Zielgruppe
Dieses Seminar bereitet angehende Sicherheitsbeauftragte auf ihre Aufgaben vor, zeigt IT-Leitern, IT-Administratoren oder internen Revisoren einen Weg zur Prüfung oder Gestaltung von Konzepten, Implementierungen und Betrieb unter Sicherheitsgesichtspunkten auf und hilft allen angesprochenen Funktionsträgern, ihre Rolle im Rahmen eines Sicherheitsmanagement-Prozesses zukünftig konform zu IT-Grundschutz und ISO 27001 wahrzunehmen.

In diesem Seminar lernen Sie
 die Methodik der BSI-Standards 100-1 - 100-3 anzuwenden
 die Rolle eines Sicherheitsbeauftragten bzw. eines Sicherheitsmanagement-Teams
   mit Leben zu füllen
 wie man auf dieser Basis ein Sicherheitsmanagement aufbaut
 wie man mit Hilfe der BSI-Methodik und der Grundschutzkataloge das
   erreichte Sicherheitsniveau bewertet und ggf. optimiert
 wie die Methodik in Fällen funktioniert, in denen die Grundschutzkataloge nicht
   ausreichen
 wie die IT-Grundschutzmethodik mit ITIL, internem Qualitätsmanagement u.Ä.
   harmonisch kombinierbar ist
 wie Baustein "Datenschutz" und Standard 100-4 Notfallmanagement
   die Grundschutzkataloge abrunden
 wie und wo Werkzeuge (GSTOOL, Verinice u.Ä.) unterstützen können
 wie neue IT-Lösungen sicherheitstechnisch mittels Grundschutzmethodik konzipiert
   und in den Betrieb eingeführt werden können.

Zum Inhalt
ISMS als Teil eines bewussten Risikomanagement
 Beispiele für Risikomanagement-Systeme und –auflagen
 Typische Elemente eines bewussten Risikomanagements
 Bedienung dieser Elemente durch ISO 27001 bzw. BSI-Standards
 Analysephasen nach BSI-IT-Grundschutzmethodik
 Change Management und Sicherheitsmanagement
 Sicherheitsmanagement benötigt einen „Prozess“:
   P-D-C-A-Modell nach ISO 27001 / BSI-Standard 100-2

Übergreifende Aspekte des Sicherheitsmanagements
 Grundwerte der Sicherheit, Sicherheitsziele
 Sicherheit durch Gesamtpakete aus technischen und organisatorischen Maßnahmen
 ohne Rückendeckung „von oben“ funktioniert Sicherheit nicht
 abgestimmte Gesamtpakete nur durch „Organisation“ des Sicherheitsmanagement
 vom Management bis zum IT-Nutzer: jeder muss mitwirken - aber wie?

ISO-Standards und BSI-Methodik als Anleitung
 Verhältnis von ISO 27001 und BSI-Standards zueinander
 ITIL als Gestaltungshilfe einsetzen – ohne unnötige Blindleistung, weil abgestimmt
 ISO 27001 und BSI-GS-Kataloge, Schicht 1 „übergreifende Aspekte“
 Ausblick auf Themenschwerpunkt Notfallmanagement (BSI-Standard 100-4)

Übergreifendes: typische Referenzdokumente mit Sicherheitsrelevanz
 Dokumentensystem zum ISMS - konform zu BSI-Bausteinen, praktikabler Aufwand
 Explizite Forderungen gemäß Bausteinen „Sicherheitsmanagement“ und
   „Organisation“
 Details zur Organisation des Sicherheitsmanagement gemäß BSI-Standards
 Aufgaben von Sicherheitsbeauftragtem und ggf. eines Sicherheitsmanagement-Teams
 Outsourcing im Sicherheitsmanagement?!
 Inhalte einer Sicherheitsleitlinie
 Umsetzung im Alltag: Gesamtheit sicherheitsrelevanter Dokumentation

