Trainingsmodul
Betriebliche Steuerung der Informationssicherheit
Informationssicherheitsmassnahmen in den täglichen Abläufen gemäss ISO/IEC 27001 konsistent planen, umsetzen und betreiben
Übersicht
Massnahmen, die in der Risikobehandlung und Planung ausgewählt wurden, können an Wirksamkeit verlieren, wenn sie ohne klare Rollen, Kriterien und Änderungssteuerung umgesetzt werden.
In diesem Modul lernen die Teilnehmenden, Entscheidungen aus der Risikobehandlung in operative Routinen zu überführen, Schnittstellen und Übergaben zwischen Verantwortlichen für Massnahmen und dem Betrieb zu definieren sowie sicherheitsrelevante Änderungen in bestehende Änderungsprozesse zu integrieren. Das Modul behandelt, was «betrieben und aufrechterhalten» bei unterschiedlichen Massnahmentypen bedeutet, wie Ausnahmen und kompensierende Massnahmen gehandhabt werden, wie typische Ausfallarten erkannt werden und wie der minimale Nachweis dokumentiert wird. Es baut auf Grundlagen zu Risiko, Geltungsbereich und vorbeugenden Massnahmen auf, wiederholt diese Themen aber nicht.
Relevante Umfelder
Dieses Modul richtet sich an Organisationen, die ein Informationssicherheitsmanagementsystem (ISMS) gemäss ISO/IEC 27001 einführen oder betreiben. Es fokussiert darauf, wie die Anforderungen des Standards in realen organisatorischen Kontexten interpretiert und praktisch angewendet werden.
Die Inhalte sind sowohl für Organisationen relevant, die eine Zertifizierung anstreben, als auch für solche, die ISO/IEC 27001 als Referenzrahmen nutzen, um Verantwortlichkeiten, Prozesse und Kontrollen im Bereich der Informationssicherheit strukturiert auszugestalten.
Zielpublikum
Personen, die ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 entwerfen, aufbauen, betreiben oder verbessern
Führungskräfte und Abteilungsleitende, die für die Wirksamkeit und Leistung eines ISMS verantwortlich sind
Personen, die für Prozesse, Politiken, Assets, Risiken und Steuerungsmassnahmen im Bereich Informationssicherheit verantwortlich sind
Auditierende von ISO/IEC 27001, die ihr Verständnis für managementseitige Best Practices vertiefen wollen (nicht Audittechnik)
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
den ISMS-Tagesbetrieb und die Ausführung von Massnahmen selbst steuern oder überwachen.
mit Massnahmen zu kämpfen haben, die auf dem Papier bestehen, in der gelebten Praxis aber abdriften.
operative Routinen benötigen, die Sicherheitsentscheide über die Zeit nachvollziehbar halten.
Verantwortung, Änderungen oder Übergaben über Teams oder Lieferanten hinweg steuern.
möchten, dass ISMS-Massnahmen unter realem Lieferdruck und in Sicherheitsvorfällen Bestand haben.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
nach dem Design, der Auswahl oder der Auslegung von Anhang A suchen.
technische Härtung, Konfiguration oder Werkzeugunterstützung erwarten.
Risikobeurteilung, Gestaltung der SoA oder Massnahmenziele von Grund auf erklärt haben möchten.
bereits stabile, klar verantwortete und konsistent umgesetzte ISMS-Massnahmen betreiben.
Agenda
Was operative Steuerung in der ISO/IEC 27001-Praxis bedeutet
Planung und Steuerung des ISMS-Betriebs
Kontrollierte Änderungen im Informationssicherheitsbetrieb
Anhang A-Massnahmen betreiben, ohne die Massnahmen neu zu vermitteln
Ausgelagerte und durch Lieferanten betriebene Massnahmen
Operative Abweichungen, Sicherheitsvorfälle und Nachverfolgung von Korrekturmassnahmen
Praxisworkshop
Details...
Was Sie lernen
Zentrale Lernergebnisse
Risikobehandlungsentscheide in operative Steuerungsroutinen mit klaren Aufgaben und Zeitpunkten überführen
Schnittstellen und Übergaben zwischen Verantwortlichen für Massnahmen, IT-Betrieb und Dienstleistungsmanagement definieren
Sicherheitsrelevante Änderungen in allgemeine Änderungsmanagement-Prozesse integrieren
Zusätzliche Fähigkeiten
Festlegen, was «betrieben und aufrechterhalten» bei unterschiedlichen Massnahmentypen bedeutet und welcher Nachweis nötig ist
Ausnahmen und kompensierende Massnahmen handhaben, ohne die Wirkabsicht der Massnahme zu untergraben
Typische Ausfallarten von Massnahmen erkennen und minimale Nachweise für Governance und Nachweisführung erstellen
Enthaltene Unterlagen
Lernmaterialien
Slide deck
Participant workbook
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
ISMS-Matrix für operative Steuerung
Vorlage für die Spezifikation operativer Routinen
Checkliste für sicherheitsrelevante Änderungsfolgen
Protokoll für Ausnahmen und kompensierende Massnahmen
Arbeitsblatt für Lieferantenschnittstellen bei Massnahmen
Leitfaden für den minimalen operativen Nachweis
Bestätigung
Certificate of completion
Modul-ID
HAM-IS-S-03
Fachbereich
Normkapitel
8: Betrieb
Zielgruppen
Manager
Sprachen
Englisch
Durchführung
Live-virtuell
Dauer
7 Std.
Listenpreis
CHF 550
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt allgemeine Vertrautheit mit der Umsetzung von Managementsystemen und grundlegenden Informationssicherheitskonzepten voraus. Es setzt zudem Grundlagen der operativen Steuerung voraus und fokussiert auf die ISO/IEC 27001-spezifische Anwendung.
Hilfreiche Vorkenntnisse sind:
Verständnis von Rollen, Verantwortlichkeiten und dokumentierten Informationen in Managementsystemen in der gelebten Praxis
Grundlegende Vertrautheit mit gängigen Informationssicherheitsmassnahmen
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
