ISO 27001 Schulung & Zertifizierung von Personen

ISO 27001 Schulung & Zertifizierung

Der komplette 27001-Ausbildungsgang beim mITSM

Die Schulung und Zertifizierung von Mitarbeitern nach ISO/IEC 27001 ist eine nachhaltige Investition in die dauerhafte Optimierung der Informationssicherheit einer Organisation. Für eine sinnvolle Implementierung des Informationssicherheits-Managementsystems (ISMS) und der Prozesse nach ISO 27001 können nur entsprechend qualifizierte Mitarbeiter Sorge tragen.

Für die Personenzertifizierung wurde vom TÜV SÜD ein dreistufiges, rollenbasiertes Zertifizierungs- und Lehrgangskonzept nach ISO/IEC 27001 entwickelt. Es besteht aus den folgenden drei Levels:

ISO 27001 Foundation

Das Grundlagenseminar zum Thema Informationssicherheits-Management inklusive Prüfung zum Erhalt des TÜV SÜD-Zertifikats “Foundation Certificate in Information Security Management according to ISO/IEC 27001″.

ISO 27001 Information Security Officer

Nach erfolgreichem Abschluss des Foundation Levels: Ausbildung und Zertifizierung zum Information Security Officer nach dem neuen Lehrgangskonzept des TÜV SÜD. Das Zertifikat "Information Security Officer" weist fundiertes, praxisnahes Wissen nach.

ISO 27001 Auditor

Die Ausbildung und Zertifizierung zum Auditor in ISMS befähigt die Teilnehmer, ein effektives Informationssicherheits-Managementsystem (ISMS) zu auditieren und zu bewerten. Voraussetzung ist das Zertifikat "Information Security Officer".

Alle ISO 27001-Schulungen können Sie auch als Inhouse-Schulung bei Ihnen vor Ort buchen. Wir machen Ihnen gerne ein unverbindliches Angebot. Zum Anfrage-Formular ...

mITSM ISO 27001 Ausbildungsschema

Termine, Kosten, weitere Informationen

Alle Zertifizierungsschulungen des mITSM sind auf die ISO/IEC 27001:2013 ausgerichtet. Nachfolgend finden Sie Informationen zu den Kosten und den  ISO 27001 Terminen des mITSM sowie eine Reihe von Fragen und Antworten zur ISO 27001 Zertifizierung.

ISO 27001 – Foundation, Professional und Auditorenkurse

Die Ausbildung zum ISO 27001 Auditor ist eine vom TÜV SÜD bereit gestellte international anerkannte Personenzertifizierung und folgt einem dreistufigen Ausbildungsschema. Die Grundlagenschulung (ISO 27001 Foundation) dauert zwei Tage. Darauf folgt die fünftägige Ausbildung zum Information Security Officer nach ISO 27001. Zur Zertifizierung als Auditor fehlt dann noch der dreitägige ISO 27001 Auditoren-Kurs, bei dem neben ISO 27001 die Norm ISO 19011 - Auditierung von Managementsystemen - im Mittelpunkt steht. Für Personen mit dem Berufsbild Lead Auditor ist dies eine wichtige Voraussetzung.

ISO 27001 – Prüfung und Zertifizierung

Die Foundation Prüfung besteht aus 40 deutschen oder englischen Fragen. Es sind jeweils vier Antworten vorgegeben, wovon allerdings nur eine richtig ist (Single Multiple Choice). Um das begehrte Zertifikat in den Händen zu halten, muss man 26 Fragen (65 Prozent) richtig beantwortet haben.

Die Prüfung zum Information Security Officer ist eine Multiple Choice Prüfung mit 60 Fragen und 4 möglichen vorgegebenen Antworten, von denen aber nur genau eine Antwort richtig ist. Es müssen mindestens 65 Prozent - das entspricht 39 Fragen - richtig beantwortet werden.

Die Auditorenprüfung ist zweigeteilt: Zum einen sind szenarienbasierte Fragen zum Thema Audit aus den Bereichen ISO 19011 und ISO 27001 zu beantworten. Der zweite Prüfungsteil beschäftigt sich mit Audit-Situationen. Der Prüfling muss bewerten, ob der geschilderte Fall einem der folgenden Kriterien genügt:

  • ist nicht relevant für den Audit
  • ist eine Nicht-Konformität hinsichtlich ISO 27001
  • ist konform ISO 27001

ISO 27001 – Kosten

Es gibt keine versteckten Kosten für Prüfungsvorbereitung, denn das mITSM stellt die Schulungspreise und Prüfungsgebühren so transparent wie nur möglich dar. Beim mITSM ist in jeder Schulung eine Prüfungsvorbereitung mit Musterprüfung sowie eine Vorbereitung mit Braindumps enthalten. Dafür erheben wir im Gegensatz zu manch anderen Markt-Mitbewerbern keine zusätzliche Gebühr für die Prüfungsvorbereitung.

