur Notfallvorsorge umsetzen, um den Eintritt von möglichen Schadensereignissen abzuwenden sowie Maßnahmen zur Umsetzung bringen, die für den Fall eines Schadenseintritts eine angemessene Notfallbewältigung ermöglichen.

Des Weiteren ist eine erfolgreiche Planung, Kontrolle und Steuerung von Notfallprozessen sowie die Dokumentation eines IT-Notfallkonzepts und eines IT-Notfallhandbuchs, inklusive Sofort-, Wiederanlauf-, Wiederherstellungs- und Geschäftsfortführungsplänen, essenziell für die Etablierung eines organisationsspezifischen Business Continuity Management Systems (BCMS).


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich des Business Continuity Managements (BCM), der Aufgabenbeschreibung des Business Continuity Managers und des erforderlichen Fachwissens für die Etablierung eines BCMS gemäß ISO 22301, ISO 27031 sowie des BSI IT-Grundschutz.

Die Teilnehmer können nach Abschluss der Ausbildung die Planung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines normkonformen BCMS, bis hin zur Zertifizierungsreife Ihres Unternehmens, zur Umsetzung bringen.


Inhalt

  • IT-Management, BCM und Resilienz
  • Die Strategie zum BCM
  • Rechtliche Vorgaben zum BCM
  • Das IT-Sicherheitsgesetz und KRITIS
  • Kennzahlen und KPIs des BCM
  • Aufgaben des Business Continuity Managers wie Planung, Kontrolle und Steuerung des BCMS
  • Die Notfallorganisation und Verantwortlichkeiten im BCM
  • Fachbegriffe im BCM
  • Die Normenfamilie 223xx
  • Die ISO 27031 und IT Readiness for Business Continuity (IRBC)
  • Die ISO 27002 und BCMS
  • Der BSI-Standard „200-4 Business Continuity Management“
  • Betrieb, Aufrechterhaltung und Verbesserung eines BCMS
  • Durchführung einer BIA
  • Wiederanlauf- und Wiederherstellungsphasen
  • RPO, RTO und MTPD
  • Der IT-Notfallmanagementprozess
  • Die Entwicklung von Kontinuitätsstrategien
  • Maßnahmen zur Kontinuität
  • Die Schadensanalyse und Schadensklassen
  • Die Implementierung eines BCMS
  • Die Umsetzung der Notfallvorsorge
  • Das Notfallvorsorgekonzept
  • Maßnahmen zur Notfallvorsorge
  • Die Umsetzung der Notfallbewältigung
  • Das Notfallkonzept
  • Maßnahmen zur Notfallbewältigung
  • Tests und Übungen im BCM
  • Das IT-Notfallhandbuch
  • Kontinuierliche Verbesserung des BCMS
  • Die Dokumentationen des BCM
  • Desaster Recovery
  • Awareness / Sensibilisierung der Beschäftigten
  • Das Risikomanagement und BCM
  • Die Risikofrüherkennung
  • Die Risikoanalyse
  • Die Risikobehandlung und Maßnahmenumsetzung

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Angehende Business Continuity Manager
  • IT-Leitung
  • IT-Administratoren
  • IT-Sicherheitsbeauftragte / Chief Information Security Officer
  • Verantwortliche im Risikomanagement
  • Verantwortliche in der Revision / IT-Revision
  • Führungskräfte
  • Projektleitung
  • Unternehmensberater
  • Wirtschaftsprüfer

IT-Grundlagen aus Sicht des Datenschutzes und der IT-Sicherheit (DGI®)

Die in den letzten Jahren vermehrt Einzug gehaltene Digitalisierung von Geschäftsprozessen und die damit einhergehende IT-gestützte Datenverarbeitung führt zu einer intensiven Auseinandersetzung mit den Maßnahmen zur IT-Sicherheit sowie des Datenschutzes.

So müssen insbesondere der Datenschutzbeauftragte und sämtliche Personen, die für die Einhaltung von Anforderungen an die IT-Sicherheit verantwortlich sind, eine zunehmend hohe Kenntnis der in der eigenen Organisation verwendeten technischen Komponenten und IT-gestützten Anwendungen sowie deren Funktionsweisen und Aufgaben bei der Verarbeitung digitaler Daten besitzen.

