Schulungsmodul
Schulungsmodul
Schulungsmodul
Audit des ISMS-Risikomanagements
Verstehen Sie, wie man die Logik von Asset-Bedrohung-Schwachstelle, Risikobehandlungsentscheidungen und die Rückverfolgbarkeit zu Kontrollen und der Erklärung zur Anwendbarkeit prüft.
Verstehen
Umsetzen
Verwalten
Audit
Wechseln Sie vom Überprüfen der Risikoregister zum Beurteilen der Risikobegründung und der Auswahl von Behandlungsoptionen
Wechseln Sie vom Überprüfen der Risikoregister zum Beurteilen der Risikobegründung und der Auswahl von Behandlungsoptionen
In vielen Audits erscheint das Risikomanagement auf dem Papier „vollständig“, bricht jedoch zusammen, wenn man einem Risiko von der Kontextbewertung bis zur Behandlung und Kontrolle folgt. Dieses Modul entwickelt eine praktische Prüfungsperspektive, um zu testen, ob die Begründung der Risiken glaubwürdig ist, Entscheidungen nachvollziehbar sind und die Rückverfolgbarkeit einer genauen Untersuchung standhält.
In vielen Audits erscheint das Risikomanagement auf dem Papier „vollständig“, bricht jedoch zusammen, wenn man einem Risiko von der Kontextbewertung bis zur Behandlung und Kontrolle folgt. Dieses Modul entwickelt eine praktische Prüfungsperspektive, um zu testen, ob die Begründung der Risiken glaubwürdig ist, Entscheidungen nachvollziehbar sind und die Rückverfolgbarkeit einer genauen Untersuchung standhält.
Übersicht des Schulungsmoduls
ISO/IEC 27001 erwartet, dass Risikobewertung und Risikobehandlung das Informationssicherheits-Managementsystem (ISMS) steuern und nicht als eigenständige Dokumentation existieren. In der Praxis stoßen Auditoren häufig auf generische Asset-Listen, wiederverwendete Bedrohungskataloge, inkonsistente Bewertungen und eine Sicherheitskontaktstelle (SoA), die nicht auf spezifische Risiken und Behandlungsentscheidungen zurückgeführt werden kann.
Dieses auditspezifische Add-on konzentriert sich darauf, wie man die ISMS-Risikomanagement auditieren kann, wo die Informationssicherheitslogik materiell wichtig ist: Asset-Bedrohung-Verletzlichkeits-Überlegungen, Qualität der Behandlungsentscheidungen und Rückverfolgbarkeit von Risiken zu gewählten Kontrollen (einschließlich Anhang A) und der SoA. Es lehrt keine generischen Risikomanagementmethoden oder allgemeinen Audittechniken; es legt eine Audit-Urteils-Linse auf ISO/IEC 27001-Risikomanagement-Erwartungen.
ISO/IEC 27001 erwartet, dass Risikobewertung und Risikobehandlung das Informationssicherheits-Managementsystem (ISMS) steuern und nicht als eigenständige Dokumentation existieren. In der Praxis stoßen Auditoren häufig auf generische Asset-Listen, wiederverwendete Bedrohungskataloge, inkonsistente Bewertungen und eine Sicherheitskontaktstelle (SoA), die nicht auf spezifische Risiken und Behandlungsentscheidungen zurückgeführt werden kann.
Dieses auditspezifische Add-on konzentriert sich darauf, wie man die ISMS-Risikomanagement auditieren kann, wo die Informationssicherheitslogik materiell wichtig ist: Asset-Bedrohung-Verletzlichkeits-Überlegungen, Qualität der Behandlungsentscheidungen und Rückverfolgbarkeit von Risiken zu gewählten Kontrollen (einschließlich Anhang A) und der SoA. Es lehrt keine generischen Risikomanagementmethoden oder allgemeinen Audittechniken; es legt eine Audit-Urteils-Linse auf ISO/IEC 27001-Risikomanagement-Erwartungen.