Die Preise für die ISO-27001-Kurse finden Sie bei den entsprechenden Angeboten:

- ISO 27001 Foundation
- ISO 27001 Information Security Officer
- ISO 27001 Auditor

- ISO 27005 IT Risk Management Workshop
- Datenschutz nach BDSG und ISO 27018


Über die ISO 27001-Zertifizierung hinaus bietet das mITSM folgende Weiterbildungen im Themengebiet Informationssicherheit an:

ISO 27005 IT Risk Management Workshop

Für alle, die IT-Sicherheitsverantwortung in ihrer Organisation tragen und von denen ein entsprechender Umgang mit IT-Risiken gefordert wird.

Geprüfter ITSec Analyst & ITSec Forensic Investigator

Zweistufige Ausbildung mit den Inhalten ethisches Hacken, Penetrationstest und Beweissicherung nach ITSec. Hoher Praxisanteil!

Datenschutz nach EU-DSGVO und ISO 27018

Für alle, die sich die Grundlagen des Datenschutzes nach Datengrundschutzverordnung (EU-DSGVO) und der Norm ISO/IEC 27018 aneignen wollen.

 


 

Fragen und Antworten zur ISO 27001 Ausbildung

Wie werde ich IT Securiy Officer oder Auditor in ISMS?

ISO/IEC 27001 - Schulung und Zertifizierung

Wie lange ist mein ISO 27001 Zertifikat gültig?

Das Zertifikat ist unbegrenzt gültig. Jedoch ist es sehr sinnvoll, sollte sich die dazu gehörige Norm verändern, wie z. B. ISO 27001:2005 auf ISO 27001: 2013, sich entsprechendes Infomaterial durchzulesen oder einen entsprechenden Upgrade-Kurs zu besuchen. Ein interessanter Artikel, speziell zur neuen Version 2013 finden Sie unter Downloads.

Ich bin bereits ISO 20000 Auditor. Wie kann ich ISO 27001 Auditor werden?

Laut Ausbildungsschema des TÜV SÜD ist dafür mindestens der Besuch der ISO 27000 Foundation Schulung notwendig. Danach kann ein Antrag gestellt werden und der TÜV stellt dann ein ISO 27001 Auditor Zertifikat aus. Nach Meinung des mITSM ist es dennoch absolut notwendig, mindestens den GRC - Governance, Risk and Compliance - Kurs zu besuchen. Das Risk Management ist das Herzstück der 27001 Norm und ohne gefestigtes Wissen hierzu, da diese Thematik in ISO 20000 nicht besprochen wird, kann man Audits nicht sinnvoll durchführen.

Was muss ich über ISO 27001 wissen?

Die wichtigsten Informationen zum Thema 27001 haben wir auf unserer Wissensseite ISO 27001 FAQ zusammengefasst. Ein reines Selbststudium der Norm ohne weitere Kenntnisse und Ansätze ist nur für sehr erfahrene Auditoren mit detaillierten Kenntnissen im Bereich IT Security möglich. Wir empfehlen daher eine unserer ISO 27001 Schulungen.

Ich habe noch kein ISO 27001 Zertifikat. Wie werde ich ISO 27001 Auditor?

Beginnen müssen Sie auf jeden Fall mit der ISO 27001 Foundation Schulung - siehe nebenstehendes Ausbildungsschema. Danach besuchen Sie die Professional Schulung „Information Security Officer" und bestehen die dazu gehörige Prüfung. Danach können Sie den ISMS Auditor Kurs buchen, bei dem vor allem die Norm 19011 im Mittelpunkt steht. Nach bestandener Prüfung erhalten Sie vom TÜV SÜD das Zertifikat "ISMS Auditor nach ISO 27001".

Bin ich dann ISO 27001 Lead Auditor?

