DEKRA Kooperationspartner

Chief Information Security Officer (CISO)

Termine
  • 7. - 11. Oktober 2024

Vertiefen Sie Ihr Wissen als Chief Information Security Manager und lernen Sie mehr über ISMS Governance.

€ 3.490 zzgl. MwSt.

ZIELGRUPPE
  • Diese Schulung richtet sich an Führungskräfte und Manager, die eine Position als Chief Information Security Officer (CISO) anstreben oder ihre Fähigkeiten in diesem Bereich vertiefen wollen.

ORGANISATORISCH
  • Vor-Ort Schulung

  • Max. 10 Teilnehmer

Nutzen

Zielsetzung der Schulung

  • Die Rolle und Verantwortlichkeiten eines CISO im Kontext der Unternehmensführung zu verstehen und auszuführen.
  • Strategische Steuerung von Prozessen wie PDCA (Plan-Do-Check-Act) und KVP (Kontinuierlicher Verbesserungsprozess) zu übernehmen.
  • Aktuelle und potenzielle Bedrohungen und Risiken der Informationssicherheit zu bewerten und geeignete Strategien zur Risikominderung zu entwickeln.
  • Verschiedene Sicherheitstechnologien zu bewerten und effektiv einzusetzen.
  • Rechtliche Aspekte der Informationssicherheit zu verstehen und Compliance-Anforderungen zu erfüllen.
  • Ein effektives Informationssicherheitsmanagement zu implementieren und zu steuern, einschließlich der Entwicklung und Durchführung von Sicherheitsaudits.
  • Effektive Maßnahmen zur Incident Response und zum Management von Sicherheitsvorfällen zu implementieren.
  • Die Performance des Informationssicherheitsmanagementsystems (ISMS) anhand von KPIs zu bewerten und zu lenken.
  • Eine umfassende und effektive Risikoanalyse und -bewertung gemäß BSI-Standard 200-3 durchzuführen.