Zielpublikum
Interne Auditoren, die die Risikobewertung und Risikobehandlung nach ISO/IEC 27001 innerhalb eines ISMS prüfen
Drittanbieter-Auditoren, die unabhängige Prüfungen (einschließlich Zertifizierungsaudits) gegen ISO/IEC 27001 durchführen
Lieferanten- und Partnerauditoren, die das Informationssicherheitsrisikomanagement im Rahmen von Assurance-Bewertungen überprüfen
Mitglieder des Audit-Teams, die stärkere Nachweisführungen zwischen Risiken, Kontrollen und dem SoA benötigen
Interne Auditoren, die die Risikobewertung und Risikobehandlung nach ISO/IEC 27001 innerhalb eines ISMS prüfen
Drittanbieter-Auditoren, die unabhängige Prüfungen (einschließlich Zertifizierungsaudits) gegen ISO/IEC 27001 durchführen
Lieferanten- und Partnerauditoren, die das Informationssicherheitsrisikomanagement im Rahmen von Assurance-Bewertungen überprüfen
Mitglieder des Audit-Teams, die stärkere Nachweisführungen zwischen Risiken, Kontrollen und dem SoA benötigen
Agenda
Was macht das Risikomanagement des ISMS prüfungsbereit (im Sinne von ISO/IEC 27001)
Risikomanagement als Entscheidungs- und Nachvollziehbarkeitssystem (kein Register)
Typische „sieht gut aus“ Artefakte, die bei umfassenden Tests scheitern
Prüfung der Asset-Bedrohungs-Schwachstellen-Argumentation
Plausibilitätsprüfungen: relevante Assets, realistische Bedrohungswege, sinnvolle Schwachstellen
Grenz- und Abhängigkeitsfallen: geteilte Dienstleistungen, Cloud, Anbieter und Schatten-Assets
Risikobewertungsoutputs, die unter Audit bestandhaben
Konsistenzprüfungen über Umfang, Assets, Vorfälle, Schwächen und Ergebnisse
Sampling-Heuristiken für Abdeckung: wo schwache Argumentation sich oft versteckt
Beurteilung von Risikoentscheidungen
Logik der Behandlungsoptionen (reduzieren / behalten / vermeiden / teilen) und Entscheidungsprotokolle
Glaubwürdigkeit der Risikoakzeptanz: Autorität, Begründung, Restrisiko, Auslöser für Überprüfungen
Nachvollziehbarkeit zu Kontrollen und der Erklärung der Anwendbarkeit (SoA)
Vom Risiko zur Kontrollauswahl und Anwendbarkeitsbegründung (einschließlich Anhang A, wo genutzt)
Vollständigkeit des Kontrollsets und “Kontrolltheater”-Indikatoren im SoA
Beweispfade: von der Dokumentation zur operativen Realität
Was anzufordern ist, wenn die Behandlung „Kontrollen umsetzen“, „übertragen“ oder „akzeptieren“ beinhaltet
Häufige Diskrepanzen zwischen Risikobehandlungsplänen, Projekten und Nachweisen für die Umsetzung von Kontrollen
Workshop (fallbasiert)
Zwei Stichprobenrisiken durch Bewertung → Entscheidungsfindung → Kontrollen → SoA-Eintrag verfolgen
Lücken identifizieren, Audit-Tests formulieren und prägnante Ergebnisaussagen entwerfen (nur Struktur, kein Berichtsverfassen)
Was macht das Risikomanagement des ISMS prüfungsbereit (im Sinne von ISO/IEC 27001)
Risikomanagement als Entscheidungs- und Nachvollziehbarkeitssystem (kein Register)
Typische „sieht gut aus“ Artefakte, die bei umfassenden Tests scheitern
Prüfung der Asset-Bedrohungs-Schwachstellen-Argumentation
Plausibilitätsprüfungen: relevante Assets, realistische Bedrohungswege, sinnvolle Schwachstellen
Grenz- und Abhängigkeitsfallen: geteilte Dienstleistungen, Cloud, Anbieter und Schatten-Assets
Risikobewertungsoutputs, die unter Audit bestandhaben
Konsistenzprüfungen über Umfang, Assets, Vorfälle, Schwächen und Ergebnisse
Sampling-Heuristiken für Abdeckung: wo schwache Argumentation sich oft versteckt
Beurteilung von Risikoentscheidungen
Logik der Behandlungsoptionen (reduzieren / behalten / vermeiden / teilen) und Entscheidungsprotokolle
Glaubwürdigkeit der Risikoakzeptanz: Autorität, Begründung, Restrisiko, Auslöser für Überprüfungen
Nachvollziehbarkeit zu Kontrollen und der Erklärung der Anwendbarkeit (SoA)
Vom Risiko zur Kontrollauswahl und Anwendbarkeitsbegründung (einschließlich Anhang A, wo genutzt)
Vollständigkeit des Kontrollsets und “Kontrolltheater”-Indikatoren im SoA
Beweispfade: von der Dokumentation zur operativen Realität
Was anzufordern ist, wenn die Behandlung „Kontrollen umsetzen“, „übertragen“ oder „akzeptieren“ beinhaltet
Häufige Diskrepanzen zwischen Risikobehandlungsplänen, Projekten und Nachweisen für die Umsetzung von Kontrollen
Workshop (fallbasiert)
Zwei Stichprobenrisiken durch Bewertung → Entscheidungsfindung → Kontrollen → SoA-Eintrag verfolgen
Lücken identifizieren, Audit-Tests formulieren und prägnante Ergebnisaussagen entwerfen (nur Struktur, kein Berichtsverfassen)
Modul-ID
HAM-IS-A-01
Modultyp
Audit-Erweiterung
Domain:
Informationssicherheit
Zielgruppe:
Auditor
Verfügbar in:
Englisch
Dauer:
