ISO 27001 Information Security Officer (CISO)
Fokus: Vermittlung vertiefter Kenntnisse für ein Managementsystem der Informationssicherheit unter Bezug auf die ISO 27001.Teilnehmer können ein ISMS auf Basis der Norm ISO 27001 aufbauen und effektiv umsetzen.

Themen:
- Verwandte Standards und Rahmenwerke
- Harmonized Structure
- Normativer Teil der Norm
- Die 93 Controls des Anhangs und das Amendment
- Erläuterung der Anforderungen
- Umsetzungsoptionen der wichtigsten Anforderungen
- Zertifizierungsmöglichkeiten nach ISO/IEC 27001 und Auditprozess

Weitere Inhalte:
- Einführung, Kontext & Grundlagen, Überblick ISO 27001 und 27002, Begriffe, Scope, interessierte Parteien, Kontextanalyse, Risiken im Überblick, Aufbau eines ISMS / PDCA-Zyklus, Risikomanagement nach ISO 27001 / 27005, Methodik, Risikoidentifikation, Bewertung & Behandlungsmöglichkeiten, Risikobehandlung planen und dokumentieren, Steuerung & Dokumentation, Informationssicherheits-Politik, Rollen und Verantwortlichkeiten, Dokumentierte Informationen (Verfahren etc.), Kommunikationsplan & Awareness, ISO 27002 Controls & Umsetzung, Überblick über die 93 Controls, Steuerungstechnische Auswahl und Anpassung, Beispiel-Controls und Implementierungspläne, Internes Audit, Managementreview, Zertifizierung, Auditplanung und Durchführung, Nichtkonformitäten & Korrekturmaßnahmen, Managementreview, Zertifizierungsvorbereitung
- Scope & Geltungsbereich definieren, Scope-Statement für das ISMS formulieren, Grenzen & Schnittstellen identifizieren
- Kontextanalyse - interne Faktoren - Interne Themen zusammentragen (Prozesse, Assets, Organisation),externe Faktoren, externe Themen (rechtlich, regulatorisch, Marktumfeld) definieren
- Interessierte Parteien und Anforderungen, Stakeholder- Liste erstellen, Sicherheitsanforderungen ableiten
- ISMS-Leitlinie / Sicherheits-Policy-Entwurf, Erste Version der Informationssicherheitsleitlinie verfassen
- Rollen und Verantwortlichkeiten festlegen, Rollenmatrix / RACI-Tabelle entwickeln, Verantwortlichkeiten klar benennen
- Risikoidentifikation vorbereiten, Schutzbedarfsanalyse / Asset-Liste starten, Risiken sammeln
- Risikobewertung durchführen, Risiken bewerten nach definierter Methode (z. B. Eintrittswahrscheinlichkeit/ Auswirkung)
- Risikobehandlung planen, Behandlungsoptionen auswählen, Risikobehandlungsplan erstellen
- Kontrollen auswählen (ISO 27002) - Controls aus Anhang A (bzw. 27002) auswählen, die Risiken abdecken
- Statement of Applicability (SoA) erstellen - SoA-Matrix ausfüllen, Begründungen für Auswahl/Nichtauswahl dokumentieren
- Dokumentierte Informationen entwickeln, Verfahrensanweisungen / Templates ausfüllen oder anpassen
- Awareness- und Kommunikationsplan entwerfen, Plan für interne Schulungen und Kommunikation erstellen
- Auditplanung vorbereiten, Audit-Checkliste und Plan erstellen, Beispiel-Fragen formulieren
- Managementreview & Selbst-Assessment, Review- Agenda vorbereiten, Selbstbewertung des ISMS-Status durchführen