Trainingsmodul
Informationssicherheits-Risikomanagement auditieren
Entscheidungen zur Risikobehandlung und Nachvollziehbarkeit zu Steuerungsmassnahmen und SoA beurteilen
Übersicht
ISO/IEC 27001 erwartet, dass Risikobeurteilung und Risikobehandlung das Informationssicherheitsmanagementsystem (ISMS) steuern und nicht als eigenständige Dokumentation nebenher bestehen. In der Praxis treffen Auditoren oft auf allgemeine Assetlisten, wiederverwendete Bedrohungskataloge, inkonsistente Bewertungen und eine Erklärung zur Anwendbarkeit (SoA), die sich nicht auf konkrete Risiken und Behandlungsentscheidungen zurückführen lässt.
Dieses normbezogene Auditmodul fokussiert darauf, wie das ISMS-Risikomanagement dort auditiert wird, wo die Informationssicherheitslogik entscheidend ist: Asset-Bedrohung-Schwachstellenlogik, Qualität der Behandlungsentscheidungen und Nachvollziehbarkeit von Risiken zu ausgewählten Steuerungsmassnahmen (einschliesslich Anhang A) und zur SoA. Es vermittelt keine generischen Methoden des Risikomanagements und keine allgemeinen Audittechniken erneut; es wendet eine Auditbeurteilung auf die Anforderungen an das Risikomanagement nach ISO/IEC 27001 an.
Relevante Umfelder
Dieses Modul fokussiert auf die Auditierung von Klauseln und Kontrollen, die spezifisch für ISO/IEC 27001 sind. Es richtet sich an Auditoren, die mit Organisationen arbeiten, welche ein Informationssicherheitsmanagementsystem (ISMS) gemäss dieser Norm betreiben.
Zielpublikum
Angehende Auditierende, die ISO/IEC 27001 nach Best Practices auditieren wollen
Praktizierende Auditierende von ISO/IEC 27001, die ihr Auditwissen, ihr Urteilsvermögen und ihre Wirksamkeit bei Audits stärken wollen
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
prüfen wollen, ob das ISMS-Risikomanagement Sicherheitsentscheidungen tatsächlich steuert.
nicht nur die Vollständigkeit des Risikoregisters, sondern die Asset-Bedrohung-Schwachstellenlogik testen möchten.
Risiken vom Kontext über Behandlungsentscheidungen bis zu Steuerungsmassnahmen und zur SoA nachverfolgen.
Ihre Beurteilung von Risikoakzeptanz, Priorisierung und Nachvollziehbarkeit schärfen möchten.
Auditfeststellungen suchen, die schwache Risikologik und systemische Lücken sichtbar machen.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
vor allem Risikobeurteilungs- oder Behandlungsverfahren entwerfen oder verbessern wollen.
generische Risikomanagementframeworks oder Bewertungsmodelle erwarten.
sich auf die Moderation von Workshops oder die Erstellung von Risikodokumentation fokussieren.
nicht bereit sind, formell vollständige, aber fachlich schwache Risikobegründungen zu hinterfragen.
Agenda
Was ISMS-Risikomanagement auditfähig macht
Zusammenspiel von Assets, Bedrohungen und Schwachstellen testen
Risikobeurteilungsergebnisse, die im Audit standhalten
Entscheidungen zur Risikobehandlung beurteilen
Nachvollziehbarkeit zu Steuerungsmassnahmen und zur Erklärung zur Anwendbarkeit (SoA)
Nachweiswege von der Dokumentation zur Umsetzung
Praxisworkshop mit Auditsimulation
Details...
Was Sie lernen
Zentrale Lernergebnisse
Beurteilen, ob die Asset-Bedrohung-Schwachstellenlogik glaubwürdig und für Entscheidungen im ISMS geeignet ist
Innere Stimmigkeit von Risikobeurteilungsergebnissen mit praktischen Auditchecks und gezielten Stichprobenheuristiken prüfen
Beurteilen, ob Entscheidungen zur Risikobehandlung nachvollziehbar, autorisiert und überprüfbar sind
Zusätzliche Fähigkeiten
Durchgängige Nachvollziehbarkeit von Risiken zu Steuerungsmassnahmen und zur Erklärung zur Anwendbarkeit (SoA) verifizieren
Häufige systemische Schwachstellen im Risikomanagement nach ISO/IEC 27001 erkennen und Frühwarnsignale lesen
Wirksame Nachweiswege und Nachweisanfragen aufbauen, die Risikodokumentation mit der operativen Realität der Steuerungsmassnahmen verbinden
Enthaltene Unterlagen
Lernmaterialien
Slide deck
Participant workbook
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
Tool für die Planung von Auditgesprächen
Checkliste für dokumentierte Informationen
Stichprobentool
Arbeitsblätter für die Auditanalyse
Bibliothek typischer Schwachstellen
KI-Prompt-Sammlung
Bestätigung
Certificate of completion
Modul-ID
HAM-IS-A-01
Fachbereich
Normkapitel
6: Planung
8: Betrieb
Zielgruppen
Auditor
Sprachen
Englisch
Durchführung
Live-virtuell
Dauer
7 Std.
Listenpreis
CHF 550
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt voraus, dass die Teilnehmenden bereits mit Auditnachweisen und beruflichem Urteilsvermögen arbeiten können und über Grundkenntnisse der ISO/IEC 27001-ISMS-Terminologie verfügen, einschliesslich der Erklärung zur Anwendbarkeit.
Hilfreicher Hintergrund umfasst:
Verständnis der allgemeinen Logik zur Behandlung von Risiken und Chancen (Methoden werden hier nicht erneut vermittelt)
Fähigkeit, dokumentierte Absicht von Nachweis der Umsetzung zu unterscheiden
Vertrautheit mit typischen Informationssicherheits-Assets und Abhängigkeiten (zum Beispiel Identitäten, Endgeräte, Cloud-Dienste, kritische Datenflüsse)
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