Kurs Inhalt

1. Informationssicherheit-Governance
  • Informationssicherheitskonzepte
  • Definieren, Implementieren, Verwalten und Aufrechterhalten eines Informationssicherheits-Governance-Programms
    • Form der Geschäftsorganisation
      • Branche
      • Organisationsstruktur
      • Organisationsreife
  • Treiber der Informationssicherheit
  • Aufbau einer Informationssicherheitsmanagement-Struktur
    • Sicherheitsorganisation und Verantwortlichkeiten – strategische Rollen im ISMS
    • Organisationsstruktur
    • Abgrenzung ISO vs. CISO
    • CISO im Kontext der Unternehmensführung
      • Wo passt der CISO in die Organisationsstruktur?
      • Rolle und Verantwortlichkeiten des CISO
      • Der leitende CISO
      • Nicht leitender CISO
    • Rolle einer Informationssicherheits-Lenkungsgruppe.
    • Aufgaben, Verantwortlichkeiten und Struktur des Informationssicherheitsmanagements.
  • Methoden zur Einbindung von Informationssicherheit in die Unternehmens-Governance.
  • Best Practices für die Förderung der Informationssicherheit im Unternehmen.
  • Festlegung von Niveaus und Erwartungen für Informationssicherheit im Unternehmen.
  • Bereiche der Governance (z. B. Risikomanagement, Datenklassifizierungsmanagement, Netzwerksicherheit, Systemzugriff). Zentrale und dezentrale Ansätze für die Koordination der Informationssicherheit.
  • Gesetze/Verordnungen/Standards als Treiber für Organisationsrichtlinien/Standards/Verfahren
    • NIST Risk Management Guidance
    • NIST RMF
  • Verwaltung eines Unternehmensprogramms zur Einhaltung der Informationssicherheit.
  • Funktion und Inhalt wesentlicher Elemente eines Informationssicherheitsprogramms (z. B. Ansatzdarlegungen, Verfahren und Richtlinien)
    • IT & Informationssicherheitsrichtlinie
      • Notwendigkeit einer unternehmensweit IT & Informationssicherheitsrichtlinie
      • Der Prozess, Ansätze mit den Geschäftszielen des Unternehmens zu verbinden Herausforderungen bei der Erstellung einer IT & Informationssicherheitsrichtlinie
    • Inhalte einer Informationssicherheitsrichtlinie
      • Welche Art von Richtlinien gibt es?
      • Umsetzung einer Richtlinie in der Praxis.
    • Kommunikationsstruktur
    • Standards & Best Practices
    • Leadership & Ethics
2. ISMS Risikomanagement, Kontrollen & Maßnahmen und Audit Management
  • Informationssicherheit Assetsmanagement
    • Unterscheidung Primäre & sekundäre Assets
    • Informationswerte, die zur Unterstützung der Geschäftsabläufe benutzt werden
    • Bewertungsmethodologien für Informationswerte
    • Informationsklassifizierung
    • Gefahren, Schwachstellen und Risikoanfälligkeit in Verbindung mit Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen
    • Quantitative und qualitative Methoden zur Bestimmung von Sensitivität und Wichtigkeit von Informationswerte und die Auswirkung ungünstiger Ereignisse
  • Informationssicherheit Risikomanagement
    • Risikoanalyse und -Bewertung
    • Risikominderung, Risikobehandlung und akzeptables Risiko
    • Risikobehandlung
      • Optionen der Risikobehandlung
        • Risikomodifizierung oder -minderung
        • Risikorückhaltung oder Akzeptanz
        • Risikovermeidung oder -eliminierung
        • Risikoteilung oder -übertragung
    • Risikokategorien
    • Amortisationsdauer Ziele (RTO) für Informationsressourcen und die Bestimmung von RTO und in welchem Verhältnis diese zur betrieblichen Kontinuität und den Zielen und Prozessen der Notfallplanung stehen
    • Risikominderungsstrategien, die bei der Definition der Sicherheitsanforderungen für Informationsressourcen zur Unterstützung von Unternehmensanwendungen benutzt werden
    • Kosten-Nutzen-Analysetechniken zur Beurteilung von Optionen zur Abschwächung von Risiken, Bedrohungen und Risikoanfälligkeit auf ein annehmbares Niveau
    • Management und Reporting des Status identifizierter Risiken
    • Risikomanagement-Rahmenwerke
      • ISO 27005
      • BIS 200-3
      • NIST Risk Management Framework
      • Weitere Frameworks and Guidance (ISO 31000, TARA, OCTAVE, FAIR, COBIT, and ITIL)
    • Prinzipien und Praktiken des lebenszyklusbasierten Risikomanagements
  • Informationssicherheitskontrollen
    • Management und Steuerung der Informationssicherheitkontrollen
    • Prinzipien zur Entwicklung von Richtlinien und ihre Beziehung zu risikobasierten Beurteilungen von Kontrollanforderungen
    • Identifizierung der Informationssicherheitsbedürfnisse der Organisation
      • Identifizierung des optimalen Informationssicherheits-Frameworks
      • Gestaltung von Sicherheitskontrollen
      • Lebenszyklusmanagement der Kontrollen
      • Kontrollklassifizierung
      • Auswahl und Implementierung von Kontrollen
      • Kontrollkatalog
      • Kontrollreife
      • Überwachung von Sicherheitskontrollen
      • Behebung von Kontrollmängeln
      • Wartung von Sicherheitskontrollen
      • Berichterstattung über Kontrollen
      • Informationssicherheits-Servicekatalog
  • Compliance Management
    • Gesetze, Verordnungen und Statuten
    • Vorschriften
    • Standards
  • Richtlinien & Best Practices
  • Audit Management
    • Erwartungen und Ergebnisse von Audits
    • IT & Informationssicherheitsaudit
    • Bewertung von Nachweisen und Auditberichte und Korrekturmaßnahmen
  • Security Incident Management in der Verantwortung des CISO
  • Bewerten und Lenken des ISMS anhand von KPIs und internen Kontrollprozessen/Systemen
  • Strategische Steuerung von PDCA / KVP
3. Informationssicherheitprogramm-Management
  • Methoden zur Entwicklung eines Implementierungsplans, der den in der Risikoanalyse identifizierten Sicherheitsanforderungen entspricht
  • Methoden und Techniken für das Projektmanagement
  • Die Komponenten eines Informationssicherheits-Governance-Rahmenwerks zur Integration von Sicherheitsprinzipien, -praktiken, - management und -bewusstsein in alle Aspekte und Ebenen des Unternehmens
  • Sicherheits-Richtlinien und Konfigurationsmanagement bei Design und Management von Geschäftsanwendungen und der Infrastruktur
  • Informationssicherheitsarchitekturen: (z.B. Zero Trust, Einzelanmeldung, regelbasierte im Gegensatz zu listenbasierter Systemzugriffskontrolle für Systeme, beschränkte Systemverwaltungspunkte)
  • Informationssicherheitstechnologien (z. B. Verschlüsselungstechniken und Digitalunterschriften, um der Geschäftsleitung die Wahl entsprechender Kontrollvorrichtungen zu ermöglichen)
  • Sicherheitsverfahren und Richtlinien für Geschäftsabläufe und Infrastrukturaktivitäten Systementwicklungs-Lebenszyklusmethodologien (z. B. traditionelles SDLC, Prototypisierung)
  • Planung, Durchführung, Reporting und Weiterverfolgung von Sicherheitstests
  • Zertifizierung und Akkreditierung der Übereinstimmung der Geschäftsanwendungen und Infrastruktur mit dem Informationssicherheits- Governance-Rahmenwerk des Unternehmens
  • Arten, Vorteile und Kosten physischer, verwaltungstechnischer und technischer Kontrollen
  • Planung, Design, Entwicklung, Überprüfung und Implementierung der Informationssicherheitsanforderungen in die Geschäftsabläufe eines Unternehmens
  • Design, Entwicklung und Implementierung von Sicherheitsmetriesystemen
  • Methoden und Techniken für das Akquisitionsmanagement (z. B. Beurteilung von Lieferanten-Leistungsumfangsvereinbarungen, Vorbereitung von Verträgen)
4. Informationssicherheitsmanagement
  • Umsetzung von Informationssicherheitsansätzen in betriebliche Anwendung
  • Informationssicherheits-Verwaltungsprozesse und -verfahren
  • Methoden zur Verwaltung der Implementierung des Informationssicherheitsprogramms des Unternehmens durch Drittparteien, einschließlich Handelspartnern und Anbietern von Sicherheitsdienstleistungen
  • Fortwährende Überwachung der Sicherheitsaktivitäten in der Infrastruktur und den Geschäftsanwendungen des Unternehmens
  • Methoden zur Verwaltung von Erfolg/Misserfolg von Informationssicherheitsinvestitionen durch Datenerfassung und periodische Überprüfung von Schlüssel-Leistungsindikatoren
  • Aktivitäten des Änderungs- und Konfigurationsmanagements
  • Gebotene Sorgfaltsaktivitäten des Informationssicherheitsmanagements und Überprüfungen der Infrastruktur
  • Verbindungsaktivitäten mit internen/externen Versicherungsanbietern, die Informationssicherheitsprüfungen durchführen
  • Gebotene Sorgfaltsaktivitäten, Revisionen und damit verbundene Standards für Verwaltung und Kontrolle des Zugriffs auf Informationsressourcen
  • Externe Schwachstellen-Reportingquellen, die Informationen liefern, welche Änderungen an der Informationssicherheit von Anwendungen und Infrastruktur erforderlich machen können
  • Ereignisse, welche die Sicherheits-Basislinien beeinträchtigen und Risikobeurteilungen sowie Änderungen an den Informationssicherheitsanforderungen in Sicherheitsplänen, Testplänen und Reperfomance erforderlich machen Informationssicherheit- Problemmanagementpraktiken
  • Informationssicherheits-Manager übernimmt Aufgaben als Änderungsagent, Ausbilder und Berater
  • Die Art und Weise, in der Kultur und kulturelle Unterschiede das Verhalten des Personals beeinflussen
  • Die Aktivitäten, die Kultur und Verhalten des Personals verändern können
  • Methoden und Techniken zur Schulung und Ausbildung eines Sicherheitsbewusstseins
 
