de it fr

668 Informationssicherheitsmanagementsystem betreiben und verbessern

Modul
Informationssicherheitsmanagementsystem betreiben und verbessern
Kompetenz
Führt und steuert auf der Basis der relevanten Normen den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) in einer Organisation und stellt die fortlaufende Verbesserung des Systems sicher.
Handlungsziele
1 Überprüft und bewertet periodisch die Sicherheitsrisiken des Risikomanagements und passt die Sicherheitsmassnahmen des ISMS bei Bedarf an.
  Handlungsnotwendige Kenntnisse:
1 Kennt relevante Kriterien zur Durchführung periodischer Informationssicherheitsrisikobeurteilungen.
2 Kennt die wesentlichen Prozessschritte des Risikomanagements in einer Organisation (z.B. Risikoidentifikation, Risikobewertung, Risikobehandlung) und kann deren Zweck erläutern.
3 Kennt die Elemente eines Risikobehandlungsplans (z.B. Sicherheitsmassnahme, Verantwortlichkeit, Termin).
4 Kennt Kriterien für die Risikoakzeptanz im Kontext einer Organisation.
 
2 Überprüft und bewertet periodisch die Leistung und Wirksamkeit des ISMS und passt die Sicherheitsmassnahmen des ISMS oder das Kontrollsystem bei Bedarf an.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Informationssicherheitsziele einer Organisation und die Planungsgrundlagen zur Erreichung dieser Ziele.
2 Kennt die Key Performance Indikatoren (KPI) einer Organisation zur Messung der Leistung und Wirksamkeit des ISMS.
3 Kennt Methoden zur Plausibilitätsprüfung und zum Vergleich von Messwerten (z.B. Plausibilitätsregeln, Soll-/Ist-Vergleich, Vorperiodenvergleich, Trendextrapolation).
 
3 Plant und organisiert periodische interne oder externe Audits zur Überprüfung des ISMS und stellt die Dokumentation der Ergebnisse sicher.
  Handlungsnotwendige Kenntnisse:
1 Kennt unterschiedliche Audittypen (z.B. Systemaudit, Prozessaudit, Complianceaudit, Performanceaudit, Finanzaudit) und kann den Auditgegenstand als Unterscheidungsmerkmal erläutern.
2 Kennt die Anforderungen an die Planung eines Audits (z.B. Häufigkeit, Methode, Umfang, Objektivität, Unparteilichkeit, Berichterstattung) und kann den Unterschied zwischen internen und externen Audits erläutern.
3 Kennt unterschiedliche Audits im Zusammenhang mit der Zertifizierung eines ISMS (z.B. Voraudit, Zertifizierungsaudit, Überwachungsaudit) und kann den Auditzweck als Unterscheidungsmerkmal erläutern.
 
4 Überprüft die Einhaltung der Informationssicherheit bei Geschäftsbeziehungen mit Lieferanten und externen Dienstleistern und rapportiert die Ergebnisse gegenüber den zuständigen Stellen der Compliance.
  Handlungsnotwendige Kenntnisse:
1 Kennt die sicherheitsrelevanten Aspekte eines Dienstleistungsmanagementprozesses mit Lieferanten und externen Dienstleistern (z.B. Überwachung der Einhaltung vereinbarter Service Levels, Überprüfung der Service Level Reports, Durchführung von Lieferantenaudits, Kommunikation und Bereitstellung von Informationen bei Informationssicherheitsvorfällen).
 
5 Untersucht bei Nichtkonformitäten die Ursachen eines Fehlers, leitet Korrekturmassnahmen ein und nimmt bei Bedarf Anpassungen beim ISMS vor.
  Handlungsnotwendige Kenntnisse:
1 Kennt mögliche Quellen zur Erkennung von Nichtkonformitäten (z.B. Management von Informationssicherheitsvorfällen, periodische Überprüfung der Leistung und Wirksamkeit eines ISMS, Auditreports, Managementreport, periodisches Risikomanagement, kontinuierlicher Verbesserungsprozess).
2 Kennt Methoden und Techniken zur Problemlösung und strukturierten Ursachenanalyse (z.B. Fehler-Ursachen-Analyse, ABC-Analyse nach Pareto, 5-Why-Methode, Ursache-Wirkungsdiagramm nach Ishikawa).
 
6 Wertet relevante Informationen aus dem Betrieb des ISMS aus, bereitet die Ergebnisse aussagekräftig auf und veranlasst die periodische Bewertung des ISMS durch das Management.
  Handlungsnotwendige Kenntnisse:
1 Kennt die relevanten Aspekte für die periodische Managementbewertung des ISMS.
2 Kennt geeignete Darstellungstechniken zur Verdichtung von Informationen in einem Managementreport (z.B. Histogramm, Korrelationsdiagramm, Trendanalyse).
 
7 Vertritt Haltungen und fördert Massnahmen, die kontinuierliches Lernen in einer Organisation begünstigen und unterstützen.
  Handlungsnotwendige Kenntnisse:
1 Kennt Führungsprinzipien, die kontinuierliches Lernen und Verbessern unterstützen (z.B. Fehlerkultur, Lernfähigkeit, Partizipation, Mitsprache und Mitbestimmung).
2 Kennt das Konzept des Einschleifen- und Doppelschleifenlernens in Organisationen.
3 Kennt das Konzept der Lernenden Organisation (nach P.M. Senge) und kann die relevanten Disziplinen erläutern (individuelle Selbstentwicklung, Reflexion mentaler Modelle, gemeinsame Visionen, Lernen im Team und Denken in Systemen).
4 Kennt Konzepte (z.B. SECI-Modell nach Nonaka und Takeuchi), Methoden (z.B. Communities of Practice, Storytelling, Lessons Learned) und Techniken (z.B. Groupware, soziale Medien, Enterprise Wiki, Expertensysteme, künstliche Intelligenz) zum Wissensmanagement in Organisationen.
 
Kompetenzfeld
Security/Risk Management
Objekt
Organisation mit einem etablierten normkonformen Informationssicherheitsmanagementsystem (ISMS).
Niveau
6
Voraussetzung
Informationssicherheitsmanagementsystem aufbauen (667)
Anzahl Lektionen
40
Anerkennung
Eidg. Diplom Informatiker/in
Publiziert: 17.01.2020 16:12:03
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück