Solution: Personenzertifizierung: zertifizierte/r Risikomanager/in für die Informationssicherheit nach ISO 27005

Informationen

IT unterstützt und beschleunigt Geschäftsprozesse und hilft Unternehmenswerte zu schaffen. Der Nutzen der IT birgt jedoch auch Risiken: Das Spektrum der heutigen Sicherheitsbedrohungen in der IT reicht von Gefahren mit Online-Transaktionen über Denial-of-Service-Attacken (DoS) und Spionageaktivitäten bis hin zu Identitäts- und Datendiebstahl, Bränden und Überflutungen.

Aufgabe des IT Risiko Management ist es, eingebettet in den größeren Zusammenhang von Corporate Governance und Enterprise Risk Management, IT Risiken zu erkennen und zu bewerten. Auf dieser Basis sind Strategien zur Vermeidung, Minderung oder Übertragung dieser Risiken zu entwickeln.

Der Standard ISO/IEC 27005:2011 ist eine Ergänzung der ISO/IEC 27001 mit den Anforderungen an Informationssicherheits-Managementsysteme (ISMS) und beschreibt den Prozess des Risikomanagements für die Informationssicherheit. Sie erhalten eine genaue Anleitung zur Umsetzung der einzelnen Schritte des Risikomanagements und der Risikoanalyse. Diese wird angewandt, um sicherzustellen, dass sämtliche potentielle Gefahrenquellen erkannt werden. Das Risiko-Assessment ermöglicht Führungskräften, Risiken zu quantifizieren und Maßnahmen nach etablierten Kriterien zu priorisieren.

Inhalte:

• Der Risikomanagement-Prozess für die Informationssicherheit
  Risikokontextdefinition & Bestimmung von Umfeld und Rahmenbedingungen
• Risikoanalyse:
  – Identifikation und Bewertung von Risiken
  – insbesondere bezogen auf Bedrohungen, bedrohte Werte & Schwachstellen
• Risikoassessment:
  – Identifikation und Evaluation von passenden Risikomanagementmaßnahmen
  – Entscheidungen treffen und mit den Organisationszielen in Einklang bringen
• Risikobehandlung:
  – Reduktion & Vermeidung von Risiken
  – Risikoüberwachung & -nachbearbeitung
  – Integration des RM-Prozesses in ein ISMS nach ISO 27001