5. Technologien, Bedrohungen und Reaktionsmanagement bei der Informationssicherheit
  • Aktuelle Bedrohungen und Gefährdungen der IT-Sicherheit aus strategischer Sicht
  • Sicherheitstechnologien im Überblick
  • Informationssicherheitsmanagement vs. IT-Servicemanagement – Managemententscheidunge
  • Reaktionsmanagement
    • die Komponenten einer Zwischenfall-Reaktionsfähigkeit
    • Informationssicherheits-Notfallmanagementpraktiken (z. B. Produktionsänderungs-Kontrollaktivitäten, Entwicklung eines Computernotfall- Raktionsteams)
    • Notfallplanung und betriebliche Wiederherstellungsprozesse
    • Notfall-Wiederherstellungstests für Infrastruktur und wichtige Geschäftsanwendungen
    • Eskalationsprozesse für effektives Sicherheitsmanagement
    • Ansätze und Prozesse zum Erkennen von Eindringlingen
    • Helpdeskprozesse zur Identifizierung von Zwischenfällen, die von Benutzern gemeldet werden, und Unterscheidung von anderen Angelegenheiten, die vom Helpdesk erledigt werden
    • Der Benachrichtigungsprozess bei der Handhabung von Sicherheitszwischenfällen und Wiederherstellung: (z. B. automatische Benachrichtigungs- und Wiederherstellungsmechanismen, bspw. als Reaktion auf Virenalarm in Echtzeit)
    • Die Anforderungen zur Erfassung und Präsentation von Nachweisen; Regeln für Nachweise, Zulässigkeit von Nachweisen, Qualität und Vollständigkeit von Nachweisen
    • Revisionen und Weiterverfolgungsverfahren nach dem Zwischenfall 

Warum TASC?

  • Vorträge und Präsentationen durch erfahrene Informationssicherheitsexperten.
  • Interaktive Diskussionen und Gruppenarbeit.
  • Fallstudien und praktische Übungen zur Anwendung des erlernten Wissens.
  • Schulungsmaterialien, Handbücher und Fallbeispiele für Selbststudium.
  • Prüfungsvorbereitung und Feedback durch erfahrene Trainer.

Unserer Trainings & Zertifizierungspartner

TISAX® ist eine eingetragene Marke der ENX Association. Die Schönbrunn TASC GmbH steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.