Termine und Preise
Anfragen

Information Security Management mit ISO 27001 und BSI-Grundschutz

Der Maßstab, mit dem sich jeder messen muss

Angemessene Sicherheit mit optimalem Aufwand: geht das? Die Antwort liegt in der Nutzung bewährter Standards und Lösungen bei gleichzeitiger Erfüllung von Compliance-Richtlinien. Anders formuliert: Das Rad muss nicht von jedem Unternehmen neu erfunden werden. Dieses Seminar stellt den Aufbau und die nachhaltige Umsetzung eines standardisierten und zertifizierbaren Information Security Management System (ISMS) auf Basis von ISO 27001 und BSI IT-Grundschutz vor. Es wird dabei aufgezeigt, wie eine praxisgerechte Sicherheitslösung mit optimalem Aufwand erreicht werden kann.


Elemente des ISMS

  • Sicherheitsziele als Grundwerte der Informationssicherheit
  • Gesetzliche Rahmenbedingungen und sonstige Anforderungen
  • Sicherheit durch Gesamtpakete aus technischen und organisatorischen Maßnahmen
  • Verantwortung der Führungsebene einer Institution für die Informationssicherheit
  • Inhalte einer Sicherheitsleitlinie
  • Organisation der Informationssicherheit: Einbettung in Linienstrukturen
  • Aufgaben des Sicherheitsbeauftragten und eines Sicherheitsmanagement-Teams
  • Standards zur Informationssicherheit im Überblick: ISO 27001, BSI-Standards, ISIS12 COBIT, PCI, IEC 62443, FIPS 199, 200 und NIST 800-53
  • Vom Management bis zum IT-Nutzer: jeder muss mitwirken – aber wie?
    ISO-Standards und BSI-Methodik als Anleitung
  • Sensibilisierungsmaßnahmen
  • Outsourcing im Sicherheitsmanagement
  • Rolle des Notfallmanagements für die Informationssicherheit
  • Dokumentensystem zum ISMS – ISMS als Qualitätsmanagement

ISMS und Risikomanagement

  • Typische Elemente eines Risikomanagements
  • Schnittstellen zwischen ISMS und Risikomanagement
  • Bedienung dieser Elemente durch ISO 27001 bzw. BSI-Standards
  • Analysephasen nach BSI-IT-Grundschutzmethodik
  • Change Management und Sicherheitsmanagement
  • Sicherheitsmanagement als Prozess: nach ISO 27001 und BSI-Standard 200-2

Prozesse und Schnittstellen in einem ISMS

  • Aufbau und nachhaltige Pflege von Sicherheitskonzepten als Prozess auf Basis eines PDCA-Zyklus
  • ITIL als Gestaltungshilfe
  • Gestaltung der Kernprozesse Management von Sicherheitsvorfällen (Security Incident Management) und Management von Schwachstellen (Vulnerability Management)
  • ISO 27035 und die entsprechenden Bausteine im neuen BSI IT-Grundschutz-Kompendium im Vergleich zu den BSI IT-Grundschutz-Katalogen
  • Schnittstellen zu Risikomanagement, Change Management, Incident Management, Problem Management, Notfallmanagement und anderen Prozessen
  • Kennzahlen für die Informationssicherheit

Umsetzung eines ISMS auf Basis der Reihe ISO 270xx

  • ISO 27001 und ISO 27002 im Detail
  • ISO 27001: Einführungsprozess und Pflicht-Dokumentation
  • Überblick über die weiteren Standards der Reihe 270xx
  • Umgang mit Maßnahmen und Detaillierung in ISO 27002
  • Praxisbeispiele