3 Std.
Listenpreis:
CHF 250
Exkl. MwSt. Die Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Was Sie erhalten
Was Sie lernen
Bewerten Sie, ob die Logik von Asset-Bedrohung-Schwachstelle glaubwürdig und für die Entscheidungsfindung in einem ISMS geeignet ist.
Überprüfen Sie die interne Konsistenz der Ergebnisse der Risikobewertung durch praktische Audit-Checks und gezielte Stichproben-Heuristiken.
Bewerten Sie, ob Risikobehandlungsentscheidungen erklärbar, autorisiert und überprüfbar sind (einschließlich Rest- und Akzeptanzrisiko).
Überprüfen Sie die durchgängige Rückverfolgbarkeit von Risiken zu Kontrollen und zur Erklärung der Anwendbarkeit (Statement of Applicability, SoA).
Identifizieren Sie häufige systemische Fehlerarten im Risikomanagement nach ISO/IEC 27001 und erkennen Sie Frühwarnsignale.
Erstellen Sie effektive Prüfpfade und Beleganforderungen, die die Risikodokumentation mit der operativen Kontrollrealität verbinden.
Bewerten Sie, ob die Logik von Asset-Bedrohung-Schwachstelle glaubwürdig und für die Entscheidungsfindung in einem ISMS geeignet ist.
Überprüfen Sie die interne Konsistenz der Ergebnisse der Risikobewertung durch praktische Audit-Checks und gezielte Stichproben-Heuristiken.
Bewerten Sie, ob Risikobehandlungsentscheidungen erklärbar, autorisiert und überprüfbar sind (einschließlich Rest- und Akzeptanzrisiko).
Überprüfen Sie die durchgängige Rückverfolgbarkeit von Risiken zu Kontrollen und zur Erklärung der Anwendbarkeit (Statement of Applicability, SoA).
Identifizieren Sie häufige systemische Fehlerarten im Risikomanagement nach ISO/IEC 27001 und erkennen Sie Frühwarnsignale.
Erstellen Sie effektive Prüfpfade und Beleganforderungen, die die Risikodokumentation mit der operativen Kontrollrealität verbinden.
Lernmaterialien
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Vorlagen & Werkzeuge
ISMS Risikoprüfpfad-Arbeitsblatt (Risiko → Behandlung → Kontrollen → SoA)
Asset-Bedrohungs-Schwachstellen Plausibilitätscheckliste
Testfragen zur Risikobehandlungsentscheidung (einschließlich Akzeptanz und Restrisiko)
Prüfliste für SoA-Nachvollziehbarkeit und Begründungsüberprüfung
Nachweiskarte nach Behandlungsoption (reduzieren / beibehalten / vermeiden / teilen)
Rote-Flagge-Katalog für „Risiken-auf-Papier“-Muster
AI-Prompt-Set zur Konsistenzprüfung über Risikoregister, Behandlungsplan und SoA (unterstützend, nicht ersetzen der fachlichen Beurteilung)
ISMS Risikoprüfpfad-Arbeitsblatt (Risiko → Behandlung → Kontrollen → SoA)
Asset-Bedrohungs-Schwachstellen Plausibilitätscheckliste
Testfragen zur Risikobehandlungsentscheidung (einschließlich Akzeptanz und Restrisiko)
Prüfliste für SoA-Nachvollziehbarkeit und Begründungsüberprüfung
Nachweiskarte nach Behandlungsoption (reduzieren / beibehalten / vermeiden / teilen)
Rote-Flagge-Katalog für „Risiken-auf-Papier“-Muster
AI-Prompt-Set zur Konsistenzprüfung über Risikoregister, Behandlungsplan und SoA (unterstützend, nicht ersetzen der fachlichen Beurteilung)
Voraussetzungen
Dieses Modul geht davon aus, dass die Teilnehmer bereits in der Lage sind, mit Auditnachweisen und professionellem Urteil zu arbeiten und über grundlegende Kenntnisse der ISO/IEC 27001 ISMS-Terminologie verfügen (einschließlich der Erklärung zur Anwendbarkeit).
