Trainingsmodul
Audit des ISMS-Risikomanagements
Verstehen Sie, wie man die Logik von Asset-Bedrohung-Schwachstelle, Risikobehandlungsentscheidungen und die Rückverfolgbarkeit zu Kontrollen und der Erklärung zur Anwendbarkeit prüft.
Trainingsmodul
Audit des ISMS-Risikomanagements
Verstehen Sie, wie man die Logik von Asset-Bedrohung-Schwachstelle, Risikobehandlungsentscheidungen und die Rückverfolgbarkeit zu Kontrollen und der Erklärung zur Anwendbarkeit prüft.
Trainingsmodul
Audit des ISMS-Risikomanagements
Verstehen Sie, wie man die Logik von Asset-Bedrohung-Schwachstelle, Risikobehandlungsentscheidungen und die Rückverfolgbarkeit zu Kontrollen und der Erklärung zur Anwendbarkeit prüft.
Wechseln Sie vom Überprüfen der Risikoregister zum Beurteilen der Risikobegründung und der Auswahl von Behandlungsoptionen
In vielen Audits erscheint das Risikomanagement auf dem Papier „vollständig“, bricht jedoch zusammen, wenn man einem Risiko von der Kontextbewertung bis zur Behandlung und Kontrolle folgt. Dieses Modul entwickelt eine praktische Prüfungsperspektive, um zu testen, ob die Begründung der Risiken glaubwürdig ist, Entscheidungen nachvollziehbar sind und die Rückverfolgbarkeit einer genauen Untersuchung standhält.
Wechseln Sie vom Überprüfen der Risikoregister zum Beurteilen der Risikobegründung und der Auswahl von Behandlungsoptionen
In vielen Audits erscheint das Risikomanagement auf dem Papier „vollständig“, bricht jedoch zusammen, wenn man einem Risiko von der Kontextbewertung bis zur Behandlung und Kontrolle folgt. Dieses Modul entwickelt eine praktische Prüfungsperspektive, um zu testen, ob die Begründung der Risiken glaubwürdig ist, Entscheidungen nachvollziehbar sind und die Rückverfolgbarkeit einer genauen Untersuchung standhält.
Wechseln Sie vom Überprüfen der Risikoregister zum Beurteilen der Risikobegründung und der Auswahl von Behandlungsoptionen
In vielen Audits erscheint das Risikomanagement auf dem Papier „vollständig“, bricht jedoch zusammen, wenn man einem Risiko von der Kontextbewertung bis zur Behandlung und Kontrolle folgt. Dieses Modul entwickelt eine praktische Prüfungsperspektive, um zu testen, ob die Begründung der Risiken glaubwürdig ist, Entscheidungen nachvollziehbar sind und die Rückverfolgbarkeit einer genauen Untersuchung standhält.
Übersicht
Übersicht
Übersicht
ISO/IEC 27001 erwartet, dass Risikobewertung und Risikobehandlung das Informationssicherheits-Managementsystem (ISMS) steuern und nicht als eigenständige Dokumentation existieren. In der Praxis stoßen Auditoren häufig auf generische Asset-Listen, wiederverwendete Bedrohungskataloge, inkonsistente Bewertungen und eine Sicherheitskontaktstelle (SoA), die nicht auf spezifische Risiken und Behandlungsentscheidungen zurückgeführt werden kann.
Dieses auditspezifische Add-on konzentriert sich darauf, wie man die ISMS-Risikomanagement auditieren kann, wo die Informationssicherheitslogik materiell wichtig ist: Asset-Bedrohung-Verletzlichkeits-Überlegungen, Qualität der Behandlungsentscheidungen und Rückverfolgbarkeit von Risiken zu gewählten Kontrollen (einschließlich Anhang A) und der SoA. Es lehrt keine generischen Risikomanagementmethoden oder allgemeinen Audittechniken; es legt eine Audit-Urteils-Linse auf ISO/IEC 27001-Risikomanagement-Erwartungen.
