Trainingsmodul
Informationssicherheits-Risikomanagement
Informationssicherheitsrisiken systematisch beurteilen, behandeln und mit nachvollziehbaren Entscheidungen gemäss ISO/IEC 27001 dokumentieren
Übersicht
Risikoregister und Bewertungsübungen stehen oft isoliert da und sind von der Auswahl von Steuerungsmassnahmen und den Akzeptanzentscheidungen getrennt.
Dieses Trainingsmodul zeigt, wie ISO/IEC 27001 Risikobeurteilung und Risikobehandlung rahmt, wie Risikokriterien und Risikovermerke definiert werden und wie Beurteilungsergebnisse so dokumentiert werden, dass sie die Behandlungsplanung und die Akzeptanz des Restrisikos unterstützen. Die Teilnehmenden lernen, stimmige Artefakte zur Risikobehandlung zu erstellen, die Risiken, Behandlungsoptionen, ausgewählte Steuerungsmassnahmen und die Erklärung zur Anwendbarkeit (SoA) miteinander verknüpfen. Im Zentrum stehen Nachvollziehbarkeit und Pflege statt die Mechanik von Bewertungsmodellen.
Relevante Umfelder
Dieses Modul richtet sich an Organisationen, die ein Informationssicherheitsmanagementsystem (ISMS) gemäss ISO/IEC 27001 einführen oder betreiben. Es fokussiert darauf, wie die Anforderungen des Standards in realen organisatorischen Kontexten interpretiert und praktisch angewendet werden.
Die Inhalte sind sowohl für Organisationen relevant, die eine Zertifizierung anstreben, als auch für solche, die ISO/IEC 27001 als Referenzrahmen nutzen, um Verantwortlichkeiten, Prozesse und Kontrollen im Bereich der Informationssicherheit strukturiert auszugestalten.
Zielpublikum
Personen, die ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 entwerfen, aufbauen, betreiben oder verbessern
Führungskräfte und Abteilungsleitende, die für die Wirksamkeit und Leistung eines ISMS verantwortlich sind
Personen, die für Prozesse, Politiken, Assets, Risiken und Steuerungsmassnahmen im Bereich Informationssicherheit verantwortlich sind
Auditierende von ISO/IEC 27001, die ihr Verständnis für managementseitige Best Practices vertiefen wollen (nicht Audittechnik)
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
für Risikobeurteilung, Risikobehandlung oder Akzeptanzentscheidungen im ISMS verantwortlich sind.
mit uneinheitlichen Risikokriterien, schwachen Risikovermerken oder unklaren Verantwortlichkeiten zu kämpfen haben.
Risikobeiträge benötigen, die die Auswahl von Steuerungsmassnahmen und Entscheidungen zur SoA klar begründen.
Artefakte zur Risikobehandlung erstellen müssen, die in Audits und der Managementbewertung Bestand haben.
Risikomanagement als wiederholbaren Entscheidungsprozess statt als einmalige Übung etablieren wollen.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
eine allgemeine Einführung in Informationssicherheitsrisiken suchen.
quantitative Risikomodellierung oder fortgeschrittene Risikoanalysen erwarten.
eine werkzeugspezifische oder vorlagengetriebene Einführung in die Risikobeurteilung wünschen.
bereits einen konsistenten, gut verstandenen und überprüfbaren ISMS-Risikoprozess betreiben.
Agenda
Rolle des Risikomanagements im ISMS
Risikoterminologie und erforderliche Definitionen nach ISO/IEC 27001
Risikokriterien und Anforderungen an die Konsistenz
Ergebnisse der Risikobeurteilung, die Behandlungsentscheide unterstützen
Erwartungen an die Risikobehandlung und die Artefakte
Nachvollziehbarkeit zu Steuerungsmassnahmen und Schnittstelle zur SoA
Pflege der Risikoinformationen über die Zeit
Praxisworkshop
Details...
Was Sie lernen
Zentrale Lernergebnisse
ISO/IEC 27001-Anforderungen an Risikobeurteilung und Risikobehandlung praxisnah einordnen
Dokumentierte Elemente wie Kriterien, Vermerke und Entscheidungsaufzeichnungen für konsistente Risikomethoden definieren
Artefakte zur Risikobehandlung erstellen, die Entscheide und die Akzeptanz des Restrisikos belegen
Zusätzliche Fähigkeiten
Nachvollziehbarkeit von Risiken über Behandlungsentscheide bis zu Steuerungsmassnahmen und zur Erklärung zur Anwendbarkeit sicherstellen
Typische Schwachstellen in Risikobeurteilung und Risikobehandlung erkennen, die zu reiner Papierarbeit führen
Pflegeroutinen und Auslöser für Überprüfungen festlegen, damit Risikoregister aktuell und nützlich bleiben
Enthaltene Unterlagen
Lernmaterialien
Slide deck
Participant workbook
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
Prozess für Informationssicherheits-Risikomanagement
Beispiel für ein Risikoregister für Informationssicherheitsrisiken
Checkliste zur Qualität von Risikokriterien
Protokoll zu Risikobehandlungsentscheiden
Vorlage für den Risikobehandlungsplan
KI-Prompt-Sammlung für typische Anwendungsfälle
Bestätigung
Certificate of completion
Modul-ID
HAM-IS-S-02
Fachbereich
Normkapitel
6: Planung
8: Betrieb
Zielgruppen
Manager
Sprachen
Englisch
Durchführung
Live-virtuell
Dauer
7 Std.
Listenpreis
CHF 550
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt voraus, dass Teilnehmende bereits mit allgemeinen Risikokonzepten und der grundlegenden Logik von Managementsystemen arbeiten können.
Hilfreiche Vorkenntnisse sind:
Verständnis von Risikoterminologie sowie von Bewertungs- und Behandlungsansätzen
Vertrautheit mit Rollen im Managementsystem, dokumentierten Informationen und Governance-Routinen
Grundlegende Kenntnisse der Informationssicherheit
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
