ISO 27001 Controls (Anhang A) – Umsetzung von Maßnahmen in der Praxis

Zurück

Zielsetzung

In dem Seminar erfahren Sie, wie Maßnahmen nach Anhang A der ISO/IEC 27001 umgesetzt werden können. Aufgrund der Fülle an Controls-Ausprägungen werden Schwerpunkte gesetzt und behandelt. Sie erhalten das Rüstzeug, um die Wirksamkeit und Angemessenheit von insbesondere technischen Maßnahmen bewerten zu können. Auf Basis des gewonnenen Wissens können Sie sich mit Ihrer IT-Abteilung und anderen Beteiligten fachlich fundiert austauschen und „in den Verhandlungsring“ steigen.

Anmelden

Hintergrundinformationen

Im Anhang A der ISO/IEC 27001 sind Maßnahmenziele und Maßnahmen (Controls) im Rahmen der Implementierung eines Informationssicherheitsmanagementsystems aufgeführt.

Allerdings liefert die Norm in ihrer generischen Sprache kaum konkrete Anhaltspunkte für die praktische Umsetzung von Maßnahmen.
Im Seminar werden deshalb Best Practices im Umgang mit dem Anhang A der ISO/IEC 27001 und der Umsetzung von Maßnahmen vermittelt und beispielhaft angewandt.

Zielgruppe

Das Seminar richtet sich an IT-Sicherheitsbeauftragte, IT Security Consultants und Verantwortliche für die Einführung und Umsetzung von ISO 27001:2013.

Inhalte

Incident-Management

  • Melden und Umgang mit Informationssicherheits-Vorfällen (Tools für Incident-Management, Forensik-Grundlagen, Auswertung von Incidents)

Beschaffung, Entwicklung und Wartung von Informationssystemen

  • Korrekte Verarbeitung in Anwendungen (Input-Data-Validation, Output-Data-Validation, Validierungsmethoden, Grundlagen der Plausibilitäts- und Integritätsprüfung (Hash))
  • Kryptographische Maßnahmen (Grundlagen Kryptographie, Verschlüsselungsmethoden (SMIME, PGP, AES, PGP), organisatorische Grundlagen Key-Management)
  • Sicherheit von Systemdateien (Register, Grundlagen Betriebssysteme, Verfahren zum Schutzvon Betriebssystemen)
  • Sicherheit bei Entwicklungsprozessen (Schutz von Testdaten, ausgelagerte Entwicklung / Test-, Entwicklungs- und Produktionsumgebung, Entwicklungsmethoden)
  • Schwachstellenmanagement (Organisatorische Verknüpfung zum Risikomanagement, technische Methoden des Schwachstellenmanagements, Tools)

Zugangskontrolle

  • Benutzerverwaltung (Grundlagen Passwörter, Lightweight Directory Access Protocol (LDAP), Identity- und Access-Management, Active Directory, …)
  • Verantwortung der Benutzer (Umgang mit Passwörtern, Social Engineering, Clear Desk und Clear Screen)
  • Zugangskontrolle für Netze (Grundlagen, Protokolle)
  • Zugriff auf Betriebssysteme (Benutzerverwaltung)
  • Zugang zu Informationen und Anwendungen (Tools, Rollen- und Rechteverwaltung, Audit)
  • Mobile Computing und Telearbeit (Grundlagen organisatorisch und technisch)

Asset-Management

  • Verwaltung der Assets (Tools, Asset-Identification, -Identifizierung und –Inventarisierung, CMDB, Cis)
  • Klassifizierungsrichtlinien (Digital Rights Management, Klassifizierungsstufen, Aufbau- und Inhalte)
  • Acceptable Use Policy (Trennung Privat/Dienst, BYOD, Private Internet und Email-Nutzung, Kontrollrechte und – pflichten des Arbeitgebers)

Physische Sicherheit

  • Zutrittskontrolle (Schutzzonenkonzepte, Zutrittskontrollsysteme, CDTV, Einbruch- und Brandmeldung)
  • Physische Sicherheit (Verkabelungssicherheit, Stromversorgung, Klimatisierung, Löschanlagen,sicherer Betrieb von Infrastruktur)

Betriebs- und Kommunikationsmanagement

  • IT-Betriebsprozesse (Change Management, Capacity Management)
  • Schutz vor Schadsoftware (Definition, Funktion, Verfahren zum Schutz, Maßnahmen zur Entfernung)
  • Backup (Backup-Grundlagen, Storage, San, Archiving, techn. Datensicherung, Backup-Konzepte)
  • Umgang mit Medien (Endpoint-Security, Verschlüsselung von Medien, sichere Löschverfahren)
  • Austausch von Informationen (Austauschvereinbarungen treffen, NDAs prüfen, techn. Datenaustausch + Besonderheiten)
  • E-Commerce-Anwendungen (techn.+ organ. Herausforderungen, PCI-DSS, Telemediengesetz)
  • Monitoring (Monitoring Systeme, Logging, Auswerten von Logfiles, rechtliche Voraussetzung von Monitoring und Logging, Audittrailing)

 

Voraussetzungen

Mindestens Grundkenntnisse ISO/IEC 27001

Referenten

Uwe Rühl

Uwe Rühl ist berufener Auditor mit umfangreicher Praxiserfahrung in den Normen ISO/IEC 27001, BS25999-2 (Business-Continuity-Management), DIN EN ISO 9001, ISO/IEC 20000 (IT Service Management) und PAS 99 (integrierte Managementsysteme). Als Trainer ist er seit mehr als 15 Jahren tätig. Seit 2004 gehören zu seinen Schwerpunkten Managementsysteme und Auditdurchführungen.

Alternative Termine

Veranstaltungshinweise

Das Seminar wird von unserem Kooperationspartner qSkills eingenständig durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von qSkills. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an qSkills weitergegeben werden.

Preis

2950,- Euro zzgl MwSt.

Im Preis enthalten sind Seminarunterlagen, Pausengetränke und Mittagessen.

Ähnliche Seminare

Copyright ESG Elektroniksystem- und Logistik-GmbH 2017. All rights reserved.