ISO/IEC 27001 erwartet, dass Risikobewertung und Risikobehandlung das Informationssicherheits-Managementsystem (ISMS) steuern und nicht als eigenständige Dokumentation existieren. In der Praxis stoßen Auditoren häufig auf generische Asset-Listen, wiederverwendete Bedrohungskataloge, inkonsistente Bewertungen und eine Sicherheitskontaktstelle (SoA), die nicht auf spezifische Risiken und Behandlungsentscheidungen zurückgeführt werden kann.
Dieses auditspezifische Add-on konzentriert sich darauf, wie man die ISMS-Risikomanagement auditieren kann, wo die Informationssicherheitslogik materiell wichtig ist: Asset-Bedrohung-Verletzlichkeits-Überlegungen, Qualität der Behandlungsentscheidungen und Rückverfolgbarkeit von Risiken zu gewählten Kontrollen (einschließlich Anhang A) und der SoA. Es lehrt keine generischen Risikomanagementmethoden oder allgemeinen Audittechniken; es legt eine Audit-Urteils-Linse auf ISO/IEC 27001-Risikomanagement-Erwartungen.
Applicable environments
Dieses Modul fokussiert auf die Auditierung von Klauseln und Kontrollen, die spezifisch für ISO/IEC 27001 sind. Es richtet sich an Auditoren, die mit Organisationen arbeiten, welche ein Informationssicherheitsmanagementsystem (ISMS) gemäss dieser Norm betreiben.
Zielpublikum
Zielpublikum
Zielpublikum
Angehende Auditoren, die Informationssicherheitsmanagementsysteme gemäss Best Practices gegen ISO/IEC 27001 auditieren
Praktizierende ISO/IEC-27001-Auditoren, die ihre Auditkenntnisse, risikobasierte Beurteilung und Wirksamkeit stärken möchten
Angehende Auditoren, die Informationssicherheitsmanagementsysteme gemäss Best Practices gegen ISO/IEC 27001 auditieren
Praktizierende ISO/IEC-27001-Auditoren, die ihre Auditkenntnisse, risikobasierte Beurteilung und Wirksamkeit stärken möchten
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
aim to audit whether ISMS risk management actually drives security decisions.
want to test asset–threat–vulnerability reasoning, not just risk register completeness.
follow risks from context through treatment decisions to controls and the SoA.
strengthen judgement on risk acceptance, prioritisation, and traceability.
seek audit findings that reveal weak risk reasoning and systemic gaps.
aim to audit whether ISMS risk management actually drives security decisions.
want to test asset–threat–vulnerability reasoning, not just risk register completeness.
follow risks from context through treatment decisions to controls and the SoA.
strengthen judgement on risk acceptance, prioritisation, and traceability.
seek audit findings that reveal weak risk reasoning and systemic gaps.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
primarily want to design or improve risk assessment or treatment methods.
expect generic risk management frameworks or scoring models.
focus on facilitating workshops or producing risk documentation.
are unwilling to challenge formally complete but weak risk rationales.
primarily want to design or improve risk assessment or treatment methods.
expect generic risk management frameworks or scoring models.
focus on facilitating workshops or producing risk documentation.
are unwilling to challenge formally complete but weak risk rationales.
Agenda
Agenda
Agenda
What makes ISMS risk management audit-ready (in ISO/IEC 27001 terms)
Testing asset–threat–vulnerability reasoning
Risk assessment outputs that hold under audit
Judging risk treatment decisions
Traceability to controls and the Statement of Applicability (SoA)
Evidence trails: from documentation to operational reality
Case-based audit simulation
Details...
What makes ISMS risk management audit-ready (in ISO/IEC 27001 terms)
Testing asset–threat–vulnerability reasoning
Risk assessment outputs that hold under audit
Judging risk treatment decisions
Traceability to controls and the Statement of Applicability (SoA)
Evidence trails: from documentation to operational reality
Case-based audit simulation
Details...
What makes ISMS risk management audit-ready (in ISO/IEC 27001 terms)
Testing asset–threat–vulnerability reasoning
Risk assessment outputs that hold under audit
Judging risk treatment decisions
Traceability to controls and the Statement of Applicability (SoA)
Evidence trails: from documentation to operational reality
Case-based audit simulation
Details...
