Schulungsmodul
Schulungsmodul
Schulungsmodul
Informationssicherheits-Risikomanagement
Verstehen Sie die Anforderungen der ISO/IEC 27001 für die Bewertung von Informationssicherheitsrisiken, die Behandlung von Risiken und nachvollziehbare Risikobeschlüsse
Verstehen
Umsetzen
Verwalten
Audit
Verwandeln Sie die Risikobearbeitung nach ISO/IEC 27001 in eine klare, überprüfbare Entscheidungsspur.
Verwandeln Sie die Risikobearbeitung nach ISO/IEC 27001 in eine klare, überprüfbare Entscheidungsspur.
In vielen Implementierungen von ISMS existieren zwar Risikoartefakte, doch sie steuern nicht zuverlässig die Auswahl der Maßnahmen, Annahmeentscheidungen oder Managementbewertungen. Dieses Modul stimmt die Ergebnisse der Risikoanalyse und -behandlung mit den Beweisen und der Nachverfolgbarkeit ab, die ein ISMS benötigt, um langfristig glaubwürdig zu bleiben.
In vielen Implementierungen von ISMS existieren zwar Risikoartefakte, doch sie steuern nicht zuverlässig die Auswahl der Maßnahmen, Annahmeentscheidungen oder Managementbewertungen. Dieses Modul stimmt die Ergebnisse der Risikoanalyse und -behandlung mit den Beweisen und der Nachverfolgbarkeit ab, die ein ISMS benötigt, um langfristig glaubwürdig zu bleiben.
Übersicht des Schulungsmoduls
ISO/IEC 27001 erwartet, dass das Risikomanagement der Informationssicherheit als ein disziplinierter Entscheidungsprozess funktioniert, nicht als einmalige Compliance-Übung. Die Risikobewertung muss Ergebnisse liefern, die konsistent, dokumentiert und nachvollziehbar sind, und die auf das zurückzuführen sind, was die Organisation umsetzt, akzeptiert und überprüft. In der Praxis kämpfen viele ISMS mit unklaren Risikokriterien, schwach formulierten Risikoerklärungen, fragmentiertem Eigentum und Behandlungsplänen, die die Auswahl der Kontrollen oder Annahmeentscheidungen nicht klar rechtfertigen.
Dieses Modul konzentriert sich darauf, wie ISO/IEC 27001 erwartet, dass Informationssicherheitsrisiken innerhalb eines ISMS definiert, bewertet, behandelt und nachgewiesen werden. Es konzentriert sich auf die erforderlichen Interpretationen, dokumentierten Elemente und Nachvollziehbarkeitsbeziehungen zwischen Risiken, Behandlungsentscheidungen, Kontrollen und Annahme. Der Schwerpunkt liegt auf der Erstellung von Risikoartefakten, die Governance, Management-Review und Assurance unterstützen und die weiterhin verwendbar bleiben, während sich das ISMS im Laufe der Zeit entwickelt.
ISO/IEC 27001 erwartet, dass das Risikomanagement der Informationssicherheit als ein disziplinierter Entscheidungsprozess funktioniert, nicht als einmalige Compliance-Übung. Die Risikobewertung muss Ergebnisse liefern, die konsistent, dokumentiert und nachvollziehbar sind, und die auf das zurückzuführen sind, was die Organisation umsetzt, akzeptiert und überprüft. In der Praxis kämpfen viele ISMS mit unklaren Risikokriterien, schwach formulierten Risikoerklärungen, fragmentiertem Eigentum und Behandlungsplänen, die die Auswahl der Kontrollen oder Annahmeentscheidungen nicht klar rechtfertigen.
Dieses Modul konzentriert sich darauf, wie ISO/IEC 27001 erwartet, dass Informationssicherheitsrisiken innerhalb eines ISMS definiert, bewertet, behandelt und nachgewiesen werden. Es konzentriert sich auf die erforderlichen Interpretationen, dokumentierten Elemente und Nachvollziehbarkeitsbeziehungen zwischen Risiken, Behandlungsentscheidungen, Kontrollen und Annahme. Der Schwerpunkt liegt auf der Erstellung von Risikoartefakten, die Governance, Management-Review und Assurance unterstützen und die weiterhin verwendbar bleiben, während sich das ISMS im Laufe der Zeit entwickelt.
