Skip to main content

Was sind die Anforderungen an einen Chief Information Security Officer?

Was sind die Anforderungen an einen Chief Information Security Officer? Die Aufgaben des Informationssicherheitsbeauftragten sind sehr unterschiedlich. Sie liegen im Bereich der Verzahnung von IT-Strategie, IT- Governance und des Informationssicherheits- und Informationsrisikomanagement. Das Wichtige dabei ist, dass die Aufgabenfelder möglichst genau und in Rücksprache mit der Unternehmensleitung auf deren Interessen und Ziele im Bereich der Informationssicherheit ausgerichtet sind.

Mit dem Zertifizierungs-Lehrgang Informationssicherheitsbeauftragter erlangst du die Kenntnisse zur Durchführung folgender Aufgabenbereiche:

  • Ein Unternehmen und dessen Strukturen aus einer neuen Perspektive betrachten
  • Empfehlungen zugunsten Informationssicherheit aussprechen
  • Unterstützung und Beratung von Geschäftsleitung und Mitarbeitern
  • Minderung des Risikos von Schadensereignissen und Störungen

Programm – Was sind die Anforderungen an einen Chief Information Security Officer?

Tag 1

  • Aufgaben des Informationssicherheits-Beauftragten
  • Risikoanalyse zur Feststellung des IT-Schutzbedarfs
  • Laufende Überwachungspflichten des Informations-Sicherheitsbeauftragten

 

Tag 2

  • Agile Techniken für eine moderne Datenschutz-Compliance
  • IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs
  • Pflichten im Datenschutz

 

Tag 3

 

Was sind die Anforderungen an einen Chief Information Security Officer?

Seminartag 1 – Was sind die Anforderungen an einen Chief Information Security Officer?

Aufgaben des Informationssicherheits-Beauftragten – Was sind die Anforderungen an einen Chief Information Security Officer?

  • Aufgabenspektrum im Überblick: Verzahnung von IT-Strategie, IT- Governance, Informationssicherheits- und Informationsrisikomanagement
  • Effiziente Kommunikation und Schnittstellenmanagement mit Auslagerungs-, Datenschutz- und Compliance-Beauftragten
  • Diese „rote Linien“ musst du kennen: Mindestanforderungen aus BAIT, VAIT, DIN EN ISO 2700x und BSI-Grundschutz prüfungsfest umsetzen
  • Einführung der Informationssicherheits-Leitlinie mit Richtlinien und Prozessen zur Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung
  • Aufbau eines prüfungssicheren Management-Reportings

 

Risikoanalyse zur Feststellung des IT-Schutzbedarfs

  • Risikoanalyse im Informationsmanagement
  • Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien:
    •  Einschätzung des Schutzbedarfs mit Blick auf die Ziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
    • Maßstäbe für die Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen
    • Steuerungs- und Kontrolltätigkeiten und deren Durchführung

 

Laufende Überwachungspflichten des Informationssicherheits-Beauftragten

  • Neue Vorgaben an das Monitoring, die Kontroll- und Berichtspflichten
  • Fokus auf Agilität stellt hohe Anforderungen an das Benutzer-Berechtigungsmanagement
  • Ad hoc Berichterstattung zu wesentlichen IT-Projekten und IT-Projektrisiken an die Geschäftsführung:
    • Abbildung von wesentlichen Projektrisiken im Risikomanagement
    • Neue Vorgaben an Kontroll- und Berichtspflichten des IT-Dienstleisters und des Auslagerungsbeauftragten
    • Festlegen von angemessenen Prozessen zur IT- Anwendungsentwicklung
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen prüfungssicher abgrenzen
  • Datensicherungskonzept des ISB versus Löschkonzept des DSB

 

Seminartag 2 – Was sind die Anforderungen an einen Chief Information Security Officer?

Agile Techniken für eine moderne Datenschutz-Compliance – Was sind die Anforderungen an einen Chief Information Security Officer?

  • Betrieblicher Datenschutzbeauftragter: Aufgaben, Pflichten und Rechte
  • Agile Methoden für Datenschutz Officer
    •  Agiles Auditing
    • Agile Maßnahmenplanung im Datenschutz-Management
    • Agile Ergebniskommunikation
  • Top vorbereitet für
    • Aufsichtsprüfungen der Behörden
    • Home-Office und Beschäftigtendatenschutz
    • sicherer Umgang mit Videokonferenzen
    • Datenschutz im Internet: Einsatz von Tracking-Tools
  • Auslagerung oder Fremdbezug? Richtige Bewertung von Software und IT-Dienstleistungen:
    • IT-Compliance im Überblick: Verzahnung von IT-Strategie, IT- Governance, Informationssicherheits- und Informationsrisikomanagement
    • Prüfungsschwerpunkt IT-Compliance: IT-Strategie, IT-Umfeld und ITOrganisation im Fokus der neuen MaRisk, MaGO, KAMaRisk und BCBS 239

