ISMS mit ISO 27001 und BSI IT-Grundschutz

Sicherheitsstandards für ein Informationssicherheitsmanagementsystem (ISMS) im Überblick

• Begriffsbildung ISMS
• Relevante Standards
• Gesetzliche Rahmenbedingungen und sonstige Anforderungen
• Die Familie ISO 2700x
• BSI-Standards und IT-Grundschutz-Kompendium
• Blick über den Tellerrand:
  • PCI DSS
  • IEC 62443
  • FIPS 199, 200 und NIST 800-53
  • NIST Cybersecurity Framework
  • ISIS12

Organisation und Prozesse

• Organisationsstrukturen, Rollen und Verantwortlichkeiten
• Welche Prozesse für ein ISMS geschaffen werden müssen
• Wie eine Verzahnung mit den IT-Prozessen erfolgen kann
• Rolle des Risikomanagements
• Schwachstellenmanagement und Security Incident Management als Kernprozesse der operativen Informationssicherheit
• Dokumenten- und Qualitätsmanagement in der Informationssicherheit
• Outsourcing

Risikomanagement: Standards und praktische Umsetzung

• ISMS und Risikomanagement
• Umgang mit Risiken im Rahmen der BSI-Methodik
• Kernelement Risikobehandlungsplan
• Risikomanagement als Prozess
• Projektbeispiele

Messung des Erfolgs

• Erfolgsmessung und -kontrolle als Schlüssel zur Nachhaltigkeit
• Kennzahlen zur Informationssicherheit

Standardreihe ISO / IEC 27000:
Internationale Standards für Informationssicherheitsmanagement

• Geschichte und Überblick
• Das Vorgehen nach ISO 27001
• Aufbau, Kapitelstruktur und Einführungsprozess
• Anhang A: Umgang mit Maßnahmen und Detaillierung in ISO 27002
• Verbindung zu weiteren Standards
• Abbildung der Maßnahmen auf IT-Grundschutz, NIST SP 800-53 und PCI-DSS

BSI IT-Grundschutz im Überblick

• Gegenüberstellung BSI IT-Grundschutz und ISO 27001
• BSI-Standards und BSI IT-Grundschutz-Kompendium
• Einführung in das Thema ISMS nach BSI-Standard 200-1 und in die IT-Grundschutz-Methodik nach BSI-Standard 200-2
• Hilfsmittel im BSI IT-Grundschutz: Umsetzungsleitfäden, Grundschutz-Profile, Umsetzungsreihenfolge

Sicherheitsstandards in der Praxis – Umsetzung eines ISMS am Beispiel von BSI IT-Grundschutz und ISO 27001

• Etablierung des ISMS-Prozess
• Diskussion von Beispiel Informationsverbünden
• Thematisierung von Herausforderungen bei der Erstellung einer Sicherheitskonzeption nach BSI IT-Grundschutz, bzw. Nach ISO 27001

Management-Software für Informationssicherheit
Unterstützung der ISMS-Prozesse durch Tools

• Einführung einer ISMS-Software
• Dokumentation und Nachvollziehbarkeit eines Sicherheitskonzepts mit ISMS-Tools
• Sicherheitskonzept ISMS-Tool und typische Anforderungen
• Marktüberblick

Informationssicherheitsmanagement: Technische Aspekte

• Netzwerksicherheit
• Absicherung von VoIP / UCC
• Problembereich Virtualisierung

Zertifizierte Informationssicherheit

• Zertifizierungen für Organisationen
  • Warum Zertifizierung
  • Welche Zertifikate gibt es
  • Was wird bei einer Zertifizierung geprüft
  • Vorgehensweisen, Prüfraster und Prüftiefe
  • Aufwand zur Zertifizierung
• Produktzertifizierung
• Zertifizierung für Dienstleister
  

In diesem Seminar lernen Sie

• Welche Sicherheitsstandards für ein Informationssicherheitsmanagementsystem (ISMS) relevant sind,
• Wie Informationssicherheitsmanagement zu organisieren ist,
• Wie Risikomanagement praktisch umgesetzt werden kann,
• Wie der Erfolg und die Nachhaltigkeit eines ISMS zu messen ist,
• Was die wesentlichen Inhalte der ISMS-Standardreihe ISO 27000 sind,
• Was den BSI IT-Grundschutz ausmacht,
• Wie ISMS nach ISO 27001 bzw. BSI IT-Grundschutz in der Praxis umgesetzt wird,
• Welche Tools zur Unterstützung der ISMS-Prozesse infrage kommen,
• Was bei Netz-, Kommunikations- und RZ-Sicherheit zu beachten ist,
• Wie Informationssicherheit zertifiziert werden kann.

• Betreiber
• Administratoren
• Rechenzentrumsleiter
• Entscheider
• Führungskräfte
• Projektleiter