Was Sie lernen
Was Sie lernen
Was Sie lernen
Zentrale Lernergebnisse
Bewerten Sie, ob die Logik von Asset-Bedrohung-Schwachstelle glaubwürdig und für die Entscheidungsfindung in einem ISMS geeignet ist.
Überprüfen Sie die interne Konsistenz der Ergebnisse der Risikobewertung durch praktische Audit-Checks und gezielte Stichproben-Heuristiken.
Bewerten Sie, ob Risikobehandlungsentscheidungen erklärbar, autorisiert und überprüfbar sind (einschließlich Rest- und Akzeptanzrisiko).
Überprüfen Sie die durchgängige Rückverfolgbarkeit von Risiken zu Kontrollen und zur Erklärung der Anwendbarkeit (Statement of Applicability, SoA).
Identifizieren Sie häufige systemische Fehlerarten im Risikomanagement nach ISO/IEC 27001 und erkennen Sie Frühwarnsignale.
Erstellen Sie effektive Prüfpfade und Beleganforderungen, die die Risikodokumentation mit der operativen Kontrollrealität verbinden.
Bewerten Sie, ob die Logik von Asset-Bedrohung-Schwachstelle glaubwürdig und für die Entscheidungsfindung in einem ISMS geeignet ist.
Überprüfen Sie die interne Konsistenz der Ergebnisse der Risikobewertung durch praktische Audit-Checks und gezielte Stichproben-Heuristiken.
Bewerten Sie, ob Risikobehandlungsentscheidungen erklärbar, autorisiert und überprüfbar sind (einschließlich Rest- und Akzeptanzrisiko).
Überprüfen Sie die durchgängige Rückverfolgbarkeit von Risiken zu Kontrollen und zur Erklärung der Anwendbarkeit (Statement of Applicability, SoA).
Identifizieren Sie häufige systemische Fehlerarten im Risikomanagement nach ISO/IEC 27001 und erkennen Sie Frühwarnsignale.
Erstellen Sie effektive Prüfpfade und Beleganforderungen, die die Risikodokumentation mit der operativen Kontrollrealität verbinden.
Zusätzliche Fähigkeiten
Verify end-to-end traceability from risks to controls and to the Statement of Applicability (SoA)
Identify common systemic failure modes in ISO/IEC 27001 risk management and recognise early warning signals
Build effective audit trails and evidence requests that connect risk documentation to operational control reality
Verify end-to-end traceability from risks to controls and to the Statement of Applicability (SoA)
Identify common systemic failure modes in ISO/IEC 27001 risk management and recognise early warning signals
Build effective audit trails and evidence requests that connect risk documentation to operational control reality
Enthaltene Unterlagen
Enthaltene Unterlagen
Enthaltene Unterlagen
Lernmaterialien
Präsentation
Arbeitsbuch
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
ISMS Risikoprüfpfad-Arbeitsblatt (Risiko → Behandlung → Kontrollen → SoA)
Asset-Bedrohungs-Schwachstellen Plausibilitätscheckliste
Testfragen zur Risikobehandlungsentscheidung (einschließlich Akzeptanz und Restrisiko)
Prüfliste für SoA-Nachvollziehbarkeit und Begründungsüberprüfung
Nachweiskarte nach Behandlungsoption (reduzieren / beibehalten / vermeiden / teilen)
Rote-Flagge-Katalog für „Risiken-auf-Papier“-Muster
AI-Prompt-Set zur Konsistenzprüfung über Risikoregister, Behandlungsplan und SoA (unterstützend, nicht ersetzen der fachlichen Beurteilung)
ISMS Risikoprüfpfad-Arbeitsblatt (Risiko → Behandlung → Kontrollen → SoA)
Asset-Bedrohungs-Schwachstellen Plausibilitätscheckliste
Testfragen zur Risikobehandlungsentscheidung (einschließlich Akzeptanz und Restrisiko)
Prüfliste für SoA-Nachvollziehbarkeit und Begründungsüberprüfung
Nachweiskarte nach Behandlungsoption (reduzieren / beibehalten / vermeiden / teilen)
Rote-Flagge-Katalog für „Risiken-auf-Papier“-Muster
AI-Prompt-Set zur Konsistenzprüfung über Risikoregister, Behandlungsplan und SoA (unterstützend, nicht ersetzen der fachlichen Beurteilung)
Bestätigung
Teilnahmebestätigung
Modul-ID
HAM-IS-A-01
Domäne
Zielgruppe
Auditor
Sprache
Englisch
Durchführung
Live-virtuell
Dauer
3 Std.
Listenpreis
CHF 250
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Durchführung & Lernformat
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Nicht sicher, ob dies für Sie passt?
