Der Chief Information Security Officer vereint die Gesamtverantwortung für die Informationssicherheit eines Unternehmens. In größeren Unternehmen sind oft mehrere Informationssicherheitsbeauftragte angestellt. Deshalb ist der Chief Information Security Officer häufig auch ein Teil der Geschäftsführung. Er organisiert, entwickelt und beobachtet alle Maßnahmen, die zum Schutz von Informationen und Technologien innerhalb der Organisation dienen.
Agenda
Modul 1. Management und Steuerung der Informationssicherheit
- Aufgaben und Verantwortungen des CISO
- Abgrenzung des CISO zum ISO
- Taktische Planung und Steuerung eines ISMS
- Synergie- und Effizienzbildung durch integrierte Managementsysteme
- Steuerungsinstrumente
- Indikatoren
- GAP-Analysen und Reifegradmessungen
- Asset-Register – Werte und Bewertung
Modul 2. Kontinuierliche Verbesserung
- Managementbewertungen
- Managemententscheidungen
Modul 3. Personelle Aspekte der Informationssicherheit
- Sicherheitsbewusstsein im Umgang mit Informationen
- Zielgruppenorientierung
- Vertrauenswürdigkeit von Mitarbeitern
- Umgang und Kommunikation mit den Stakeholdern (Management, Kunden, Kollegen, Behörden, usw.
- Sicherheitstechnologien
Modul 4. Rechtliche Aspekte der Informationssicherheit, Compliance
- IT-Sicherheitsziele als Grundlage der IT-Compliance-Anforderungen
- Unternehmensstruktur: CISO (Chief Information Security Officer) und ISO (Information Security Officer)
- Übersicht über die relevanten Rechtsgrundlagen für den CISO
- Überblick über das Anforderungsprofil des CISO
- Stellung im Unternehmen (Position, Unabhängigkeit und Rechte)
- Arbeitsrechtliche Stellung und Haftung im Beschäftigtenverhältnis
- Rechtsgrundlagen - Strafrecht (StGB, NebenstrafR und StPO)
- Weitere relevante Pflichten des CISO
- Informationssicherheit vs. Datenschutz (Schutzobjekte / Schutzziele)
- Compliance vs. Datenschutz
- Einbindung der Informationssicherheit in das unternehmensweite Compliance-Management-System
- Grundlagen eines Compliance-Management-Systems (IDW PS 980 bzw. ISO 19600)
Modul 5. Risikomanagement
- Einführung Risikomanagement
- Risikobewertung und Risikoanalyse
- Methoden und Standards
- IT-Risiken und IS-Risiken analysieren und bewerten
- Vorstellung der ISO 31000 sowie BSI Standard 200-3
- Einbindung in das Global Risk Management
- Vorgaben für das ISMS entwickeln
- Informationssicherheitsmanagement vs. IT-Servicemanagement
Modul 6. Security Incident Management
- Einführung und Bedeutung Security Incident Management
- Rollenverteilung und Verantwortlichkeiten innerhalb des ISMS
- Aktuelle Bedrohungen/ Gefährdungen der Informationssicherheit
- Management von Sicherheitsvorfällen in komplexen Umgebungen
- IT-Notfallmanagement und Business Continuity Management
- Aufbau einer geeigneten Struktur und Organisation
- Notfallkonzepte
- Notfallhandbücher
- Business Continuity als Organisationsaufgabe
- Vorstellung der ISO 22301 sowie BSI Standard 100-4/200-4
- Bewerten und Lenken des ISMS (Kontrollprozesse, KPI´s etc.)
Modul 7. Nachweis und Auditierung der Informationssicherheit
- Nachweis und Dokumentation
- Auditprogramme
- Revision