Zielpublikum
ISMS-Manager und -Koordinatoren, die die Risikobewertung und -behandlung nach ISO/IEC 27001 umsetzen
Informationssicherheits-Governance-, Risiko- und Compliance-Fachleute, die ISMS-Entscheidungen unterstützen
Kontroll- und Risiko-Eigentümer, die an der Planung der Behandlung und an Akzeptanzentscheidungen beteiligt sind
Interne Auditoren und Prüfungsfachleute, die ISO/IEC 27001-Risikoartefakte auf Konsistenz und Nachverfolgbarkeit überprüfen (ohne Fokus auf Prüftechnik)
ISMS-Manager und -Koordinatoren, die die Risikobewertung und -behandlung nach ISO/IEC 27001 umsetzen
Informationssicherheits-Governance-, Risiko- und Compliance-Fachleute, die ISMS-Entscheidungen unterstützen
Kontroll- und Risiko-Eigentümer, die an der Planung der Behandlung und an Akzeptanzentscheidungen beteiligt sind
Interne Auditoren und Prüfungsfachleute, die ISO/IEC 27001-Risikoartefakte auf Konsistenz und Nachverfolgbarkeit überprüfen (ohne Fokus auf Prüftechnik)
Agenda
Rolle des Risikomanagements innerhalb eines ISMS
Was ISO/IEC 27001 von der Risikobewältigung erwartet (Entscheidungsnachvollziehbarkeit, nicht Papierkram)
Schnittstellen zu Umfang/Grenzen, Zielen, Maßnahmen und Managementbewertung
ISO/IEC 27001-Risikoterminologie und erforderliche Definitionen
Begriffe des Informationssicherheitsrisikos, wie im Standard verwendet (Risikoeigentümer, Akzeptanz, Restrisiko)
Was als „die Methode“ definiert und gepflegt werden muss (ohne die Methode neu zu lehren)
Risikokriterien und Konsistenzanforderungen
Governance-Absicht in nutzbare Kriterien übersetzen (Auswirkung, Wahrscheinlichkeit, Akzeptanzregeln)
Häufige Fehlermodi: Kriterien, die nicht konsistent angewendet oder verteidigt werden können
Risikobewertungsoutputs, die Behandlungsentscheidungen unterstützen
Wie „gute Risikostatements“ im ISMS-Kontext aussehen (Klarheit, Eigentümerschaft, betroffene Informationen/Prozesse)
Mindestanforderungen an Nachvollziehbarkeitsfelder, um verwaiste Risiken und unüberprüfbare Schlussfolgerungen zu vermeiden
Erwartungen an die Risikobehandlung und Artefakte
Behandlungsoptionen im Sinne von ISO/IEC 27001 und wie Entscheidungen nachgewiesen werden können
Behandlungsplanung: Eigentümer, Zeitpläne, Abhängigkeiten und Umgang mit Restrisiken
Nachvollziehbarkeit zu Kontrollen und der SoA-Schnittstelle
Wie Risikobehandlungsentscheidungen in die Auswahl und Begründung von Kontrollen einfließen
SoA-Verknüpfung: Sicherstellung, dass jede einbezogene/ausgeschlossene Kontrolle eine verteidigbare Begründung hat, die mit Behandlungsentscheidungen verbunden ist
Aufrechterhaltung von Risikoinformationen über die Zeit
Bewertungsauslöser (Änderungen, Vorfälle, Leistungssignale) und praktische Aktualisierungsroutinen
Risikobehandlungsartefakte in Einklang mit der operativen Realität und den Beiträge der Managementüberprüfung halten
Workshop (Fallstudienbasiert)
Ein ISO/IEC 27001-Risikoset auf Klarheit der Kriterien, Qualität der Entscheidungen und Nachvollziehbarkeit bewerten
Ein minimalistisches, verteidigbares Behandlungssystem und SoA-Verknüpfung für einen Teil der Risiken erstellen
Rolle des Risikomanagements innerhalb eines ISMS
Was ISO/IEC 27001 von der Risikobewältigung erwartet (Entscheidungsnachvollziehbarkeit, nicht Papierkram)
Schnittstellen zu Umfang/Grenzen, Zielen, Maßnahmen und Managementbewertung
ISO/IEC 27001-Risikoterminologie und erforderliche Definitionen
Begriffe des Informationssicherheitsrisikos, wie im Standard verwendet (Risikoeigentümer, Akzeptanz, Restrisiko)
Was als „die Methode“ definiert und gepflegt werden muss (ohne die Methode neu zu lehren)
Risikokriterien und Konsistenzanforderungen
Governance-Absicht in nutzbare Kriterien übersetzen (Auswirkung, Wahrscheinlichkeit, Akzeptanzregeln)