Nach der Schulung bzw. der bestandenen Auditoren-Prüfung sind Sie dem Lead Auditor einen großen Schritt näher. Allerdings ist Lead Auditor eine Rolle im Unternehmen. Es reicht nicht, nur eine Prüfung zu bestehen, sondern man muss auch noch folgende weitere Kriterien erfüllen:

  1. Man muss mehrere Audits als Auditor durchgeführt haben, um eine entsprechende Kompetenz nachweisen zu können.
  2. Und Sie müssten in einer entsprechenden Position bei einem Unternehmen angestellt bzw. als Lead Auditor eingesetzt werden.

Die wichtigsten Fragen und Antworten (FAQs) zum Thema ISO 27001


mITSM ISO 27001 Wissen

ISO/IEC 27001 ist ein international anerkannter Standard zum Thema Informationssicherheits-Management. Organisationen aller Branchen können ihr Informationssicherheits-Managementsystem (ISMS) - also ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit - nach ISO/IEC 27001 zertifizieren lassen. Hier finden Sie Antworten auf Ihre Fragen zu diesem Standard.

Lesen Sie auch unseren Artikel "ISO 27001 - Wissenswertes zum Update 2013" im Download-Bereich.

 

 

 

  1. Was genau ist ISO/IEC 27001?
  2. An wen richtet sich der Standard ISO/IEC 27001?
  3. Wie ist der Standard ISO/IEC 27001 aufgebaut?
  4. Was sollten Sie über ISO/IEC 27001 wissen?
  5. Was ist ein sogenanntes ISMS (Informationssicherheits-Managementsystem)?
  6. Was ist ein Security Control?
  7. Welche Controls gibt es?
  8. Gibt es einen Zusammenhang zwischen ISO/IEC 20000 und ISO/IEC 27001?
  9. Wo gibt es einen Download der Norm ISO/IEC 27001?
  10. Welche Unterschiede gibt es zwischen ISO 27001:2005 und ISO 27001:2013
  11. Bis wann benötige ich als Energienetzbetreiber ein ISO-27001-Zertifikat?
  12. Wo finde ich den "Praxisleitfaden IT-Sicherheitskatalog" von Bitkom und VKU?
  13. Wo finde ich den IT-Sicherheitskatalog der Bundesnetzagentur?

 

 

 

 

1. Was genau ist ISO/IEC 27001?

 

ISO/IEC 27001 ist ein Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (International Electrotechnical Commission) entwickelt, herausgegeben und gepflegt wird. Wichtige Zielsetzungen von ISO/IEC 27001 sind die Festlegung einer einheitlichen Terminologie und die Definition einheitlicher (standardisierter) Kriterien, nach denen Organisationen hinsichtlich einer umfassenden und effektiven Verwaltung und Steuerung ihrer Aktivitäten zur Gewährleistung der Informationssicherheit bewertet (auditiert) werden können.

2. An wen richtet sich der Standard ISO/IEC 27001?

ISO/IEC 27001 ist grundsätzlich nicht auf bestimmte Industriebereiche, Branchen oder Organisationsformen beschränkt. Die beiden Hauptdokumente dieses Standards richten sich demnach an alle Arten von Organisationen. Es gibt jedoch einige spezielle Publikationen im Rahmen dieser Normenreihe, die für bestimmte Branchen entwickelt wurden. Mehr darüber erfahren Sie in den nächsten beiden Fragen/Antworten).

3. Wie ist der Standard ISO/IEC 27001 aufgebaut?

ISO/IEC 27001 ist eine Reihe von Dokumenten, die sich entweder in normativer (d.h. fordernder) oder in informativer (d.h. empfehlender) Weise mit dem Thema Informationssicherheitsmanagement befassen. Die verschiedenen Dokumente haben dabei unterschiedliche Zielsetzungen und richten sich zum Teil an unterschiedliche Zielgruppen. Das zentrale Dokument ist ISO/IEC 27001. Hier werden zum einen die Mindestanforderungen an ein Informationssicherheits-Managementsystem (ISMS) beschrieben (Kapitel 4 bis 10), zum anderen werden in einer tabellarischen Darstellung über 114 Sicherheitsmaßnahmen - die sogenannten Controls - beschrieben (Anhang A). Das zweite Haupt-Dokument, ISO/IEC 27002 trägt den Beinamen „Code of Practice“ und enthält auf ca. 90 Seiten Umsetzungshinweise (Implementation Guidance) für die in ISO/IEC 27001 beschriebenen Controls.

