Ausbildung zum IT-Sicherheitsbeauftragten

Seminarnummer: ISM-G01 

Der Teilnehmer kennt nach dem Seminar das Vorgehen zur Initiierung und Aufrechterhaltung eines angepassten IT-Sicherheitsprozesses (nach dem Grundschutzstandard des BSI) sowie die gesetzlichen Rahmenbedingungen. Dem Teilnehmer wird ermöglicht, die Position des IT-Sicherheitsbeauftragten zu gestalten, sein Anliegen gegenüber der Unternehmensleitung, dem Management und den Mitarbeitern zu vertreten, das Unternehmen sicherheitstechnisch zu analysieren und Sicherheitsmaßnahmen zu ergreifen. Das Seminar bietet Raum für Diskussionen, Meinungs- und Erfahrungsaustausch.

1. Tag

• Einführung in IT-Sicherheitsmanagement:
• Sicherheitsmanagement im Rahmen eines ganzheitlichen Risikomanagements
• Sicherheitsmanagement nach ISO 17799:2005 und ISO 27001:2005
• IT-Prozessmanagement nach ITIL
• Organisationsstrukturen für IT-Sicherheit:
• Aufgaben, Rechte und Pfl ichten des IT-Sicherheitsbeauftragten
• Ressourcenplanung
• Aufgaben, Rechte und Pflichten weiterer Rollen im Sicherheitsmanagement
• Rechtliche Rahmenbedingungen
• Analyse und Dokumentation der für Sicherheitsbeauftragte relevanten Rahmenbedingungen:
• Analyse der Abhängigkeiten zwischen der IT und den Zielen und Prozessen der Organisation
• Ableitung von Anforderungen an die IT-Sicherheit
• Auswahl von relevanten Standards und Normen
• Sensibilisierung des Managements für IT-Sicherheit

2. Tag

• BSI IT-Grundschutz und seine Anwendung als Methodik bzw. Hilfsmittel zur Erreichung eines angemessenen Sicherheitsniveaus:
• Die BSI-Standards
• Die „neuen“ IT-Grundschutzkataloge des BSI und deren Anwendung
• Vorgehensweise nach IT-Grundschutz (BSI):
• Strukturanalyse
• Schutzbedarfsfeststellung
• Basis-Sicherheitscheck, Ergänzende Risikoanalyse
• Realisierungsplanung von Maßnahmen:
• Kosten- / Nutzenanalyse
• Priorisierung von Maßnahmen
• Arbeiten mit dem BSI Grundschutztool (GSTOOL)
• Praktische Übungen zum IT-Grundschutz (BSI)

3. Tag

• Dokumentation eines angemessenen Sicherheitsniveaus nach außen und innen
• Erstellung einer IT-Sicherheitsleitlinie
• Einflußfaktoren für eine IT-Sicherheitsleitlinie
• Erstellung themenspezifischer Sicherheitsrichtlinien:
• Ableitung aus der IT-Sicherheitsleitlinie
• Richtlinie zur Nutzung von IT
• Richtlinie zum Austausch von Informationen
• Richtlinie zur Zutritts-, Zugangs- und Zugriffskontrolle
• Richtlinie zur Nutzung mobiler Endgeräte
• Erstellung von IT-Konzepten und weiteren Richtlinien
• Ableitung von zielgruppenspezifi schen Arbeitsanweisungen aus den Richtlinien
• Kommunikation aller organisatorischen Regelungen und revisionssicherer Nachweis der Kenntnisnahme

4. Tag

• Aufrechterhaltung eines angemessenen Sicherheitsniveaus:
• Pflege, Aktualisierung und Management von Richtlinien, Arbeitsanweisungen, Konzepten und weiteren Dokumentationen
• Planung und Durchführung von regelmäßigen Prüfungen zur Einhaltung von Sicherheitsmaßnahmen
• Detektion, Analyse von Sicherheitsverstößen/-vorfällen und angemessene Reaktionen
• Durchführung von regelmäßigen (externen) Audits
• Messung der Effektivität und Effi zienz von Sicherheitsmaßnahmen
• Erstellung von regelmäßigen Management-Reports
• Planung, Koordination und Initiierung von Verbesserungen
• Sensibilisierung von Mitarbeitern:
• Planung und Erstellung eines Sensibilisierungs- und Schulungskonzeptes
• Durchführung von Sensibilisierungsschulungen für IT-Sicherheit
• Messung der Wirksamkeit von Sensibilisierungsschulungen
• Durchführung von Übungen zur Meldung von Sicherheitsvorfällen
• Diskussionsrunde/Fragerunde
• Optional: Abschlussprüfung

Übersicht