Technische Praxisumsetzung der ISO27001 Controls

Zurück

Zielsetzung

In dem Training erfahren Sie, wie Maßnahmen nach Anhang A der ISO/IEC 27001 umgesetzt werden können. Aufgrund der Fülle an Controls-Ausprägungen werden Schwerpunkte gesetzt und behandelt. Sie erhalten das Rüstzeug, um die Wirksamkeit und Angemessenheit von insbesondere technischen Maßnahmen bewerten zu können. Auf Basis des gewonnenen Wissens können Sie sich mit Ihrer IT-Abteilung und anderen Beteiligten fachlich fundiert austauschen und „in den Verhandlungsring“ steigen.

Anmelden

Hintergrundinformationen

Im Anhang A der ISO/IEC 27001 sind Maßnahmenziele und Maßnahmen (Controls) im Rahmen der Implementierung eines Informationssicherheitsmanagementsystems aufgeführt.

Allerdings liefert die Norm in ihrer generischen Sprache kaum konkrete Anhaltspunkte für die praktische Umsetzung von Maßnahmen.
Im Training werden deshalb Best Practices im Umgang mit dem Anhang A der ISO/IEC 27001 und der Umsetzung von Maßnahmen vermittelt und beispielhaft angewandt.

Zielgruppe

Das Training richtet sich an IT-Sicherheitsbeauftragte, IT Security Consultants und Verantwortliche für die Einführung und Umsetzung von ISO 27001:2013.

Inhalte

Incident-Management

  • Melden und Umgang mit Informationssicherheits-Vorfällen (Tools für Incident-Management, Forensik-Grundlagen, Auswertung von Incidents)

Beschaffung, Entwicklung und Wartung von Informationssystemen

  • Korrekte Verarbeitung in Anwendungen (Input-Data-Validation, Output-Data-Validation, Validierungsmethoden, Grundlagen der Plausibilitäts- und Integritätsprüfung (Hash))
  • Kryptographische Maßnahmen (Grundlagen Kryptographie, Verschlüsselungsmethoden (SMIME, PGP, AES, PGP), organisatorische Grundlagen Key-Management)
  • Sicherheit von Systemdateien (Register, Grundlagen Betriebssysteme, Verfahren zum Schutzvon Betriebssystemen)
  • Sicherheit bei Entwicklungsprozessen (Schutz von Testdaten, ausgelagerte Entwicklung / Test-, Entwicklungs- und Produktionsumgebung, Entwicklungsmethoden)
  • Schwachstellenmanagement (Organisatorische Verknüpfung zum Risikomanagement, technische Methoden des Schwachstellenmanagements, Tools)

Zugangskontrolle

  • Benutzerverwaltung (Grundlagen Passwörter, Lightweight Directory Access Protocol (LDAP), Identity- und Access-Management, Active Directory, …)
  • Verantwortung der Benutzer (Umgang mit Passwörtern, Social Engineering, Clear Desk und Clear Screen)
  • Zugangskontrolle für Netze (Grundlagen, Protokolle)
  • Zugriff auf Betriebssysteme (Benutzerverwaltung)
  • Zugang zu Informationen und Anwendungen (Tools, Rollen- und Rechteverwaltung, Audit)
  • Mobile Computing und Telearbeit (Grundlagen organisatorisch und technisch)

Asset-Management

  • Verwaltung der Assets (Tools, Asset-Identification, -Identifizierung und –Inventarisierung, CMDB, Cis)
  • Klassifizierungsrichtlinien (Digital Rights Management, Klassifizierungsstufen, Aufbau- und Inhalte)
  • Acceptable Use Policy (Trennung Privat/Dienst, BYOD, Private Internet und Email-Nutzung, Kontrollrechte und – pflichten des Arbeitgebers)

Physische Sicherheit

  • Zutrittskontrolle (Schutzzonenkonzepte, Zutrittskontrollsysteme, CDTV, Einbruch- und Brandmeldung)
  • Physische Sicherheit (Verkabelungssicherheit, Stromversorgung, Klimatisierung, Löschanlagen,sicherer Betrieb von Infrastruktur)

Betriebs- und Kommunikationsmanagement

  • IT-Betriebsprozesse (Change Management, Capacity Management)
  • Schutz vor Schadsoftware (Definition, Funktion, Verfahren zum Schutz, Maßnahmen zur Entfernung)
  • Backup (Backup-Grundlagen, Storage, San, Archiving, techn. Datensicherung, Backup-Konzepte)
  • Umgang mit Medien (Endpoint-Security, Verschlüsselung von Medien, sichere Löschverfahren)
  • Austausch von Informationen (Austauschvereinbarungen treffen, NDAs prüfen, techn. Datenaustausch + Besonderheiten)
  • E-Commerce-Anwendungen (techn.+ organ. Herausforderungen, PCI-DSS, Telemediengesetz)
  • Monitoring (Monitoring Systeme, Logging, Auswerten von Logfiles, rechtliche Voraussetzung von Monitoring und Logging, Audittrailing)

 

Voraussetzungen

Mindestens Grundkenntnisse ISO/IEC 27001

Referenten

Uwe Rühl

Uwe Rühl ist berufener Auditor mit umfangreicher Praxiserfahrung in den Normen ISO/IEC 27001, BS25999-2 (Business-Continuity-Management), DIN EN ISO 9001, ISO/IEC 20000 (IT Service Management) und PAS 99 (integrierte Managementsysteme). Als Trainer ist er seit mehr als 15 Jahren tätig. Seit 2004 gehören zu seinen Schwerpunkten Managementsysteme und Auditdurchführungen.

Veranstaltungshinweise

Das Training wird von unserem Kooperationspartner qSkills eingenständig durchgeführt. Bei Anmeldung erhalten Sie die Bestätigung und alle weiteren Informationen von qSkills. Mit Ihrer Anmeldung willigen Sie ein, dass Ihre Anmeldedaten an qSkills weitergegeben werden.

Preis

2.950,- Euro zzgl MwSt.

Im Preis enthalten sind Trainingsunterlagen, Pausengetränke und Mittagessen.

Download

Download Training_ISO 27001 Controls

Ähnliche Trainings

Copyright ESG Elektroniksystem- und Logistik-GmbH 2018. All rights reserved.