 

IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs

  • Risikoanalyse im Informationsmanagement
  • Durchführung der qualitativ verschärften IT-Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
  • Einschätzung des Schutzbedarfs mit Blick auf Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
  • Neue BaFin-Anforderungen an Cloud-Computing: Strategie, Risikoanalyse und Wesentlichkeitsbewertung
  • Informationssicherheits-Management: Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen

 

Pflichten im Datenschutz: Schnittstellen zwischen Compliance, Informationssicherheit, Geldwäscheprävention und Datenschutz aktiv steuern

  • Module eines wirksamen Datenschutzsystems: Schnittstellenmanagement zu
    • Verarbeitungsverzeichnis Art. 30 EU-DSGVO
    • Datenschutz-Folgenabschätzung Art. 35 EU-DSGVO
    • Löschkonzept Art. 17 EU-DSGVO und DIN-Norm 66398
  • Sicherer Umgang mit selbst entwickelten IT-Anwendungen, Zugriffsrechten, ITAbnahmen sowie Veränderungen im IT- System
  • Effiziente Kommunikation zu Auslagerungs-, Datenschutz-, Geldwäsche- und Informationssicherheits-Beauftragter
    • Kontrollplan Compliance – Die wichtigsten Überwachungs- und Kontrollhandlungen
    • Compliance-Anforderungen an Kontroll- und Reportingpflichten im IT-Bereich

 

Seminartag 3 – Was sind die Anforderungen an einen Chief Information Security Officer?

Solide Governance Regelungen als Basis für das Auslagerungsmanagement – Was sind die Anforderungen an einen Chief Information Security Officer?

  • Verschärfte Anforderungen an die Risikobewertung von Auslagerungsvereinbarungen:
    • Welche Auslagerungen sind zwingend als kritisch/ wesentlich einzustufen?
    •  Operationelle Risiken und Reputationsrisiken
    •  Bewertung des Step-in-Risikos
    •  Unternehmens- und sektorspezifische Konzentrationsrisiken
    •  Kontroll- und/ oder Interessenskonflikte
  • Bewertung von Vertragsgestaltung, Leistungskontrollen und organisatorischer Vorgaben:
    • MaRisk-Protokoll 03/2018: Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechte
    • Neue Vorgaben an Kontroll- und Berichtspflichten bei Dienstleistern und Auslagerungsbeauftragten
    • Optimierung der Kennzahlen zur Risiko- und Performance-Messung (KPIs)
  • Auslagerungscontrolling in der Gruppe: Was ist zu beachten?

 

Schnittstelle Auslagerungsbeauftragter und Informationssicherheitsbeauftragter

  • EBA-Leitfaden Outsourcing: Erweiterte Anforderungen an das Outsourcing
    • Was sind sonstige institutstypische Dienstleistungen?
    • BAIT-Anforderungen an die Individuelle Datenverarbeitung
    • Verschärfte Auflagen bei Auslagerungen in Drittstaaten
  • BAIT Tz 53: Risikobewertung bei IT-Fremdbezug:
    • Ermittlung des IT-Schutzbedarfs und Festlegen eines Sollmaßnahmenkatalogs
    • EBA Leitlinie IKT: 5 Kategorien für schwerwiegende IKT-Risiken
  • Aufsichtliche Anforderungen an die IT Governance:
    • Ist die Auslagerung Datenschutz-compliant?
    • Schnittstellen zwischen Auslagerungsbeauftragten, ISB und DSB prüfungssicher festlegen

 

Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien

  • Mindestanforderungen an die Due Diligence Prüfung eines künftigen Dienstleisters:
    • Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
    • Wann muss zwingend eine Einstufung als kritische / wesentliche Auslagerung verfolgen?
    • Einschätzung von Risikogehalt und Risikokonzentration bei Auslagerungen mehrerer Aktivitäten an einen Dienstleist
  • IKS-Controlling mit ISB, Datenschutz, BCM und Notfallkonzept:
    • Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
    • Prüfungssichere Bewertung von Ausstiegsstrategien und Notfallplänen
    • Definition einer maximalen Schlechtleistung eines externen Dienstleisters
    • Überwachung der Leistungserbringung

 

Die Teilnehmer haben neben Zertifizierter Informationssicherheitsbeauftragter (S+P) auch folgende Online Schulungen und E-Learnings gebucht:

Seminar Informationssicherheitsbeauftragter

E-Learning IT-Compliance

E-Learning Informationssicherheit

Online Schulung IT-Compliance Manager

Online Schulung Zertifizierter Datenschutzbeauftragter (S+P)

Seminar-Termine für Online Schulungen

Was sind die Anforderungen an einen Chief Information Security Officer?

Chaticon