Zudem müssen IT-sicherheitsrelevante und datenschutzrechtlich gesondert zu berücksichtigende Bereiche, anhand der Signifikanz der automatisierten Verarbeitung von geschäftsrelevanten und personenbezogenen Daten, bewertet werden können.

Somit ist der Aufbau von persönlichem Wissen und die Vertiefung des Know-hows der verantwortlichen Personen, für die Sicherstellung eines ordnungsgemäßen, sicheren und konformen Betriebs der IT, eine Schlüsselqualifikation, um die Bewertung des organisationsspezifischen Sicherheitsniveaus vornehmen zu können und angemessene Maßnahmen der Informationssicherheit umzusetzen.


Seminarziel

Der Schwerpunkt des Seminars liegt in der Vermittlung von Basiswissen aus dem Bereich der Informationstechnologie (IT). Insbesondere werden Grundlagen geschaffen, um die Zusammenhänge zwischen technischen Komponenten und deren Auswirkungen auf datenschutzrechtliche Anforderungen und die IT-Sicherheit verstehen und beurteilen zu können.


Inhalt

  • Netzwerkkomponenten
    • Server (z. B. Mailserver, Webserver, Proxyserver)
    • Clients (z. B. PC, Host)
    • Hardware (z. B. Router, Switch, Firewall, USV)
    • Mobile Geräte (z. B. Laptop, Smartphones)
  • Netzwerke
    • Netzwerkdienste (z. B. DNS)
    • Topologien
    • Protokolle (z. B. TCP/IP)
    • Internet, Intranet, Extranet
    • WLAN, VoIP
  • Anwendungen
    • Software
    • Maildienste (z. B. Microsoft Exchange)
  • Infrastruktur
    • Gebäude- und Raumstruktur
    • Klima / Notstrom
  • Schutzkonzepte
    • Passwortkonvention
    • Passwortkonzept
    • Berechtigungskonzept
    • Backupkonzept
    • Archivkonzept
    • Gruppen- / Rollenbasierte Zugänge
  • Angriffe und Schutzmaßnahmen
    • Hacking, Penetration Testing
    • Malware (Virus, Trojaner)
    • Netzwerkanalyse
    • Intrusion Detection- und Prevention Systeme
    • Virtualisierung
    • Virtual Private Network
    • Public Key Infrastructure
  • Kryptographie in der praktischen Anwendung
  • Neue Entwicklungen, wie z. B. Cloud Computing, Social Media

Abschluss: Teilnahmebestätigung


Zielgruppe

  • Datenschutzbeauftragte
  • IT-Sicherheitsbeauftragte / Chief Information Security Officer
  • Verantwortliche in den Bereichen Datenschutz und Informationssicherheit
  • Revisoren / IT-Revisoren
  • Wirtschaftsprüfer
  • Mitarbeiter aus den Bereichen Personal
  • Mitarbeiter aus Betriebs- / Personalräten

Ausbildung zum IT-Sicherheitsbeauftragten (ITSiBe) / Chief Information Security Officer (CISO) (DGI®)

Die Haupttätigkeit eines IT-Sicherheitsbeauftragten (ITSiBe) / Chief Information Security Officer (CISO) besteht darin, die Geschäftsführung bei der Wahrnehmung ihrer Pflichten zur Sicherstellung eines angemessenen Informationssicherheitsniveaus zu unterstützen und den spezifischen Schutzbedarf der Unternehmenswerte bei der Ausführung der Geschäfts- und Produktionsprozesse zu identifizieren.

Weitere Aufgaben, die in die Zuständigkeit eines ITSiBe / CISO fallen, sind die Abstimmung und Koordination der Informationssicherheitsstrategie, die Ableitung der Ziele zur Informationssicherheit, das Erkennen der unternehmensspezifischen Risikolagen und Bedrohungsszenarien sowie die Kontrolle und Steuerung der nachhaltigen Umsetzung von angemessenen und wirksamen Sicherungsmaßnahmen.

