Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich
Gegenstand des Seminars

In Deutschland gebräuchliche Standards zur Implementierung eines Informationssicherheitsmanagements sind der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die ISO 27001. Das Seminar behandelt dazu folgende Fragestellungen:

  • Wie werden diese beiden Standards in der Praxis angewendet?
  • Wie unterscheiden sich die beiden Vorgehensweisen in der Praxis?
  • Für welche Prozesse, Informationen und IT-Infrastrukturen innerhalb einer öffentlichen Verwaltung ist welche Vorgehensweise am ehesten geeignet?
  • Kann man ggf. Elemente beider Standards miteinander kombinieren?
  • Was bedeutet ein Umstieg von einem Standard auf den anderen?
Zielsetzung

Teilnehmer dieses Seminars eignen sich Praxiserfahrung zur Anwendung der beiden Standards an. Am konkreten Beispiel einer realitätsnahen (fiktiven) “Modell-Organisation” erstellen die Teilnehmer unter Anleitung ausgewählte Elemente eines Informationssicherheitskonzepts nach der IT-Grundschutz-Vorgehensweise des BSI und nach ISO 27001.
Die Teilnehmer erkennen auf diese Weise die Unterschiede im Vorgehen und können einen Vergleich der Ergebnisse beider Methoden anstellen.
Wenn Sie beabsichtigen in Ihrer Institution ein Informationssicherheitsmanagement (neu) aufzubauen, hilft Ihnen dieses Praxisseminar, die für Sie angemessene Vorgehensweise zu ermitteln bzw. geeignete Wege zur Verbindung der jeweiligen Stärken zu nutzen.

Zielgruppe

Dieses Seminar richtet sich insbesondere an IT-Sicherheitsbeauftragte, CIOs und verantwortliche Personen aus den Bereichen Informationssicherheit, Netz- und Systemadministration, IT-Organisation, IT-Beratung, Revision und Risikomanagement.
Die wesentlichen Elemente zum IT-Grundschutz nach BSI bzw. zu ISO 27001 werden zwar einleitend dargestellt, aber die Teilnehmer sollten bereits Grundbegriffe kennen.

Seminarablauf

TEIL I – Informationssicherheit in der Praxis nach IT-Grundschutz

  • Einführung in das Fallbeispiel (exemplarische “Modell-Organisation”)
  • Grundbegriffe aus der Vorgehensweise im Überblick
  • Etablierung des Sicherheitsprozesses
  • Sicherheitsorganisation und -leitlinie
  • Definition des Informationsverbundes
  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung anhand der Grundschutzbausteine
  • Basis-Sicherheitscheck als Status und in der Vertiefung
  • Ergänzende Sicherheitsanalyse
  • Risikoanalyse
  • Erstellung eines Realisierungsplans
  • Zusammenfassung festgestellter Charakteristika, der Vor- und Nachteile der Vorgehensweise nach IT-Grundschutz und Brücken zur ISO 27001
  • Aktuelle Entwicklungen des BSI-Grundschutzes

TEIL II – Informationssicherheit in der Praxis nach ISO 27001

  • Einführung in das Fallbeispiel (exemplarische “Modell-Behörde”)
  • Grundbegriffe aus der Vorgehensweise im Überblick
  • Definieren des Untersuchungsbereichs
  • Festlegen einer Sicherheitspolitik
  • Bestimmung der Werte bzw. Wertobjekte
  • Methodik zur Risikoanalyse
  • Kriterien zur Riskoakzeptanz und -beurteilung
  • Bedrohungs- und Schwachstellenanalyse
  • Ermittlung und Behandlung von Informationssicherheitsrisiken
  • Kernprozesse des Informationssicherheits-Managementsystems (ISMS)
  • Festlegung möglicher Maßnahmen zur Risikobehandlung
  • Abbildung der Maßnahmen auf den Anhang A – die Erklärung zur Anwendbarkeit
  • Ermittlung des Umsetzungsgrades dieser Maßnahmen
  • Messbarkeit und Berichtswesen
  • Überprüfung und Verbesserung des Managementsystems
  • Resümee der festgestellten Charakteristika sowie der Vor- und Nachteile der Vorgehensweise nach ISO 27001
  • Zusammenfassung ISO 27001 und IT-Grundschutz im Vergleich
Referenten
Reto  Lorenz, Geschäftsführer der secuvera GmbH, verfügt über nahezu 20 Jahre an Erfahrung im Bereich der Informationssicherheits-Managementsysteme, Sicherheitskonzepte und Risikoanalysen. Er ist BSI-zertifizierter Auditteam-Leiter und IS-Revisor sowie ISO 27001-Lead-Auditor. Darüber hinaus ist er BSI-geprüfter Evaluator und damit berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. Herr Lorenz ist Autor und hat zum Thema der Weiterentwicklung und Verbindung des BSI-Grundschutzes mit der Norm ISO 27001:2013 einen Fachartikel in der kes 01-2014 (secumedia-Verlag) veröffentlicht. Er ist aktiv in den Workshop-Runden zur Erneuerung des BSI-Grundschutzes eingebunden. In großen und komplexen Informationsverbünden, die eine kreative Herangehensweise erfordern, war Herr Lorenz sowohl prüfend als auch beratend tätig. Er engagiert sich in Bundesarbeitsgruppen zur Etablierung von ISMS-Strukturen und -Modellen in einem eher verzweigten behördlichen Umfeld. Die Ausrichtung eines ISMS auf pragmatische und effiziente Methoden steht im Vordergrund. Besonders für die ISO 27001 strebt secuvera eine Konkretion der Etablierung und Umsetzung an, um entlang des vergleichsweise offenen Standards zu einem hohen und nachweisbaren Sicherheitsniveau zu kommen.
Termin und Ort
Ort:
Tagungshotel
Berlin


Zeitraum:
29.03.2017 10:00 Uhr - 29.03.2017 17:00 Uhr

Preis
490,- Euro zzgl. MwSt.
Zur Anmeldung


Partner:


Veranstaltungen nach Datum


Juli 2017 (1)

August 2017 (1)

September 2017 (25)

Oktober 2017 (6)

November 2017 (14)

Dezember 2017 (1)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung