Warum lohnt sich dieser Kurs?
Wie gelingt der strukturierte Aufbau eines ISMS nach ISO 27001 in der Praxis? Lernen Sie, wie Sie Anforderungen richtig interpretieren, Prozesse etablieren und Informationssicherheit nachhaltig im Unternehmen verankern.Kursüberblick
Die ISO/IEC 27001 bildet die Grundlage für den systematischen Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS). Im Seminar werden die Anforderungen der Norm verständlich eingeordnet und praxisnah umgesetzt – von der Definition des Anwendungsbereichs bis zur strukturierten Implementierung.Der Aufbau erfolgt entlang des PDCA-Zyklus, wodurch Maßnahmen geplant, umgesetzt, überprüft und kontinuierlich verbessert werden. Rollen, Verantwortlichkeiten und Governance-Strukturen werden klar definiert, um eine wirksame Steuerung des ISMS sicherzustellen.
Ein besonderer Fokus liegt auf der Entwicklung von Sicherheitszielen, der Erstellung einer auditfähigen Dokumentation sowie der Auswahl geeigneter Maßnahmen auf Basis von Annex A und der Statement of Applicability (SoA).
Zudem wird gezeigt, wie das ISMS mit Notfallplanung und Business Continuity Management verzahnt wird und wie die Grundlage für ein strukturiertes Risikomanagement nach ISO/IEC 27005 geschaffen wird.
Kursinhalte
Struktur und Anforderungen der ISO/IEC 27001- Was regelt die ISO/IEC 27001 und welche Organisationen sind betroffen?
- Aufbau der Normenreihe ISO/IEC 2700x: Zusammenhänge und Abgrenzungen
- Anwendungsbereich (Scope) eines ISMS: Definition und Festlegung
- Verbindliche Anforderungen der Norm und deren Interpretation in der Praxis
- Der PDCA-Zyklus als Grundprinzip des kontinuierlichen Verbesserungsprozesses
- Planungsphase: Kontext der Organisation, interessierte Parteien, Scope
- Umsetzungsphase: Implementierung von Maßnahmen und Prozessen
- Überprüfung und Verbesserung: interne Audits, Managementbewertung, Korrekturmaßnahmen
- Wer trägt Verantwortung im ISMS? Aufgaben von Geschäftsführung, ISMS-Beauftragtem und Fachabteilungen
- Governance-Strukturen und Eskalationswege
- Einbindung des Top-Managements als normative Anforderung der ISO/IEC 27001
- Informationssicherheitsziele: Vertraulichkeit, Integrität, Verfügbarkeit (CIA-Triade)
- Entwicklung und Struktur einer Informationssicherheitspolitik (IS-Policy)
- Themenspezifische Richtlinien und Arbeitsanweisungen im ISMS-Kontext
- Zusammenspiel von Policies, Prozessen und operativen Maßnahmen
- Annex A: Controls und praktische Umsetzung
- Überblick über die 93 Controls (organisatorisch, personenbezogen, physisch, technologisch)
- Auswahl und Anpassung relevanter Controls auf Basis einer Statement of Applicability (SoA)
- Verbindung zwischen Controls und Risikobewertung
- Wie bauen Notfallplanung und Business Continuity Management (BCM) auf dem ISMS auf?
- Schnittstellen zwischen IT-Notfallplan und ISMS-Anforderungen der ISO/IEC 27001
- Ausblick auf Modul III: Risikomanagement nach ISO/IEC 27005
Bestandteil von
Zielgruppe
- Security-Manager, die ein ISMS im Unternehmen aufbauen, steuern und kontinuierlich weiterentwickeln.
- IT-Verantwortliche, die ISO-27001-Anforderungen technisch und organisatorisch in die Praxis umsetzen.
- Datenschutzmanager, die die Schnittstellen zwischen Informationssicherheit und Datenschutz strukturiert gestalten.
- Externe Berater, die Unternehmen bei der Einführung, Umsetzung und Auditvorbereitung eines ISMS begleiten.
- Quality-Manager, die bestehende Managementsysteme um Informationssicherheit erweitern und integrieren.
- Digitalisierungsverantwortliche, die Informationssicherheit in Projekte und digitale Prozesse systematisch verankern.
- Compliance-Verantwortliche, die die normkonforme Umsetzung und Einhaltung regulatorischer Anforderungen sicherstellen.
Referenten
-
Andrea Kolberger
NIS-Prüfer & ISO/IEC 27001 Lead Auditor
