Chief Information Security Officer (CISO)

Informationssicherheitskonzepte

Definieren, Implementieren, Verwalten und Aufrechterhalten eines Informationssicherheits-Governance-Programms

Treiber der Informationssicherheit

Aufbau einer Informationssicherheitsmanagement-Struktur

Methoden zur Einbindung von Informationssicherheit in die Unternehmens-Governance.

Best Practices für die Förderung der Informationssicherheit im Unternehmen.

Festlegung von Niveaus und Erwartungen für Informationssicherheit im Unternehmen.

Bereiche der Governance (z. B. Risikomanagement, Datenklassifizierungsmanagement, Netzwerksicherheit, Systemzugriff).

Zentrale und dezentrale Ansätze für die Koordination der Informationssicherheit.

Gesetze/Verordnungen/Standards als Treiber für Organisationsrichtlinien/Standards/Verfahren

Verwaltung eines Unternehmensprogramms zur Einhaltung der Informationssicherheit.

Funktion und Inhalt wesentlicher Elemente eines Informationssicherheitsprogramms (z. B. Ansatzdarlegungen, Verfahren und Richtlinien)

Informationssicherheit Assets Management

Informationssicherheit Risikomanagement

• Risikomanagement-Rahmenwerke

  • ISO 27005

  • BIS 200-3

  • NIST Risk Management Framework

  • Weitere Frameworks and Guidance (ISO 31000, TARA, OCTAVE, FAIR, COBIT, and ITIL)

• Prinzipien und Praktiken des lebenszyklusbasierten Risikomanagements

Informationssicherheitskontrollen

Compliance Management

Richtlinien & Best Practices

Audit Management

Security Incident Management in der Verantwortung des CISO

Bewerten und Lenken des ISMS anhand von KPIs und internen Kontrollprozessen/Systemen

Strategische Steuerung von PDCA / KVP

Methoden zur Entwicklung eines Implementierungsplans, der den in der Risikoanalyse identifizierten Sicherheitsanforderungen entspricht

Methoden und Techniken für das Projektmanagement

Die Komponenten eines Informationssicherheits-Governance-Rahmenwerks zur Integration von Sicherheitsprinzipien, -praktiken, -management und -bewusstsein in alle Aspekte und Ebenen des Unternehmens

Sicherheits-Richtlinien und Konfigurationsmanagement bei Design und Management von Geschäftsanwendungen und der Infrastruktur

Informationssicherheitsarchitekturen: (z.B. Zero Trust, Einzelanmeldung, regelbasierte im Gegensatz zu listenbasierter Systemzugriffskontrolle für Systeme, beschränkte Systemverwaltungspunkte)

Informationssicherheitstechnologien (z. B. Verschlüsselungstechniken und Digitalunterschriften, um der Geschäftsleitung die Wahl entsprechender Kontrollvorrichtungen zu ermöglichen)

Sicherheitsverfahren und Richtlinien für Geschäftsabläufe und Infrastrukturaktivitäten Systementwicklungs-Lebenszyklusmethodologien (z. B. traditionelles SDLC, Prototypisierung)

Planung, Durchführung, Reporting und Weiterverfolgung von Sicherheitstests

Zertifizierung und Akkreditierung der Übereinstimmung der Geschäftsanwendungen und Infrastruktur mit dem Informationssicherheits-Governance-Rahmenwerk des Unternehmens

Arten, Vorteile und Kosten physischer, verwaltungstechnischer und technischer Kontrollen

Planung, Design, Entwicklung, Überprüfung und Implementierung der Informationssicherheitsanforderungen in die Geschäftsabläufe eines Unternehmens

Design, Entwicklung und Implementierung von Sicherheitsmetriesystemen

Methoden und Techniken für das Akquisitionsmanagement (z. B. Beurteilung von Lieferanten-Leistungsumfangsvereinbarungen, Vorbereitung von Verträgen)

Umsetzung von Informationssicherheitsansätzen in betriebliche Anwendung

Informationssicherheits-Verwaltungsprozesse und -verfahren

Methoden zur Verwaltung der Implementierung des Informationssicherheitsprogramms des Unternehmens durch Drittparteien, einschließlich Handelspartnern und Anbietern von Sicherheitsdienstleistungen

Fortwährende Überwachung der Sicherheitsaktivitäten in der Infrastruktur und den Geschäftsanwendungen des Unternehmens

Methoden zur Verwaltung von Erfolg/Misserfolg von Informationssicherheitsinvestitionen durch Datenerfassung und periodische Überprüfung von Schlüssel-Leistungsindikatoren

Aktivitäten des Änderungs- und Konfigurationsmanagements

Gebotene Sorgfaltsaktivitäten des Informationssicherheitsmanagements und Überprüfungen der Infrastruktur

Verbindungsaktivitäten mit internen/externen Versicherungsanbietern, die Informationssicherheitsprüfungen durchführen

Gebotene Sorgfaltsaktivitäten, Revisionen und damit verbundene Standards für Verwaltung und Kontrolle des Zugriffs auf Informationsressourcen

Externe Schwachstellen-Reportingquellen, die Informationen liefern, welche Änderungen an der Informationssicherheit von Anwendungen und Infrastruktur erforderlich machen können

Ereignisse, welche die Sicherheits-Basislinien beeinträchtigen und Risikobeurteilungen sowie Änderungen an den Informationssicherheitsanforderungen in Sicherheitsplänen, Testplänen und Reperfomance erforderlich machen Informationssicherheit-Problemmanagementpraktiken

Informationssicherheits-Manager übernimmt Aufgaben als Änderungsagent, Ausbilder und Berater

Die Art und Weise, in der Kultur und kulturelle Unterschiede das Verhalten des Personals beeinflussen

Die Aktivitäten, die Kultur und Verhalten des Personals verändern können

Methoden und Techniken zur Schulung und Ausbildung eines Sicherheitsbewusstseins

Aktuelle Bedrohungen und Gefährdungen der IT-Sicherheit aus strategischer Sicht

Sicherheitstechnologien im Überblick

Informationssicherheitsmanagement vs. IT-Servicemanagement – Managemententscheidungen

Reaktionsmanagement