Der ITSiBe / CISO muss den IT-gestützten Geschäftsbetrieb in Einklang mit den Vorgaben der Governance, der Compliance und des ordnungsgemäßen IT-Betriebs bringen, die Überprüfung eingetretener Sicherheitsvorfälle und Schadensereignisse initiieren und verbessern sowie insbesondere die Wahrung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität sicherstellen.

Des Weiteren ist für den Aufbau eines organisationsspezifischen Informationssicherheitsmanagementsystems (ISMS) die erfolgreiche Integration der Planung, der Kontrolle sowie der Steuerung von Prozessen und ergänzenden Dokumenten sowie die Dokumentation eines Sicherheitskonzepts erforderlich.


Ziel der Ausbildung

Der Schwerpunkt der Ausbildung liegt auf der Vermittlung von Fachbegriffen aus dem Bereich der Informationssicherheit, der Aufgabenbeschreibung des ITSiBe / CISO sowie des erforderlichen Fachwissens für den Aufbau eines Informationssicherheits­managementsystems (ISMS) gemäß ISO 27001 und ISO 27002.

Die Teilnehmer können nach Abschluss der Ausbildung die Planung, den Aufbau, den Betrieb sowie die Aufrechterhaltung und Verbesserung eines normkonformen ISMS, bis hin zur Zertifizierungsreife einer Organisation, zur Umsetzung bringen.


Inhalt

  • Datenschutzrechtliche Anforderungen und Informationssicherheit
  • IT-Management und Informationssicherheit
  • Die Sicherheitsstrategie
  • Ziele der Informationssicherheit
  • Bedrohungslagen der Cyber Security
  • IT Compliance
  • IT Governance
  • IT-Sicherheitsgesetz und KRITIS
  • Überblick ITIL und COBIT
  • IT Controlling
  • IT Scorecard
  • Kennzahlen und KPIs der Informationssicherheit
  • Aufgaben des ITSiBe wie Planung, Kontrolle und Steuerung des ISMS
  • Die Sicherheitsorganisation und Verantwortlichkeiten im ISMS
  • Fachbegriffe der Normen und der Informationssicherheit
  • Die 270xx-Normenreihe
  • Zusammenwirken der ISO 27001 und ISO 27002
  • Die Informationssicherheitsleitlinie
  • Planung, Initiierung, Betrieb, Kontrolle und Aufrechterhaltung eines ISMS
  • Ressourcen und Fähigkeiten zum Betrieb eines ISMS
  • Verantwortlichkeiten und Rollen im ISMS
  • Risikolagen und Bedrohungsszenarien
  • Die Strukturanalyse
  • Die Schutzbedarfsfeststellung
  • Die Definition von Schutzbedarfsklassen
  • Vorgehensweise des BSI IT-Grundschutz
  • Übersicht IT-Grundschutz-Kompendium
  • Die Erstellung eines IT-Sicherheitskonzeptes
  • Umsetzung des Informationssicherheitsprozesses
  • Risikomanagement gemäß ISO 31000
  • Der IT-Risikomanagementprozess
  • Das IT Risiko-Assessment
  • Die Risikobehandlung und Maßnahmenumsetzung
  • IT-Sicherheitszertifizierungen und Auditierung
  • Business Continuity Management (BCM) gemäß ISO 22301
  • Business Impact Analyse (BIA)
  • Erstellung eines IT-Notfallkonzeptes

Abschluss: Teilnahmebestätigung

Optional: Prüfung mit Personenzertifikat (DGI®), personalisiertes Siegel (DGI®)


Zielgruppe

  • Angehende ITSiBe / CISO
  • IT-Leitung
  • IT-Administratoren
  • Verantwortliche in der Informationssicherheit
  • Verantwortliche im Risikomanagement
  • Verantwortliche im Business Continuity Management
  • Verantwortliche in der Revision / IT-Revision
  • Führungskräfte
  • Projektleitung
  • Datenschutzbeauftragte
  • Unternehmensberater
  • Wirtschaftsprüfer