Chief Information Security Officer nach DEKRA (DA-013)

Der Chief Information Security Officer vereint die Gesamtverantwortung für die Informationssicherheit eines Unternehmens. In größeren Unternehmen sind oft mehrere Informationssicherheitsbeauftragte angestellt. Deshalb ist der Chief Information Security Officer häufig auch ein Teil der Geschäftsführung. Er organisiert, entwickelt und beobachtet alle Maßnahmen, die zum Schutz von Informationen und Technologien innerhalb der Organisation dienen.

Zu den Aufgaben eines Chief Information Security Officer gehören unter anderem:

• Definierung die sicherheitsrelevanten Elemente, Risiken und Bedrohungen des Unternehmens
• Unternehmerischen Sicherheitsziele festlegen
• Aufbau einer funktionierenden Organisationseinheit für die Umsetzung der Sicherheitsziele
• Erarbeitung und Weiterentwicklung der Sicherheitsrichtlinien

Nach dem Seminar verfügen Sie über eine sehr gute Grundausbildung, die Sie als Information Security Officer benötigen und erlernen Methoden, wie Sie Ihr Wissen im Arbeitsalltag strukturiert einsetzen können.

Am Ende der Schulung kann eine Prüfung abgelegt werden. 

IT-Fachleute, IT-Berater, IT-Leiter, Führungskräfte, Informationssicherheitspersonal, IT-Berater, Datenschutzbeauftragte

Tag 1:

1. Management und Steuerung der Informationssicherheit

• Aufgaben und Verantwortungen des CISO
• Abgrenzung des CISO zum ISO
• Taktische Planung und Steuerung eines ISMS
• Synergie- und Effizienzbildung durch integrierte Managementsysteme
• Steuerungsinstrumente
• Indikatoren
• GAP-Analysen und Reifegradmessungen
• Asset-Register – Werte und Bewertung

2. Kontinuierliche Verbesserung

• Managementbewertungen
• Managemententscheidungen

3. Personelle Aspekte der Informationssicherheit

• Sicherheitsbewusstsein im Umgang mit Informationen
• Zielgruppenorientierung
• Vertrauenswürdigkeit von Mitarbeitern
• Umgang und Kommunikation mit den Stakeholdern (Management, Kunden, Kollegen, Behörden, usw.
• Sicherheitstechnologien

Tag 2:

4. Rechtliche Aspekte der Informationssicherheit, Compliance

• IT-Sicherheitsziele als Grundlage der IT-Compliance-Anforderungen
• Unternehmensstruktur: CISO (Chief Information Security Officer) und ISO (Information Security Officer)
• Übersicht über die relevanten Rechtsgrundlagen für den CISO
• Überblick über das Anforderungsprofil des CISO
• Stellung im Unternehmen (Position, Unabhängigkeit und Rechte)
• Arbeitsrechtliche Stellung und Haftung im Beschäftigtenverhältnis
• Rechtsgrundlagen - Strafrecht (StGB, NebenstrafR und StPO)
• Weitere relevante Pflichten des CISO
• Informationssicherheit vs. Datenschutz (Schutzobjekte / Schutzziele)
• Compliance vs. Datenschutz
• Einbindung der Informationssicherheit in das unternehmensweite Compliance-Management-System
• Grundlagen eines Compliance-Management-Systems (IDW PS 980 bzw. ISO 19600)

Tag 3:

5. Risikomanagement

• Einführung Risikomanagement
• Risikobewertung und Risikoanalyse
• Methoden und Standards
• IT-Risiken und IS-Risiken analysieren und bewerten
• Vorstellung der ISO 31000 sowie BSI Standard 200-3
• Einbindung in das Global Risk Management
• Vorgaben für das ISMS entwickeln
• Informationssicherheitsmanagement vs. IT-Servicemanagement

Tag 4:

6. Security Incident Management

• Einführung und Bedeutung Security Incident Management
• Rollenverteilung und Verantwortlichkeiten innerhalb des ISMS
• Aktuelle Bedrohungen/ Gefährdungen der Informationssicherheit
• Management von Sicherheitsvorfällen in komplexen Umgebungen
• IT-Notfallmanagement und Business Continuity Management
• Aufbau einer geeigneten Struktur und Organisation
• Notfallkonzepte
• Notfallhandbücher
• Business Continuity als Organisationsaufgabe
• Vorstellung der ISO 22301 sowie BSI Standard 100-4/200-4
• Bewerten und Lenken des ISMS (Kontrollprozesse, KPI´s etc.)

7. Nachweis und Auditierung der Informationssicherheit

• Nachweis und Dokumentation
• Auditprogramme
• Revision

Die Schulung ist für 4 Tage angedacht.

Unterrichtseinheiten:

▪ 9:00 bis ca. 16:30

▪ Mittagspause: 1 Stunde