Häufige Fehlermodi: Kriterien, die nicht konsistent angewendet oder verteidigt werden können
Risikobewertungsoutputs, die Behandlungsentscheidungen unterstützen
Wie „gute Risikostatements“ im ISMS-Kontext aussehen (Klarheit, Eigentümerschaft, betroffene Informationen/Prozesse)
Mindestanforderungen an Nachvollziehbarkeitsfelder, um verwaiste Risiken und unüberprüfbare Schlussfolgerungen zu vermeiden
Erwartungen an die Risikobehandlung und Artefakte
Behandlungsoptionen im Sinne von ISO/IEC 27001 und wie Entscheidungen nachgewiesen werden können
Behandlungsplanung: Eigentümer, Zeitpläne, Abhängigkeiten und Umgang mit Restrisiken
Nachvollziehbarkeit zu Kontrollen und der SoA-Schnittstelle
Wie Risikobehandlungsentscheidungen in die Auswahl und Begründung von Kontrollen einfließen
SoA-Verknüpfung: Sicherstellung, dass jede einbezogene/ausgeschlossene Kontrolle eine verteidigbare Begründung hat, die mit Behandlungsentscheidungen verbunden ist
Aufrechterhaltung von Risikoinformationen über die Zeit
Bewertungsauslöser (Änderungen, Vorfälle, Leistungssignale) und praktische Aktualisierungsroutinen
Risikobehandlungsartefakte in Einklang mit der operativen Realität und den Beiträge der Managementüberprüfung halten
Workshop (Fallstudienbasiert)
Ein ISO/IEC 27001-Risikoset auf Klarheit der Kriterien, Qualität der Entscheidungen und Nachvollziehbarkeit bewerten
Ein minimalistisches, verteidigbares Behandlungssystem und SoA-Verknüpfung für einen Teil der Risiken erstellen
Modul-ID
HAM-IS-S-02
Modultyp
Managementsystem
Domain:
Informationssicherheit
Zielgruppe:
Manager
Auditor
Verfügbar in:
Englisch
Dauer:
7 Std.
Listenpreis:
CHF 550
Exkl. MwSt. Die Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Was Sie erhalten
Was Sie lernen
Interpretieren Sie die Anforderungen der ISO/IEC 27001 für Risikobewertung und -behandlung in praktischen Umsetzungstermini.
Definieren Sie die spezifischen dokumentierten Elemente der ISO/IEC 27001, die für eine konsistente Risikomethode erforderlich sind (ohne die generische Methodik zu ersetzen).
Geben Sie Risikokriterien und Risikostruktur an, die wiederholbare, überprüfbare Entscheidungen unterstützen.
Erstellen Sie Risiko-Behandlungsartefakte, die Eigentum, Entscheidungen und Umgang mit Restunschärfen klar belegen.
Erhalten Sie die Rückverfolgbarkeit von Risiken zu Behandlungsentscheidungen und Kontrollauswahl, einschließlich einer soliden SoA-Verknüpfungslogik.
Erkennen Sie häufige Implementierungs- und Sicherungsfehler, die Konsistenz, Glaubwürdigkeit oder Rückverfolgbarkeit beeinträchtigen.
Richten Sie leichtgewichtige Wartungsroutinen ein, damit Risikobewertungsartefakte mit Veränderungs- und Governance-Zyklen abgestimmt bleiben.
Interpretieren Sie die Anforderungen der ISO/IEC 27001 für Risikobewertung und -behandlung in praktischen Umsetzungstermini.
Definieren Sie die spezifischen dokumentierten Elemente der ISO/IEC 27001, die für eine konsistente Risikomethode erforderlich sind (ohne die generische Methodik zu ersetzen).
Geben Sie Risikokriterien und Risikostruktur an, die wiederholbare, überprüfbare Entscheidungen unterstützen.
Erstellen Sie Risiko-Behandlungsartefakte, die Eigentum, Entscheidungen und Umgang mit Restunschärfen klar belegen.
Erhalten Sie die Rückverfolgbarkeit von Risiken zu Behandlungsentscheidungen und Kontrollauswahl, einschließlich einer soliden SoA-Verknüpfungslogik.
Erkennen Sie häufige Implementierungs- und Sicherungsfehler, die Konsistenz, Glaubwürdigkeit oder Rückverfolgbarkeit beeinträchtigen.
Richten Sie leichtgewichtige Wartungsroutinen ein, damit Risikobewertungsartefakte mit Veränderungs- und Governance-Zyklen abgestimmt bleiben.
