Trainingsmodul
Informationssicherheits-Risikomanagement auditieren
Entscheidungen zur Risikobehandlung und Nachvollziehbarkeit zu Steuerungsmassnahmen und SoA beurteilen
Übersicht
ISO/IEC 27001 erwartet, dass Risikobeurteilung und Risikobehandlung das Informationssicherheitsmanagementsystem (ISMS) steuern und nicht als eigenständige Dokumentation nebenher bestehen. In der Praxis treffen Auditoren oft auf allgemeine Assetlisten, wiederverwendete Bedrohungskataloge, inkonsistente Bewertungen und eine Erklärung zur Anwendbarkeit (SoA), die sich nicht auf konkrete Risiken und Behandlungsentscheidungen zurückführen lässt.
Dieses normbezogene Auditmodul fokussiert darauf, wie das ISMS-Risikomanagement dort auditiert wird, wo die Informationssicherheitslogik entscheidend ist: Asset-Bedrohung-Schwachstellenlogik, Qualität der Behandlungsentscheidungen und Nachvollziehbarkeit von Risiken zu ausgewählten Steuerungsmassnahmen (einschliesslich Anhang A) und zur SoA. Es vermittelt keine generischen Methoden des Risikomanagements und keine allgemeinen Audittechniken erneut; es wendet eine Auditbeurteilung auf die Anforderungen an das Risikomanagement nach ISO/IEC 27001 an.
Relevante Umfelder
Dieses Modul fokussiert auf die Auditierung von Klauseln und Kontrollen, die spezifisch für ISO/IEC 27001 sind. Es richtet sich an Auditoren, die mit Organisationen arbeiten, welche ein Informationssicherheitsmanagementsystem (ISMS) gemäss dieser Norm betreiben.
Zielpublikum
Angehende Auditierende, die ISO/IEC 27001 nach Best Practices auditieren wollen
Praktizierende Auditierende von ISO/IEC 27001, die ihr Auditwissen, ihr Urteilsvermögen und ihre Wirksamkeit bei Audits stärken wollen
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Agenda
Was ISMS-Risikomanagement auditfähig macht
Zusammenspiel von Assets, Bedrohungen und Schwachstellen testen
Risikobeurteilungsergebnisse, die im Audit standhalten
Entscheidungen zur Risikobehandlung beurteilen
Nachvollziehbarkeit zu Steuerungsmassnahmen und zur Erklärung zur Anwendbarkeit (SoA)
Nachweiswege von der Dokumentation zur Umsetzung
Praxisworkshop mit Auditsimulation
Details...
Learning outcomes
Key outcomes
Beurteilen, ob die Asset-Bedrohung-Schwachstellenlogik glaubwürdig und für Entscheidungen im ISMS geeignet ist
Innere Stimmigkeit von Risikobeurteilungsergebnissen mit praktischen Auditchecks und gezielten Stichprobenheuristiken prüfen
Beurteilen, ob Entscheidungen zur Risikobehandlung nachvollziehbar, autorisiert und überprüfbar sind
Additional capabilities
Durchgängige Nachvollziehbarkeit von Risiken zu Steuerungsmassnahmen und zur Erklärung zur Anwendbarkeit (SoA) verifizieren
Häufige systemische Schwachstellen im Risikomanagement nach ISO/IEC 27001 erkennen und Frühwarnsignale lesen
Wirksame Nachweiswege und Nachweisanfragen aufbauen, die Risikodokumentation mit der operativen Realität der Steuerungsmassnahmen verbinden
Enthaltene Unterlagen
Lernmaterialien
Präsentationsfolien
Arbeitsbuch
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
Tool für die Planung von Auditgesprächen
Checkliste für dokumentierte Informationen
Stichprobentool
Arbeitsblätter für die Auditanalyse
Bibliothek typischer Schwachstellen
KI-Prompt-Sammlung
Bestätigung
Teilnahmebestätigung
Modul-ID
HAM-IS-A-01
Fachbereich
ISO standard
ISO-Normkapitel
6: Planung
8: Betrieb
Zielgruppen
Öffentliche Formate
Live-virtuell
Duration
7 Std.
List price
CHF 550
Excl. VAT. VAT may apply depending on customer location and status.
Durchführung & Lernformat
Live-virtuelles Format
Dieses Modul wird live online durchgeführt und kombiniert konzeptionelle Einordnung, Diskussionen, Fallarbeit sowie direkte Interaktion mit dem Instruktor.
Zurzeit ist keine öffentliche Durchführung dieses Moduls geplant. Wenn Sie Ihr Interesse anmelden, informieren wir Sie, sobald eine neue Durchführung geplant ist oder passende Formate verfügbar werden.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Rahmenbedingungen oder Lernzielen kann das Modul in Format oder Umfang angepasst werden – einschliesslich Inhouse-Durchführung und kontextualisierten Fallbeispielen.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt voraus, dass die Teilnehmenden bereits mit Auditnachweisen und beruflichem Urteilsvermögen arbeiten können und über Grundkenntnisse der ISO/IEC 27001-ISMS-Terminologie verfügen, einschliesslich der Erklärung zur Anwendbarkeit.
Hilfreicher Hintergrund umfasst:
Verständnis der allgemeinen Logik zur Behandlung von Risiken und Chancen (Methoden werden hier nicht erneut vermittelt)
Fähigkeit, dokumentierte Absicht von Nachweis der Umsetzung zu unterscheiden
Vertrautheit mit typischen Informationssicherheits-Assets und Abhängigkeiten (zum Beispiel Identitäten, Endgeräte, Cloud-Dienste, kritische Datenflüsse)
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