Nicht sicher, ob dies für Sie passt?
Nicht sicher, ob dies für Sie passt?
Ein kurzes Beratungsgespräch
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul geht davon aus, dass die Teilnehmer bereits in der Lage sind, mit Auditnachweisen und professionellem Urteil zu arbeiten und über grundlegende Kenntnisse der ISO/IEC 27001 ISMS-Terminologie verfügen (einschließlich der Erklärung zur Anwendbarkeit).
Hilfreiche Hintergrundinformationen umfassen:
Verständnis der generischen Logik zur Behandlung von Risiken und Chancen (Methoden werden hier nicht erneut unterrichtet)
Fähigkeit, dokumentierte Absicht von Nachweisen des Betriebs zu unterscheiden
Vertrautheit mit häufigen Informationssicherheitswerten und Abhängigkeiten (zum Beispiel Identität, Endpunkte, Cloud-Dienste, kritische Datenflüsse)
Dieses Modul geht davon aus, dass die Teilnehmer bereits in der Lage sind, mit Auditnachweisen und professionellem Urteil zu arbeiten und über grundlegende Kenntnisse der ISO/IEC 27001 ISMS-Terminologie verfügen (einschließlich der Erklärung zur Anwendbarkeit).
Hilfreiche Hintergrundinformationen umfassen:
Verständnis der generischen Logik zur Behandlung von Risiken und Chancen (Methoden werden hier nicht erneut unterrichtet)
Fähigkeit, dokumentierte Absicht von Nachweisen des Betriebs zu unterscheiden
Vertrautheit mit häufigen Informationssicherheitswerten und Abhängigkeiten (zum Beispiel Identität, Endpunkte, Cloud-Dienste, kritische Datenflüsse)
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Ziele und Leistungsmanagement
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7 Std.
Ziele und Leistungsmanagement
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7 Std.
Ziele und Leistungsmanagement
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7 Std.
Management von Informationssicherheitsrisiken
Verstehen Sie die Anforderungen der ISO/IEC 27001 für die Bewertung von Informationssicherheitsrisiken, die Behandlung von Risiken und nachvollziehbare Risikobeschlüsse
7 Std.
Management von Informationssicherheitsrisiken
Verstehen Sie die Anforderungen der ISO/IEC 27001 für die Bewertung von Informationssicherheitsrisiken, die Behandlung von Risiken und nachvollziehbare Risikobeschlüsse
7 Std.
Management von Informationssicherheitsrisiken
Verstehen Sie die Anforderungen der ISO/IEC 27001 für die Bewertung von Informationssicherheitsrisiken, die Behandlung von Risiken und nachvollziehbare Risikobeschlüsse
7 Std.
Grundlagen des Auditierens
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7 Std.
Grundlagen des Auditierens
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7 Std.
Grundlagen des Auditierens
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7 Std.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
Audits: Kommunikation und Interviews
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7 Std.
Audits: Kommunikation und Interviews
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7 Std.
Audits: Kommunikation und Interviews
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7 Std.
Audits: Berichten & Nachverfolgen
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7 Std.
Audits: Berichten & Nachverfolgen
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7 Std.
Audits: Berichten & Nachverfolgen
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7 Std.
Kontinuierliches Lernen
Weiterführende Module
Kontinuierliches Lernen
Weiterführende Module
Kontinuierliches Lernen
Weiterführende Module
Nach Abschluss dieses Moduls eignen sich die folgenden Module ideal, um Ihr Wissen weiter zu vertiefen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.