BSI-Grundschutzmethodik in der Praxis

  • Systematische Darstellung der Methodik
  • IT-Grundschutz nach den neuen BSI Standards 200-1, 200-2 und 200-3
  • Unterschiede zur alten Methodik nach BSI Standards 100-1, 100-2 und 100-3
  • Aufbau des neuen BSI IT-Grundschutz-Kompendiums im Vergleich zu den BSI IT-Grundschutz-Katalogen
  • Ablauf der Analyse im Gesamtüberblick
  • Anwendungsszenarien: ISMS für Gesamtumgebung vs. Sicherheitskonzept für bestimmten IT-Service in grundschutzkonformer Umgebung
  • Strukturanalyse, insbesondere: Abgrenzung, Objekte, Abhängigkeiten, bereinigter Netzplan
  • Strukturanalyse: Hilfsmittel zur (Vor-)Erfassung, Tipps zur Objektbenennung
  • Netzplan: die Übersicht behalten, alltagstaugliche Gestaltung
  • Schutzbedarfsfeststellung: Vorgehensweise, Beteiligte und Hilfen zur Durchführung
  • Schutzbedarfsfeststellung: „Vererbung“ im Sinne festgestellter Abhängigkeiten, Regeln
  • Modellierung und systematische Lagebestimmung mittels Grundschutz-Basis-Check
  • Werkzeuge zur Verringerung des Aufwands / zur Erleichterung der Zielkontrolle und Überwachung notwendiger Anpassungsarbeiten (mit Demonstration und Beispielen)
  • Ergänzende Sicherheitsanalyse – wann, durch wen und wie?
  • Risikoanalyse nach BSI-Standard 200-3, Berücksichtigung von ISO 27005:2013 als Hinweisgeber
  • insbesondere: bewusste Risikoübernahme und Risikotransfer als Optionen
  • Umgang mit erhöhtem Schutzbedarf
  • Notfallmanagement / Notfallvorsorge und Informationssicherheit
  • (Baustein) Datenschutz
  • Praxisbeispiele
  • Status der Modernisierung des IT-Grundschutzes und Migrationsstrategien

Unterstützung der ISMS-Prozesse durch Werkzeuge

  • Anforderungen an ISMS-Werkzeuge
  • Aufbau eines gesteuerten Dokumentationssystems für das ISMS
  • Konformität zu ISO 27001 und BSI IT-Grundschutz
  • Umsetzung im Alltag: Gesamtheit sicherheitsrelevanter Dokumentation
  • Vom reinen ISMS-Werkzeug zum GRC-Tool
  • Marktüberblick
  • Hoher Schutzbedarf der Daten im ISMS-Tool: Was bei der Absicherung eines ISMS-Tools zu beachten ist und welche Sicherheitsmechanismen die Tool-Hersteller unterstützen
  • Praxisbeispiel mit Verinice

Zertifizierung – Kurzeinführung

  • Vorgesehener Ablauf gemäß ISO und BSI
  • Erfahrungen bzgl. Aufwand und Zeitrahmen für die Vorbereitung
  • Praxiserfahrung: worauf Auditoren insbesondere achten
  • Alternative bzw. vorbereitender Selbsttest: Interne Audits zur Standortbestimmung im Rahmen des eigenen Risiko- und Sicherheitsmanagements

In diesem Seminar lernen Sie

  • die Methodik von ISO 27001 und der BSI-Standards anzuwenden
  • die Rolle eines Sicherheitsbeauftragten bzw. eines Sicherheitsmanagement-Teams mit Leben zu füllen
  • wie man auf dieser Basis ein Information Security Management System (ISMS) aufbaut, welche Prozesse und Schnittstellen zu schaffen sind
  • welche besondere Bedeutung das Risikomanagement für die Informationssicherheit hat
  • wie man mit Hilfe von Methoden auf Basis von ISO 27001 und der BSI IT-Grundschutz-Kataloge und des neuen BSI IT-Grundschutz-Kompendiums das erreichte Sicherheitsniveau bewertet und ggf. optimiert
  • wie mit Fällen umzugehen ist, in denen das IT-Grundschutz-Kompendium oder die BSI IT-Grundschutz-Kataloge nicht ausreichen
  • wie ISO 27001 und IT-Grundschutzmethodik mit ITIL und internem Qualitätsmanagement harmonisch kombinierbar sind
  • wie und wo Werkzeuge (Verinice u.Ä.) unterstützen können
  • wie neue IT-Lösungen sicherheitstechnisch mittels Grundschutzmethodik konzipiert und in den Betrieb eingeführt werden können

Zielgruppe
Dieses Seminar bereitet angehende Sicherheitsbeauftragte, Mitarbeiter im Bereich Informationssicherheit und interne Revisoren auf ihre Aufgaben vor. Es zeigt anhand von Beispielen  einen Weg zur Prüfung oder Gestaltung von Konzepten, Implementierungen und Betrieb unter Sicherheitsgesichtspunkten auf. Dieses Seminar hilft allen angesprochenen Funktionsträgern, ihre Rolle im Rahmen eines Sicherheitsmanagement-Prozesses zukünftig konform zu ISO 27001 und IT-Grundschutz wahrzunehmen. Für dieses Seminar sind grundlegende IT-Kenntnisse erforderlich.

