Kursbeschreibung
Dieser Kurs vermittelt die Grundlagen der ISO/IEC 27001:2022 und zeigt, wie ein Informationssicherheitsmanagementsystem, kurz ISMS, aufgebaut, betrieben, überwacht und kontinuierlich verbessert wird. Die Teilnehmenden lernen zentrale Begriffe, Rollen, Verantwortlichkeiten, Risikomanagement, Informationsklassifizierung, Sicherheitsmaßnahmen, Vorfallmanagement, Business Continuity sowie Audit- und Zertifizierungsanforderungen kennen.
Der Kurs verbindet die Anforderungen der ISO 27001 mit praxisnahen Beispielen aus dem Arbeitsalltag. Dadurch verstehen die Teilnehmenden nicht nur, was ein ISMS ist, sondern auch, wie sie durch ihr eigenes Verhalten zur Informationssicherheit beitragen können.
Detaillierter Kursplan
| Nr. | Lektion | Ziel | Empfohlene Inhalte |
|---|---|---|---|
| 1 | Einführung in ISO 27001:2022 und ISMS | Verstehen, was ISO 27001 ist und warum ein ISMS benötigt wird. | Zweck der Norm, ISMS-Begriff, Nutzen, Zertifizierung, PDCA-Gedanke, Zusammenhang mit Unternehmensrisiken |
| 2 | Grundlagen der Informationssicherheit | Vertraulichkeit, Integrität und Verfügbarkeit verstehen. | CIA-Schutzziele, Beispiele aus dem Alltag, Informationssicherheit vs. IT-Sicherheit vs. Datenschutz |
| 3 | Kontext der Organisation und interessierte Parteien | Relevante interne und externe Anforderungen erkennen. | Geschäftsmodell, gesetzliche Anforderungen, Kundenanforderungen, Lieferanten, Aufsichtsbehörden, Mitarbeitende |
| 4 | Rollen, Verantwortlichkeiten und Führung | Verantwortlichkeiten im ISMS klären. | Geschäftsleitung, ISB/CISO, IT, Fachbereiche, Mitarbeitende, Management Commitment |
| 5 | Risikomanagement in der Informationssicherheit | Risiken erkennen, bewerten und behandeln. | Bedrohungen, Schwachstellen, Eintrittswahrscheinlichkeit, Auswirkungen, Risikobehandlung, Restrisiko |
| 6 | Informationswerte und Klassifizierung | Informationen und Assets richtig einstufen. | Assets, Schutzbedarf, Klassifizierungsstufen, Need-to-know, sichere Weitergabe |
| 7 | Annex-A-Maßnahmen im Überblick | Kontrollbereiche der ISO 27001:2022 verstehen. | Organisatorische, personenbezogene, physische und technologische Controls |
| 8 | Sicherheitsrichtlinien und dokumentierte Informationen | Dokumente, Nachweise und Vorgaben im ISMS verstehen. | Policies, Verfahren, Arbeitsanweisungen, Nachweise, Lenkung dokumentierter Informationen |
| 9 | Zugriffsschutz und Identitätsmanagement | Berechtigungen und Identitäten sicher steuern. | Benutzerkonten, Rollen, Rechte, Need-to-know, Passwortschutz, MFA, Berechtigungsreviews |
| 10 | Sicherer Umgang mit Informationen im Alltag | Informationssicherheit praktisch anwenden. | E-Mail, Phishing, mobile Geräte, Homeoffice, KI-Tools, Cloud, Datenträger, vertrauliche Informationen |
| 11 | Lieferanten, Dienstleister und Cloud-Dienste | Risiken durch externe Parteien steuern. | Lieferantenbewertung, Vertragsanforderungen, Cloud-Risiken, Dienstleisterzugriffe, Monitoring |
| 12 | Sicherheitsvorfälle erkennen und melden | Vorfälle frühzeitig erkennen und korrekt melden. | Meldewege, Erstreaktion, Eskalation, Dokumentation, Lessons Learned |
| 13 | Business Continuity, Backup und Wiederherstellung | Verfügbarkeit und Wiederanlauf absichern. | Backups, Wiederherstellung, Notfallplanung, RTO/RPO, Ransomware-Szenarien |
| 14 | Monitoring, Messung und Verbesserung | Wirksamkeit des ISMS prüfen und verbessern. | Kennzahlen, Kontrollen, Managementbewertung, Korrekturmaßnahmen, kontinuierliche Verbesserung |
| 15 | Interne Audits und Zertifizierungsvorbereitung | Auditprinzipien und Nachweise verstehen. | Auditplanung, Auditfragen, Stichproben, Abweichungen, Korrekturmaßnahmen, Zertifizierungsaudit |
| 16 | Änderungen 2022 und aktuelle Ergänzungen | Änderungen und neue Schwerpunkte einordnen. | neue Struktur, Annex-A-Neugliederung, neue Controls, Amendment 1:2024 Climate Action |
ISO-nahe Übersichten beschreiben für ISO/IEC 27001:2022 beziehungsweise ISO/IEC 27002:2022 insgesamt 93 Controls, gruppiert in die vier Kategorien organizational, people, physical und technological. Das Amendment ISO/IEC 27001:2022/Amd 1:2024 betrifft „Climate action changes“ und gilt als Ergänzung zur ISO/IEC 27001:2022.