Hilfreiche Hintergrundinformationen umfassen:
Verständnis der generischen Logik zur Behandlung von Risiken und Chancen (Methoden werden hier nicht erneut unterrichtet)
Fähigkeit, dokumentierte Absicht von Nachweisen des Betriebs zu unterscheiden
Vertrautheit mit häufigen Informationssicherheitswerten und Abhängigkeiten (zum Beispiel Identität, Endpunkte, Cloud-Dienste, kritische Datenflüsse)
Dieses Modul geht davon aus, dass die Teilnehmer bereits in der Lage sind, mit Auditnachweisen und professionellem Urteil zu arbeiten und über grundlegende Kenntnisse der ISO/IEC 27001 ISMS-Terminologie verfügen (einschließlich der Erklärung zur Anwendbarkeit).
Hilfreiche Hintergrundinformationen umfassen:
Verständnis der generischen Logik zur Behandlung von Risiken und Chancen (Methoden werden hier nicht erneut unterrichtet)
Fähigkeit, dokumentierte Absicht von Nachweisen des Betriebs zu unterscheiden
Vertrautheit mit häufigen Informationssicherheitswerten und Abhängigkeiten (zum Beispiel Identität, Endpunkte, Cloud-Dienste, kritische Datenflüsse)
Dringend empfohlene Vorbereitungsmodule
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Informationssicherheits-Risikomanagement – Anwendung des Risikoprozesses auf Assets, Bedrohungen und Schwachstellen
Verstehen Sie die Anforderungen der ISO/IEC 27001 für die Bewertung von Informationssicherheitsrisiken, die Behandlung von Risiken und nachvollziehbare Risikobeschlüsse
7h
Informationssicherheits-Risikomanagement – Anwendung des Risikoprozesses auf Assets, Bedrohungen und Schwachstellen
Verstehen Sie die Anforderungen der ISO/IEC 27001 für die Bewertung von Informationssicherheitsrisiken, die Behandlung von Risiken und nachvollziehbare Risikobeschlüsse
7h
Informationssicherheits-Risikomanagement – Anwendung des Risikoprozesses auf Assets, Bedrohungen und Schwachstellen
Verstehen Sie die Anforderungen der ISO/IEC 27001 für die Bewertung von Informationssicherheitsrisiken, die Behandlung von Risiken und nachvollziehbare Risikobeschlüsse
7h
Audit-Grundlagen: Prinzipien, Beweise & Urteil
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7h
Audit-Grundlagen: Prinzipien, Beweise & Urteil
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7h
Audit-Grundlagen: Prinzipien, Beweise & Urteil
Kernprüfungsmentalität, evidenzbasierte Logik, Fokussierung auf Wesentlichkeit und Gestaltung des Prüfungsplans.
7h
Hilfreiche Vorbereitungsmodule
Die folgenden Module bereiten auf ein optimales Lernerlebnis vor – sind jedoch nicht unbedingt erforderlich, um den Teilnehmern zu folgen.
Durchführung von selbstbewussten, objektiven und aufschlussreichen Audit-Gesprächen
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7h
Durchführung von selbstbewussten, objektiven und aufschlussreichen Audit-Gesprächen
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7h
Durchführung von selbstbewussten, objektiven und aufschlussreichen Audit-Gesprächen
Planung von Interviews, Fragetechniken und Gesprächsführung zur zuverlässigen Prüfungsnachweisbeschaffung
7h
Audit-Berichterstattung & Nachverfolgung: Feststellungen, Berichterstattung und Überprüfung der Schließung
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7h
Audit-Berichterstattung & Nachverfolgung: Feststellungen, Berichterstattung und Überprüfung der Schließung
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7h
Audit-Berichterstattung & Nachverfolgung: Feststellungen, Berichterstattung und Überprüfung der Schließung
Verstehen Sie, wie man evidenzbasierte Feststellungen formuliert, Prüfungsberichte strukturiert und vereinbarte Maßnahmen bis zur bestätigten Umsetzung verfolgt.
7h
Kontinuierliches Lernen
Kontinuierliches Lernen
Kontinuierliches Lernen
Folgemodule
Nach Abschluss dieses Moduls sind die folgenden Module ideal, um Ihre Kompetenz weiter zu vertiefen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.