4. Was sollten Sie über ISO/IEC 27001 wissen?

 

  • ISO/IEC 27001 ist der einzige internationale Standard zum Thema Informationssicherheitsmanagement.
  • ISO/IEC 27001 besteht nicht nur aus einem, sondern aus einer Reihe von Dokumenten.
  • Das zentrale Dokument ist die Norm ISO/IEC 27001. Sie wird auch „Specification“ genannt und definiert auditierbare Mindestanforderungen und Controls.
  • Der „Code of Practice“ ISO/IEC 27002 enthält Umsetzungsanleitungen für die Maßnahmen zur Gewährleistung der Informationssicherheit.
  • ISO/IEC 27001 ist eine allgemeingültige Norm und nicht beschränkt auf bestimmte Branchen. Es gibt jedoch branchenspezifische Ergänzungen/Erweiterungen, wie zum Beispiel ISO/IEC 27001 für Telekommunikationsunternehmen oder ISO/IEC 27799 für Organisationen im Gesundheitswesen.
  • ISO/IEC 27001 legt die Basis für eine einheitliche Terminologie. Es werden Begriffe wie „Wert (Asset)“, „Informationssicherheit“, „Risikoanalyse“, „Risikoakzeptanz“ oder „Risikobehandlung“ definiert.
  • Ein ISO/IEC 27001-Zertifikat bescheinigt einer Organisation nicht ein jederzeit maximales Maß an Informationssicherheit, sondern weist nach, dass sie über ein umfassendes und effektives Informationssicherheits-Managementsystem (ISMS) verfügt und in der Lage ist, mit Sicherheitsrisiken umzugehen.
  • ISO/IEC 27001 hängt eng zusammen mit ISO/IEC 20000 (IT Service Management) und ISO 9000 (Qualitätsmanagement). Von allen drei Standards ist ISO/IEC 27001 der detaillierteste und am stärksten spezialisierte.
  • Gemäß ISO/IEC 27001 sind die drei wichtigsten Teilaspekte der Informationssicherheit die Informationsverfügbarkeit, Vertraulichkeit und Integrität.
  • ISO/IEC 27001 kann im Kontext verwandter Rahmenwerke und Ansätze (wie BSI-Grundschutzkataloge, COBIT, ITSM) von Bedeutung sein.

 

5. Was ist ein sogenanntes ISMS (Informationssicherheits-Managementsystem)?

ISO/IEC 27001 verwendet den Begriff des Managementsystems in ähnlicher Bedeutung wie ISO 9001 (Norm für Qualitätsmanagement): Ein Managementsystem ist die Gesamtheit aller Prozesse, Werkzeuge (Tools) und Ressourcen (z.B. Menschen, Anlagen), die in koordinierter Weise eingesetzt werden, um die anfallenden Managementaufgaben ziel-, kunden- und qualitätsorientiert zu planen, auszuführen, zu dokumentieren und ständig zu verbessern. Der Begriff des ISMS beschreibt also alle Prozesse, Verfahren und Maßnahmen (Controls), die in einer Organisation geplant und angewendet werden, um das erforderliche Niveau der Informationssicherheit zu gewährleisten. Den Controls wird dabei eine besonders hohe Bedeutung zuteil (siehe nächste Frage).

6. Was ist ein Security Control?

Dieser Begriff spielt in ISO/IEC 27001 eine ganz essenzielle Rolle. Die beste deutsche Übersetzung ist “Sicherheitsmaßnahme”. Es handelt sich bei einem Control also um eine konkrete Maßnahme, die von einer Organisation ergriffen wird, um ihre Informationssicherheit in einem bestimmten Bereich zu erhöhen.


ISO 27001 Schulung und Zertfizierung

Schulung und Zertifizierung beim ISO-27001-Experten in München

  • - ISO 27001 von Foundation bis Auditor
  • - mit hohem Praxisanteil
  • - inklusive Prüfungsvorbereitung
  • - TÜV-SÜD Zertifizierung
 Alle ISO 27001 Termine

 

7. Welche Controls gibt es?

 

Die Controls werden im normativen Anhang A von ISO/IEC 27001 (Specification) definiert und aufgelistet. Insgesamt gibt es 114 Controls (Maßnahmen), von denen jedes einem von insgesamt 35 Control Objectives (Maßnahmenziele) zugeordnet ist. Hierfür gibt es 14 übergeordnete Themenbereiche. Ein Beispiel wäre der Themenbereich A.11: Physische und umgebungsbezogene Sicherheit. Die beiden Control Objectives in diesem Themenbereich sind A11.1: Sicherheitsbereiche und A11.2: Betriebsmitteln. Ein Beispiel für ein Control ist die Sicherheit der Verkabelung. ISO/IEC 27001 spezifiziert dieses Control näher, und ISO/IEC 27002 (Code of Practice) gibt Umsetzungshinweise. Solche Beispiele sind allerdings nie repräsentativ für den gesamten Standard, da dieser Controls aus sehr verschiedenen Themenbereichen (zum Beispiel auch organisatorische Aspekte, Benutzerverantwortung, personelle Sicherheit, Notfallschutz, Betriebssicherheit) enthält.