Lernmaterialien
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Vorlagen & Werkzeuge
ISO/IEC 27001 Risikomethodendefinitionscheckliste (dokumentierte Elemente und Entscheidungspunkte)
Qualitätsleitfaden für Risikostatements (Struktur und Mindestfelder)
Plausibilitätsprüfungs-Arbeitsblatt für Risikokriterien (Konsistenz- und Gebrauchstauglichkeitsprüfungen)
Risikobehandlungs-Entscheidungsprotokoll (Optionen, Begründung, Eigentümerschaft, Restrisiko)
Risiko-zu-Kontrolle-Nachverfolgbarkeit-Matrix (Risiko → Behandlung → Kontrollauswahl)
SoA-Verknüpfungs-Arbeitsblatt (Behandlungsgrund → Begründung für Einbeziehung/Ausschluss)
Optionales KI-Aufgabenset zum Zusammenfassen von Veränderungssignalen und Erstellen konsistenter Risikostatements (unterstützend, nicht ersetzend das Urteilsvermögen)
ISO/IEC 27001 Risikomethodendefinitionscheckliste (dokumentierte Elemente und Entscheidungspunkte)
Qualitätsleitfaden für Risikostatements (Struktur und Mindestfelder)
Plausibilitätsprüfungs-Arbeitsblatt für Risikokriterien (Konsistenz- und Gebrauchstauglichkeitsprüfungen)
Risikobehandlungs-Entscheidungsprotokoll (Optionen, Begründung, Eigentümerschaft, Restrisiko)
Risiko-zu-Kontrolle-Nachverfolgbarkeit-Matrix (Risiko → Behandlung → Kontrollauswahl)
SoA-Verknüpfungs-Arbeitsblatt (Behandlungsgrund → Begründung für Einbeziehung/Ausschluss)
Optionales KI-Aufgabenset zum Zusammenfassen von Veränderungssignalen und Erstellen konsistenter Risikostatements (unterstützend, nicht ersetzend das Urteilsvermögen)
Voraussetzungen
Dieses Modul setzt voraus, dass die Teilnehmer bereits mit allgemeinen Risikokonzepten und der grundlegenden Logik von Managementsystemen arbeiten können. Hilfreiche Vorkenntnisse umfassen:
Verständnis von Begriffen aus dem Risikomanagement, Bewertung und Behandlungsansätzen (Kompetenz auf Methodebene)
Vertrautheit mit Rollen im Managementsystem, dokumentierter Information und Governance-Routinen
Grundkenntnisse zur Informationssicherheit (gängige Kontrollkategorien und typische Ausfallmodi)
Dieses Modul setzt voraus, dass die Teilnehmer bereits mit allgemeinen Risikokonzepten und der grundlegenden Logik von Managementsystemen arbeiten können. Hilfreiche Vorkenntnisse umfassen:
Verständnis von Begriffen aus dem Risikomanagement, Bewertung und Behandlungsansätzen (Kompetenz auf Methodebene)
Vertrautheit mit Rollen im Managementsystem, dokumentierter Information und Governance-Routinen
Grundkenntnisse zur Informationssicherheit (gängige Kontrollkategorien und typische Ausfallmodi)
Dringend empfohlene Vorbereitungsmodule
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Hilfreiche Vorbereitungsmodule
Die folgenden Module bereiten auf ein optimales Lernerlebnis vor – sind jedoch nicht unbedingt erforderlich, um den Teilnehmern zu folgen.
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Kontinuierliches Lernen
Kontinuierliches Lernen
Kontinuierliches Lernen
Folgemodule
Nach Abschluss dieses Moduls sind die folgenden Module ideal, um Ihre Kompetenz weiter zu vertiefen.
Dokumentation & Wissensgrundlagen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Dokumentation & Wissensgrundlagen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Dokumentation & Wissensgrundlagen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Management-Reviews
Lernen Sie die Grundlagen der Planung, Durchführung und Dokumentation von Management-Reviews mit integrierten Eingaben und entscheidungsorientierten Ergebnissen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Management-Reviews
Lernen Sie die Grundlagen der Planung, Durchführung und Dokumentation von Management-Reviews mit integrierten Eingaben und entscheidungsorientierten Ergebnissen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Management-Reviews
Lernen Sie die Grundlagen der Planung, Durchführung und Dokumentation von Management-Reviews mit integrierten Eingaben und entscheidungsorientierten Ergebnissen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Verbesserungsmanagement
Verstehen Sie Korrekturmaßnahmen, Ursachenanalysen, Aktionsverfolgung und Wirksamkeitsüberprüfung in Managementsystemen
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Verbesserungsmanagement
Verstehen Sie Korrekturmaßnahmen, Ursachenanalysen, Aktionsverfolgung und Wirksamkeitsüberprüfung in Managementsystemen
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Verbesserungsmanagement
Verstehen Sie Korrekturmaßnahmen, Ursachenanalysen, Aktionsverfolgung und Wirksamkeitsüberprüfung in Managementsystemen
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen der internen Revision
Verstehen Sie den Zweck interner Audits, die Rollenverantwortungen, Erwartungen an die Unabhängigkeit und wie Auditergebnisse in der Governance und Verbesserung genutzt werden.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen der internen Revision
Verstehen Sie den Zweck interner Audits, die Rollenverantwortungen, Erwartungen an die Unabhängigkeit und wie Auditergebnisse in der Governance und Verbesserung genutzt werden.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen der internen Revision
Verstehen Sie den Zweck interner Audits, die Rollenverantwortungen, Erwartungen an die Unabhängigkeit und wie Auditergebnisse in der Governance und Verbesserung genutzt werden.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.