Dr. Simon Hoff
Dr. Simon Hoff Zur Profilseite »

Simon Oberem
Simon Oberem Zur Profilseite »

Das sagen unsere Teilnehmer
  • Sehr gutes Seminar, sehr kompetente Referenten
  • Trockenes Thema durch Praxisbeispiele gut erklärt
  • Ein schwieriges Thema interessant und spannend aufbereitet!
  • Seminar-Referenten sehr kompetent, auf Fragen gut eingegangen
  • Positiv: Die gewünschten Schwerpunkte wurden vorab zusätzlich abgefragt, zusätzlich wurde auf Fragen der Teilnehmer eingegangen
  • Gut: Beispiele zu Mindmaps
  • Insgesamt eine gelungene Veranstaltung. Hilfreich für den Arbeitstag!
  • Der Kurs hat mir sehr viel gebracht
  • Inhalte mit Beispielen aus der Praxis belegt, das war gut
  • Referenten haben einen hohen Wissensstand
  • Sehr gutes Seminar mit guten, vielen Praxisbeispielen
Der Angebotspreis umfasst die folgenden Leistungen:
  • die Aufbereitung der Unterlagen für Ihre angepasste Schulung
  • die Referentenkosten (Anfahrt und eventuelle Übernachtung)
  • die Veranstaltungsunterlagen und ein Teilnehmerzertifikat
  • die Unterlagen enthalten das gesamte Arbeitsmaterial der Veranstaltung und bieten dem Teilnehmer zahlreiche Informationen für die berufliche Praxis.
  • die Stornierung einer gebuchten Inhouse-Schulung ist bis 56 Tage vor Veranstaltungsbeginn kostenlos möglich. Danach ist der im Angebot veranschlagte Preis in vollem Umfang fällig.

Sie finden diese Veranstaltung interessant? Vielleicht interessiert Sie auch

Netzwerk-Sicherheit
28.11.-30.11.18 in Bonn

Bedingt durch Netzkonvergenz, Mobilität und Virtualisierung hat die interne Absicherung der IT-Infrastruktur in den letzten Jahren enorm an Bedeutung gewonnen. Heterogene Nutzergruppen mit unterschiedlichstem Sicherheitsniveau teilen sich eine gemeinsame IP-basierte Infrastruktur und in vielen Fällen ist der Aufbau sicherer, mandantenfähiger Netze notwendig. Dieses Seminar identifiziert die wesentlichen Gefahrenbereiche und zeigt effiziente und wirtschaftliche Maßnahmen zur Umsetzung einer erfolgreichen Lösung auf. Alle wichtigen Bausteine zur Absicherung von LAN, WAN, RZ-Bereichen, Servern und Storage-Bereichen werden detailliert erklärt und anhand konkreter Projektbeispiele wird der Weg zu einer erfolgreichen Sicherheitslösung aufgezeigt.

Netzzugangskontrolle: Technik, Planung und Betrieb
12.11.-13.11.18 in Stuttgart

Dieses Seminar vermittelt den aktuellen Stand der Technik der Netzzugangskontrolle (Network Access Control, NAC) und zeigt die Möglichkeiten aber auch die Grenzen für den Aufbau einer professionellen NAC-Lösung auf. Schwerpunkt bildet die detaillierte Betrachtung der Standards IEEE 802.1X, EAP und RADIUS. Dieses Seminar richtet sich an Administratoren und Projektleiter aus den Bereichen LAN und Informationssicherheit. Grundkenntnisse in Netzwerken und TCP/IP sind erforderlich.

Sonderveranstaltung: Netzlösungen für Private Clouds mit Beispielen von Cisco und VMware
24.09.18 in Frankfurt a.M.

Diese Sonderveranstaltung befasst sich mit Lösungen für Rechenzentrumsnetze, die als Bestandteil von Private Clouds implementiert werden. Dabei wird auf die Unterschiede zwischen Software Defined Network (SDN) und Software Defined Data Center (SDDC) eingegangen. Am Beispiel der Lösungen Cisco ACI und VMware NSX wird die Antwort der führenden Hersteller auf Anforderungen der Betreiber von Private Clouds dargestellt.