8. Gibt es einen Zusammenhang zwischen ISO/IEC 20000 und ISO/IEC 27001?

Ja. Beide Standards befassen sich mit Managementsystemen. ISO/IEC 27001 spezifiziert (in ISO/IEC 27001) Anforderungen und Controls für ein Informationssicherheits-Managementsystem (ISMS). ISO/IEC 20000 beschreibt im Kapitel 6.6 ebenfalls solche Anforderungen. Zusammenfassend kann man sagen, dass ISO/IEC 20000-1 im Kapitel 6.6 eine stark komprimierte Auflistung der wichtigsten Kernanforderungen aus ISO/IEC 27001 enthält. Mittlerweile gibt es einen Leitfaden, ISO 27013, der sich damit beschäftigt, wie man beide Management Systeme integrieren kann.

9. Wo gibt es einen Download der Norm ISO/IEC 27001?

Wie alle ISO-Standards ist auch ISO/IEC 27001 nicht frei verfügbar, sondern unterliegt der Lizenz der internationalen Organisation für Standardisierung (ISO). Wenn Sie beispielsweise die Haupt-Dokumente ISO/IEC 27001 und ISO/IEC 27002 als PDF-Version herunterladen möchten, fallen dafür Gebühren in Höhe von etwa 300 Euro an. Wenn Sie am mITSM einen ISO 27001-Kurs besuchen, erhalten Sie für die Dauer des Kurses (je nach Modul 2 oder 3 Tage) persönliche und kursbegleitende Ansichtsexemplare der Standards ISO/IEC 27001 und ISO/IEC 27002.

10. Welche Unterschiede gibt es zwischen ISO 27001:2005 und ISO 27001:2013

Im Grund genommen haben sich die beiden Normen inhaltlich nicht sehr verändert. Allerdings wurde stark umstrukturiert. Einige Maßnahmen wurden gekürzt, da doppelt vorhanden. Andere Maßnahmen wurden stärker gewichtet. Besonders der erste Teil der Norm wurde umgeschrieben und ist nicht mehr konsequent nach dem Qualitätskreis von Plan-Do-Check-Act aufgebaut. Dr. Thomas Schaaf hat hierzu einen Artikel verfasst, den Sie in unserem Download-Bereich unter den Fachartikeln finden: http://www.mitsm.de/download/fachartikel/mitsm-iso-27001-wissenswertes-zum-update-2013/download

10. Bis wann muss ich mich als Energienetzbetreiber nach ISO-27001 zertifizieren?

Der IT-Sicherheitskatalog (IT-SK) der Bundesnetzagentur ist der branchenspezifische Sicherheitsstandard für die Energiewirtschaft und damit für sämtliche Strom- und Gasnetzbetreiber verpflichtend. Zentrale Forderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 und dessen Zertifizierung. Wichtige Fristen aus dem IT-SK sind:

- bis 30.11.2015: Nennung eines Ansprechpartners für IT-Sicherheit
- bis 31.01.2018: Nachweis eines ISO-27001-Zertifikats

Zwei Jahre für die Etablierung eines zertifizierungsreifen ISMS sind ein durchaus ambitionierter Zeitrahmen. Für viele Energienetzbetreiber ist es schon allein deshalb sinnvoll, einen externen Dienstleister hinzuziehen.

11. Wo finde ich den "Praxisleitfaden IT-Sicherheitskatalog" von Bitkom und VKU?

Den Praxisleitfaden mit Ratschlägen für den Aufbau des Informationssicherheits-Managementsystems finden Sie als kostenlosen Download beim Verband kommunaler Unternehmen e.V.

12. Wo finde ich den IT-Sicherheitskatalog der Bundesnetzagentur?

Den branchenspezifischen Sicherheitsstandard für die Energiewirtschaft finden Sie als kostenlosen Download bei der Bundesnetzagentur.

 


 

Testen Sie Ihr Wissen!

Als besonderen Service und als Test für Ihr ISO 27001 Wissen haben wir hier noch typische ISO 27001 Prüfungsfragen für Sie zusammengestellt.

 Typische ISO 27000 Prüfungsfragen