BSI-Grundschutzmethodik in der Praxis - Teil 1
 Systematische Darstellung der Methodik
 Ablauf der Analyse im Gesamtüberblick
 Anwendungsszenarien: ISMS für Gesamtumgebung vs. Sicherheitskonzept für
   bestimmten IT-Service in grundschutzkonformer Umgebung
 Strukturanalyse, insbesondere: Abgrenzung, Objekte, Abhängigkeiten,
   bereinigter Netzplan
 Strukturanalyse: Hilfsmittel zur (Vor-)Erfassung, Tipps zur Objektbenennung
 Netzplan: die Übersicht behalten, alltagstaugliche Gestaltung
 Schutzbedarfsfeststellung: Vorgehensweise, Beteiligte und Hilfen zur Durchführung
 Schutzbedarfsfeststellung: „Vererbung“ im Sinne festgestellter Abhängigkeiten, Regeln
 Modellierung, systematische Lagebestimmung mittels Grundschutz-Basis-Check
 Option Tooleinsatz zur Verringerung des Aufwands/ zur Erleichterung der Zielkontrolle
   und Überwachung notwendiger Anpassungsarbeiten (mit erster Demo)
 Ausblick auf ggf. notwendige Folgeschritte und deren Aufwand zur Bewältigung

Spezialthema: (Baustein) Datenschutz
 Vorstellung des Bausteins
 Hinweise zu im Umgang mit IT/ Informationssicherheit relevanten Aspekten
   in der Praxis
 Berücksichtigung formaler Detailanforderungen („Grundwerte des Datenschutzes“)
   z.B. gemäß Landesdatenschutz-Gesetzgebung bei Anwendung
   der Grundschutzmethodik

Spezialthema: Notfallmanagement/ Notfallvorsorge und Informationssicherheit
 Motivation, Situation im IT-Umfeld
 BSI-Standard 100-4: Einordnung, Abgrenzung, Begrifflichkeiten
 Baustein Notfallvorsorgekonzept
 (Anforderungen an) Dokumentation zum Notfallmanagement
 Details zur Organisation des Notfallmanagement gem. BSI-Standard
 Business Impact Analyse nach BSI-Standard 100-4  « ISMS
 weitere Aspekte/ Anregungen aus BSI-Standard 100-4
 Teilbeitrag zur Notfallvorsorge im IT-Bereich: Rollen(verteilung), Notfallprozess 
   und deren Festschreibung in einem Notfallhandbuch IT
 Sicherheitsvorfälle mit (möglichem) Notfallcharakter: keine abweichende
   Organisation, sondern Behandlung als mögliche/ reduzierte Ausprägung zum
   Notfallprozess
 Notfallvorsorge: Notfallpläne, Ausweich- und Notbetriebsüberlegungen,
   Reserveteilhaltung, Supportverträge, usw. mit Praxistipps
 Notfallübungen „mit Plan“
 Notfallvorsorge: fest im Change Management verankern

BSI-Grundschutzmethodik in der Praxis - Teil 2
 Ergänzende Sicherheitsanalyse - wann, durch wen und wie?
 Risikoanalyse nach BSI-Standard 100-3, Berücksichtigung von ISO 27005:
   2008 als Hinweisgeber
 insbesondere: bewusste Risikoübernahme und Risikotransfer als Optionen
 Hinweise/ Beispiele, insb.: Quellen für umgebungsspezifische Maßnahmenfindung
   für besondere Risiken/ Gefährdungen und erhöhten Schutzbedarf
 Dokumentation - für Entscheidungsfindung und Ergebnis
 Option Dokumentation per Tool

Zertifizierung(sverfahren) - Kurzeinführung
 Vorgesehener Ablauf gemäß BSI bzw. ISO
 Erfahrungen bzgl. Aufwand und Zeitrahmen für die Vorbereitung
 Praxiserfahrung: worauf Auditoren insbesondere achten
 Alternative bzw. vorbereitender Selbsttest: „interne“ Audits zur Standortbestimmung 
   im Rahmen des eigenen Risiko- und Sicherheitsmanagement

(weitere) Praxisaspekte, Ausblick auf absehbare Ergänzungen der Grundschutzkataloge, u.Ä.

Zusatzinformationen
Zeiten: Die Veranstaltung beginnt um 10:00 und endet am letzten Tag um 15:00 Uhr. Clubpunkte: Mitglieder im ComConsult Network Professional Club erhalten für diese Veranstaltung 30 Punkte.

Suche