Die Ausbildung zum/r Zert. Information Security Manager_in richtet sich an Mitarbeiter_innen in Unternehmen bzw. Behörden, die ein ISMS einführen, betreiben oder weiter entwickeln wollen bzw. mit der Steuerung und Kontrolle der Informationssicherheits-Prozesse im Rahmen eines ISMS betraut sind. Darüber hinaus werden Informationssicherheitsbeauftragte, IT-Sicherheitsbeauftragte, Information Security Officers (ISOs) sowie Datenschutz- und Qualitätsmanagementbeauftragte, Berater_innen im Bereich Informationssicherheit sowie Risiko- und Compliance-Manager_innen angesprochen.

Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten Grundsätzen der Informationssicherheitspolitik des Unternehmens, in der die Ziele des Unternehmens in Bezug auf die Informationssicherheit und deren Realisierung festgelegt sind.

Information Security Manager_innen nehmen hierbei eine zentrale Rolle ein. Sie benötigen Instrumente und Kenntnisse, die dazu befähigen, die Informationssicherheit auch in größeren oder komplexeren Organisationen zu steuern. Zudem müssen Anforderungen und Risiken bereichs- und standortübergreifend gemanagt werden. Durch diesen Lehrgang erhalten Sie fundierte Kenntnisse der internationalen Norm ISO/IEC 27001 sowie die erforderliche Qualifikation für den Aufbau eines Informationssicherheits-Managementsystems (ISMS). Rechtliche, organisatorische und personelle Aspekte ergänzen die Ausbildung. Dieser Kurs beinhaltet bereits sämtliche neuen Anforderungen der neuen ISO/IEC 27001:2022. Alle Vorgaben der Norm werden auch praxisbezogen in Workshops gefestigt.

Inhaltliche Schwerpunkte:

• Entwicklung des Standards ISO/IEC 27001 sowie genereller Überblick zu weiteren informationssicherheitsrelevanten Standards (BSI:IT-Grundschutz, CobiT, ITIL)
• Bedeutung von Informationssicherheit und Anforderungen im Sinne von ISO/IEC 27001
• Was ist ein ISMS und wie wird der „Scope“ definiert?
• Wie sind die Anforderungen der ISO/IEC 27001 zu interpretieren und was bedeutet dies für die Umsetzung in der Praxis
• Richtige Auswahl und praxisorientierte Anwendung der Maßnahmen aus ISO/IEC 27001 – Annex A bzw. ISO/IEC 27002
• Steuerung der Informationssicherheit mit Politik, themenspezifischen Richtlinien, Arbeitsanweisungen, Verfahren und Prozessen
• Organisatorische, personelle, physische und technologische Aspekte der Informationssicherheit
• Risikomanagement und Methodik (Bedrohungen, Schwachstellen, Risiken)
• Sicherheitsvorfall-Management
• IT-Notfallmanagement und Business Continuity Management aus Sicht der Informationssicherheit
• Rechtliche Aspekte der Informationssicherheit (Österreichisches Datenschutzgesetz DSG 2018, DSGVO, IT/IS-Compliance)
• Praxisbezogene Workshops um den Umgang mit der Norm zu festigen
• Prüfung zum/r Information Security Manager_in mit OCG-Zertifikat

Nächste Durchführung: 16. - 18. April 2024 (jeweils 9 - 17 Uhr)

Die Kontrolle über Ihre Informationen im Sinne der Verfügbarkeit, Vertraulichkeit und Integrität dient der Sicherstellung der Geschäftstätigkeit, sichert Ihre Investitionen und verschafft Wettbewerbsvorteile bei Ihren Kunden.

Der Erfolg eines Unternehmens hängt somit zunehmend von der Qualität und der Sicherheit der Unternehmensinformationen ab. Ein hohes Maß an Informationssicherheit ist somit ein erklärtes Unternehmensziel, um Verlust, Verfälschung, Missbrauch und unabsichtliche Offenlegung von Informationen zu verhindern und eine sichere und vertrauenswürdige Ausübung des Geschäfts zu gewährleisten.

Neben der professionellen Umsetzung eines Informationssicherheits-Managementsystems (ISMS) bedarf es einer kontinuierlichen Kontrolle nach einem international anerkannten Standard. Der internationale Standard ISO/IEC 27001 genießt eine weltweit hohe Reputation und ist damit geeignet, Qualität und Sicherheit nachzuweisen. Durch das Audit – ein zentrales Element jedes Managementsystems – wird das Risiko, dass Lücken im Management System unentdeckt bleiben und die Sicherheit des Unternehmens gefährden, deutlich minimiert.

Der Standard ISO/IEC 27001 verfolgt den Ansatz, dass die Einführung und Umsetzung von Sicherheitsmaßnahmen ein strukturierter Prozess auf Basis einer Risikomanagementmethode sein soll. Investitionen in Sicherheitstechnologien und Prozesse findet demnach nur noch dort statt, wo Risiken einer Behandlung bedürfen. Neben der Verwendung einer Risikomanagementmethode schreibt der Standard ISO/IEC 27001 ebenfalls bestimmte organisatorische Komponenten voraus, die sich als “Best Practice“ bewährt haben. Maßnahmen zur Minimierung von Risiken werden aus verschiedenen Themengebieten des Standards ausgewählt und auf Ihre bedrohten Unternehmenswerte angewendet. Das dabei entstandene Managementsystem kann durch bereits vorhandene Managementsysteme unterstützt werden. Danach kann eine Prüfung durch eine akkreditierte Prüfungsgesellschaft erfolgen.

Die Universität für Weiterbildung Krems bietet die beiden Module Information Security Manager_in sowie Lead AuditorIn in Kooperation mit der Österreichischen Computergesellschaft (OCG) an. OCG verfügt über eine große Anzahl zertifizierter Mitarbeiter_innen, die einem permanenten Qualitätssicherungsverfahren unterzogen werden. Dadurch ist OCG in der Lage, die hohen Anforderungen der Akkreditierungsgesellschaft UKAS zu erfüllen und ein weltweit anerkanntes Zertifikat auszustellen. OCG verfügt überdies über große Erfahrungen in der Implementierung des Standards ISO/IEC 27001, so dass branchenspezifische Anforderungen leicht berücksichtigt werden können. Sollten Sie eine Zertifizierung über die Landesgrenzen hinweg anstreben, unterstützt OCG Sie mit den jeweils lokalen Ansprechpartnern.

Weitere externe Partner:

Thorsten Jost, CISM, ISO 27001 Lead Auditor, Geschäftsführer secriso Consulting GmbH

Georg Beham, MSc, Leitung Cybersecurity & Privacy, PwC Österreich

Evelyn Ledermüller, MSc, Managerin PwC Österreich

Mit Ihrer Teilnahme am Seminar stimmen Sie der Weitergabe Ihrer Daten an die OCG zu.

Nach positiver Absolvierung des Seminares "Information Security Manager_in" besteht die Möglichkeit, aufbauend den 2-tägigen Kurs "Lead Auditor_in" zu besuchen.