de it fr

667 Informationssicherheitsmanagementsystem aufbauen

Modul
Informationssicherheitsmanagementsystem aufbauen
Kompetenz
Definiert unter Berücksichtigung der spezifischen Bedürfnisse einer Organisation und auf der Basis der relevanten Normen den Anwendungsbereich und die erforderlichen Prozesse und Verfahren für ein Informationssicherheitsmanagementsystem (ISMS).
Handlungsziele
1 Definiert unter Berücksichtigung der Informationssicherheitsstrategie einer Organisation die Zielsetzungen und den Anwendungsbereich für ein Informationssicherheitsmanagement-system (ISMS).
  Handlungsnotwendige Kenntnisse:
1 Kennt den Aufbau und die relevanten Teile der Norm ISO/IEC 2700x für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems.
2 Kennt den PDCA-Zyklus (Deming-Kreis) und kann die einzelnen Phasen erläutern.
3 Kennt die relevanten Einflussfaktoren auf ein ISMS im Kontext einer Organisation.
4 Kennt kritische Erfolgsfaktoren (KEF; critical success factors, CSF) bei der Einführung eines ISMS.
 
2 Identifiziert, inventarisiert und klassifiziert die relevanten Werte (Assets) und definiert die Verantwortlichkeiten zu deren Schutz über den ganzen Informationslebenszyklus.
  Handlungsnotwendige Kenntnisse:
1 Kennt den Begriff Wert (Asset) und dessen Verwendung im Zusammenhang mit einem ISMS.
2 Kennt die typischen Phasen im Lebenszyklus von Informationen (Erstellung, Verarbeitung, Speicherung, Übermittlung, Löschung, Zerstörung).
3 Kennt geeignete Schemata zur Klassifizierung von Werten hinsichtlich Vertraulichkeit (z.B. geheim, vertraulich, eingeschränkt, intern und öffentlich), Integrität (z.B. vital, wichtig, normal) und Verfügbarkeit (z.B. klassifiziert nach maximaler Ausfallzeit).
4 Kennt den Zusammenhang zwischen der Klassifizierung von Werten und entsprechenden Sicherheitsanforderungen und kann geeignete Verfahren zur Gewährleistung der Informationssicherheit erläutern.
 
3 Definiert den Prozess für das Risikomanagement in einer Organisation, führt eine Risikoanalyse durch und erarbeitet einen Risikobehandlungsplan für das ISMS.
  Handlungsnotwendige Kenntnisse:
1 Kennt relevante Normen für das Risikomanagement (ISO 31000, ISO/IEC 27005).
2 Kennt Methoden und Techniken zur Risikoidentifikation (z.B. Befragungen, Dokumentenanalyse, Wertkettenanalyse, Delphi-Methode, Business Impact Analyse (BIA), Szenario-Analyse) und kann deren Vor- und Nachteile erläutern.
3 Kennt Methoden zur Bewertung und Darstellung von Risiken (z.B. Risikomatrix, Risikolandkarte).
4 Kennt die unterschiedlichen Handlungsoptionen zur Risikobehandlung (Reduktion, Vermeidung, Akzeptanz, Transfer) und kann deren Merkmale erläutern.
5 Kennt die Elemente eines Risikobehandlungsplans (z.B. Sicherheitsmassnahme, Verantwortlichkeit, Termin).
 
4 Definiert die Relevanz und Anwendung der Sicherheitsmassnahmen innerhalb einer Organisation in einer Erklärung zur Anwendbarkeit (Statement of Applicability, SoA).
  Handlungsnotwendige Kenntnisse:
1 Kennt die Bedeutung und den Zweck einer Erklärung der Anwendbarkeit (SoA).
2 Kennt den Aufbau und Inhalt von Anhang A der Norm ISO/IEC 27001 als Referenz für die Sicherheitsmassnahmen.
 
5 Definiert die erforderlichen Verfahren und die notwendigen Ressourcen für das ISMS.
  Handlungsnotwendige Kenntnisse:
1 Kennt die zentralen Verfahren für ein ISMS (z.B. Verfahren für die Dokumentenkontrolle, Audits, Vorbeugungs- und Korrekturmassnahmen) und die Anforderungen an deren Dokumentation.
2 Kennt die wesentlichen unterstützenden Ressourcen für ein ISMS (z.B. Kompetenz, Awareness, Kommunikation und Dokumentenmanagement) und kann deren Einfluss erläutern.
 
6 Definiert ein Kontrollsystem und die Kennzahlen zur Messung der Leistung und der Wirksamkeit des ISMS.
  Handlungsnotwendige Kenntnisse:
1 Kennt den Aufbau und Inhalt der Norm ISO/IEC 27004 als Grundlage für die Überwachung, Messung, Analyse und Bewertung eines ISMS.
2 Kennt die Anforderungen an die Formulierung und Messbarkeit von Key Performance Indikatoren (KPI).
 
Kompetenzfeld
Security/Risk Management
Objekt
Organisation mit der Absicht, ein Informationssicherheitsmanagementsystem (ISMS) normkonform und spezifisch angepasst einzuführen.
Niveau
6
Voraussetzung
keine
Anzahl Lektionen
40
Anerkennung
Eidg. Diplom Informatiker/in
Publiziert: 17.01.2020 16:11:51
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück