Schulung & Zertifizierung nach ISO/IEC 27001

ISO 27001 Schulung & Zertifizierung

Steigern Sie die Informationssicherheit Ihrer Organisation

Wir vermitteln Ihnen die Inhalte der ISO-Norm 27001 und bereiten auf die Zertifizierungsprüfung am Ende unserer Weiterbildungen vor.

Mit einer Schulung und Zertifizierung von Mitarbeitern nach ISO/IEC 27001 investieren Sie in die dauerhafte Optimierung der Informationssicherheit Ihrer Organisation. Qualifizierte Mitarbeiter können für eine sinnvolle Implementierung des Informationssicherheits-Managementsystems (ISMS) und der Prozesse nach ISO 27001 Sorge tragen.

Hochwertiges Qualifizierungsprogramm

Die ISO 27001-Schulungen richten sich nach der aktuellen Version ISO/IEC 27001:2013. Unsere Lehrpläne und Schulungsunterlagen kommen von der ICO International Certification Organization, die auch die Prüfungen am letzten Schulungstag abnimmt.

Selbstverständlich bereiten wir unsere Teilnehmer intensiv auf die Prüfung am letzten Kurstag vor.

Wir arbeiten nach folgendem Qualifizierungsprogramm der ICO:

ISMS Foundation nach ISO 27001

Für unser zweitägiges Grundlagenseminar zum Thema Information Security Management brauchen Sie keine Vorkenntnisse. Wir bringen Ihnen die Mindestanforderungen der ISO 27001 nahe und gehen auf die Maßnahmen zur Umsetzung der Norm ein.

Alternativ können Sie dieses Seminar auch als Wochenendkurs oder als englischsprachige Weiterbildung buchen.

ISMS Security Officer nach ISO 27001

Innerhalb von fünf Tagen bilden wir Sie zum ISMS Security Officer aus. Voraussetzung zur Teilnahme ist das Foundation-Zertifikat. Neben der Planung und der Implementierung eines ISMS nach ISO 27001 gehen wir auf die kontinuierliche Verbesserung dessen ein.

ISMS Auditor nach ISO 27001

Die dreitägige Ausbildung und Zertifizierung zum Auditor setzt ein Security-Officer-Zertifikat voraus. Von der Planung, über die Durchführung bis hin zur Nachbereitung von Audits nach ISO 19011: Während des Trainings eignen Sie sich das notwendige Wissen zum Auditieren von Managementsystemen an.

ISO 27001 Foundation Certification Course

The basic course for Information Security Management in english, including the option for an english certification exam.

mITSM ISO 27001 Ausbildungsschema

Auch als Firmen-Inhouse-Schulung

Alle ISO 27001-Kurse können Sie auch als Inhouse-Schulung bei Ihnen vor Ort buchen. Wir machen Ihnen gerne ein unverbindliches Angebot. Mehr ...

 


Fragen und Antworten zur ISO 27001 Ausbildung


 


Die wichtigsten Fragen und Antworten (FAQs) zum Thema ISO 27001


mITSM ISO 27001 Wissen

ISO/IEC 27001 ist ein international anerkannter Standard zum Thema Informationssicherheits-Management. Organisationen aller Branchen können ihr Informationssicherheits-Managementsystem (ISMS) - also ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit - nach ISO/IEC 27001 zertifizieren lassen. Hier finden Sie Antworten auf Ihre Fragen zu diesem Standard.

Lesen Sie auch unseren Artikel "ISO 27001 - Wissenswertes zum Update 2013" im Download-Bereich.

 

 

  1. Was ist ISO/IEC 27001?
  2. An wen richtet sich der Standard ISO/IEC 27001?
  3. Wie ist der Standard ISO/IEC 27001 aufgebaut?
  4. Was sollten Sie über ISO/IEC 27001 wissen?
  5. Was ist ein sogenanntes ISMS (Informationssicherheits-Managementsystem)?
  6. Was ist ein Security Control?
  7. Welche Controls gibt es?
  8. Gibt es einen Zusammenhang zwischen ISO/IEC 20000 und ISO/IEC 27001?
  9. Wo gibt es einen Download der Norm ISO/IEC 27001?
  10. Welche Unterschiede gibt es zwischen ISO 27001:2005 und ISO 27001:2013
  11. Wo finde ich den "Praxisleitfaden IT-Sicherheitskatalog" von Bitkom und VKU?
  12. Wo finde ich den IT-Sicherheitskatalog der Bundesnetzagentur?

 

 

1. Was ist ISO/IEC 27001?

ISO/IEC 27001 ist ein Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (International Electrotechnical Commission) entwickelt, herausgegeben und gepflegt wird. Wichtige Zielsetzungen von ISO/IEC 27001:

  • Festlegung einer einheitlichen Terminologie
  • Definition einheitlicher (standardisierter) Kriterien zur Bewertung der Informationssicherheit
  • Einfachere und effektivere Verwaltung der Aktivitäten zur Informationssicherheit in Organisationen
  • 2. An wen richtet sich der Standard ISO/IEC 27001?

    ISO/IEC 27001 ist grundsätzlich nicht auf bestimmte Branchen oder Organisationsformen beschränkt. Die beiden Hauptdokumente dieses Standards richten sich demnach an alle Arten von Organisationen. Es gibt einige spezielle Publikationen im Rahmen dieser Normenreihe, die nur für bestimmte Branchen entwickelt wurden. Mehr darüber erfahren Sie in den nächsten beiden Fragen/Antworten).

    3. Wie ist der Standard ISO/IEC 27001 aufgebaut?

    ISO/IEC 27001 ist eine Reihe von Dokumenten, die sich entweder in normativer (d.h. fordernder) oder in informativer (d.h. empfehlender) Weise mit dem Thema Informationssicherheitsmanagement befassen. Die verschiedenen Dokumente haben dabei unterschiedliche Zielsetzungen und richten sich zum Teil an unterschiedliche Zielgruppen. Das zentrale Dokument ist ISO/IEC 27001. Zum Einen geht es hierbei um die Mindestanforderungen an ein Informationssicherheits-Managementsystem (ISMS) (Kapitel 4 bis 10). Zum Anderen beschriebt der Anhang A in einer tabellarischen Darstellung über 114 Sicherheitsmaßnahmen - die sogenannten Controls. Das zweite Haupt-Dokument, ISO/IEC 27002, trägt den Beinamen „Code of Practice“ und enthält auf ca. 90 Seiten Umsetzungshinweise (Implementation Guidance) für die in ISO/IEC 27001 beschriebenen Controls.

    4. Was sollten Sie über ISO/IEC 27001 wissen?

    • ISO/IEC 27001 ist der einzige internationale Standard zum Thema Informationssicherheitsmanagement.
    • ISO/IEC 27001 besteht nicht nur aus einem, sondern aus einer Reihe von Dokumenten.
    • Das zentrale Dokument ist die Norm ISO/IEC 27001. Sie wird auch „Specification“ genannt und definiert auditierbare Mindestanforderungen und Controls.
    • Der „Code of Practice“ ISO/IEC 27002 enthält Umsetzungsanleitungen für die Maßnahmen zur Gewährleistung der Informationssicherheit.
    • ISO/IEC 27001 ist eine allgemeingültige Norm und nicht beschränkt auf bestimmte Branchen. Es gibt jedoch branchenspezifische Ergänzungen/Erweiterungen, wie zum Beispiel ISO/IEC 27001 für Telekommunikationsunternehmen oder ISO/IEC 27799 für Organisationen im Gesundheitswesen.
    • ISO/IEC 27001 legt die Basis für eine einheitliche Terminologie. Es werden Begriffe wie „Wert (Asset)“, „Informationssicherheit“, „Risikoanalyse“, „Risikoakzeptanz“ oder „Risikobehandlung“ definiert.
    • Ein ISO/IEC 27001-Zertifikat bescheinigt einer Organisation nicht ein jederzeit maximales Maß an Informationssicherheit, sondern weist nach, dass sie über ein umfassendes und effektives Informationssicherheits-Managementsystem (ISMS) verfügt und in der Lage ist, mit Sicherheitsrisiken umzugehen.
    • ISO/IEC 27001 hängt eng zusammen mit ISO/IEC 20000 (IT Service Management) und ISO 9000 (Qualitätsmanagement). Von allen drei Standards ist ISO/IEC 27001 der detaillierteste und am stärksten spezialisierte.
    • Gemäß ISO/IEC 27001 sind die drei wichtigsten Teilaspekte der Informationssicherheit die Informationsverfügbarkeit, Vertraulichkeit und Integrität.
    • ISO/IEC 27001 kann im Kontext verwandter Rahmenwerke und Ansätze (wie BSI-Grundschutzkataloge, COBIT, ITSM) von Bedeutung sein.

     

    5. Was ist ein sogenanntes ISMS (Informationssicherheits-Managementsystem)?

    ISO/IEC 27001 verwendet den Begriff des Managementsystems in ähnlicher Bedeutung wie ISO 9001 (Norm für Qualitätsmanagement). Ein Managementsystem ist die Gesamtheit aller Prozesse, Werkzeuge und Ressourcen, die in koordinierter Weise eingesetzt werden, um die anfallenden Managementaufgaben ziel-, kunden- und qualitätsorientiert zu planen, auszuführen, zu dokumentieren und ständig zu verbessern. Der Begriff des ISMS beschreibt also alle Prozesse, Verfahren und Maßnahmen (Controls), die in einer Organisation geplant und angewendet werden, um das erforderliche Niveau der Informationssicherheit zu gewährleisten. Den Controls wird dabei eine besonders hohe Bedeutung zuteil (siehe nächste Frage).

    6. Was ist ein Security Control?

    Dieser Begriff spielt in ISO/IEC 27001 eine ganz essenzielle Rolle. Die beste deutsche Übersetzung ist “Sicherheitsmaßnahme”. Ein Control ist also eine konkrete Maßnahme, die von einer Organisation ergriffen wird, um ihre Informationssicherheit in einem bestimmten Bereich zu erhöhen.


    ISO 27001 Schulung und Zertfizierung

    Schulung und Zertifizierung beim ISO-27001-Experten in München

    • - ISO 27001 von Foundation bis Auditor
    • - Mit hohem Praxisanteil
    • - Top-Vorbereitung auf die Zertifizierungsprüfungen

     

     Alle ISO 27001 Termine

     

    7. Welche Controls gibt es?

    Die Controls werden im normativen Anhang A von ISO/IEC 27001 (Specification) definiert und aufgelistet. Insgesamt gibt es 114 Controls (Maßnahmen), von denen jedes einem von insgesamt 35 Control Objectives (Maßnahmenziele) zugeordnet ist. Hierfür gibt es 14 übergeordnete Themenbereiche. Ein Beispiel wäre der Themenbereich A.11: Physische und umgebungsbezogene Sicherheit. Die beiden Control Objectives in diesem Themenbereich sind A11.1: Sicherheitsbereiche und A11.2: Betriebsmitteln. Ein Beispiel für ein Control ist die Sicherheit der Verkabelung. ISO/IEC 27001 spezifiziert dieses Control näher, und ISO/IEC 27002 (Code of Practice) gibt Umsetzungshinweise. Solche Beispiele sind allerdings nie repräsentativ für den gesamten Standard, da dieser Controls aus sehr verschiedenen Themenbereichen (zum Beispiel auch organisatorische Aspekte, Benutzerverantwortung, personelle Sicherheit, Notfallschutz, Betriebssicherheit) enthält.

    8. Gibt es einen Zusammenhang zwischen ISO/IEC 20000 und ISO/IEC 27001?

    Ja. Beide Standards befassen sich mit Managementsystemen. ISO/IEC 27001 spezifiziert Anforderungen und Controls für ein Informationssicherheits-Managementsystem (ISMS). ISO/IEC 20000 beschreibt im Kapitel 6.6 ebenfalls solche Anforderungen. Zusammenfassend kann man sagen, dass ISO/IEC 20000-1 im Kapitel 6.6 eine stark komprimierte Auflistung der wichtigsten Kernanforderungen aus ISO/IEC 27001 enthält. Mittlerweile gibt es einen Leitfaden, ISO 27013, der sich damit beschäftigt, wie man beide Managementsysteme integrieren kann.

    9. Wo gibt es einen Download der Norm ISO/IEC 27001?

    Wie alle ISO-Standards ist auch ISO/IEC 27001 nicht frei verfügbar, sondern unterliegt der Lizenz der internationalen Organisation für Standardisierung (ISO). Wenn Sie beispielsweise die Haupt-Dokumente ISO/IEC 27001 und ISO/IEC 27002 als PDF-Version herunterladen möchten, fallen dafür Gebühren in Höhe von etwa 300 Euro an. Wenn im Schulungspreis des mITSM-Kurses ISMS Security Officer nach ISO 27001 ist das „Praxisbuch ISO/IEC 27001“ von Dr. Michael Brenner enthalten, mit der vollständigen ISO/IEC 27001-Norm im Wortlaut.

    10. Welche Unterschiede gibt es zwischen ISO 27001:2005 und ISO 27001:2013

    Im Grund genommen haben sich die beiden Normen inhaltlich nicht sehr verändert. Allerdings wurde stark umstrukturiert. Einige Maßnahmen wurden gekürzt, da doppelt vorhanden. Andere Maßnahmen wurden stärker gewichtet. Besonders der erste Teil der Norm wurde umgeschrieben und ist nicht mehr konsequent nach dem Qualitätskreis von Plan-Do-Check-Act aufgebaut. Dr. Thomas Schaaf hat hierzu einen Artikel verfasst, den Sie in unserem Download-Bereich unter den Fachartikeln finden: http://www.mitsm.de/download/fachartikel/mitsm-iso-27001-wissenswertes-zum-update-2013/download

    11. Wo finde ich den "Praxisleitfaden IT-Sicherheitskatalog" von Bitkom und VKU?

    Den Praxisleitfaden mit Ratschlägen für den Aufbau des Informationssicherheits-Managementsystems finden Sie als kostenlosen Download hier bei Bitkom.

    12. Wo finde ich den IT-Sicherheitskatalog der Bundesnetzagentur?

    Den branchenspezifischen Sicherheitsstandard für die Energiewirtschaft finden Sie als kostenlosen Download bei der Bundesnetzagentur.

     


     

    Weitere Seminare im Themengebiet Informationssicherheit:

    ISO 27005 IT Risk Management Workshop

    Für alle, die IT-Sicherheitsverantwortung in ihrer Organisation tragen und von denen ein entsprechender Umgang mit IT-Risiken gefordert wird.

    Geprüfter ITSec Penetration Tester und/oder IT Forensic Investigator

    Zweistufige Ausbildung mit den Themen Vermeidung bzw. Untersuchung von durch Cyberkriminalität verursachten IT-Sicherheitsvorfällen. Mit hohem Praxisanteil im ITSec Lab des mITSM.

    Ausbildung zum/zur Datenschutzbeauftragten (DEKRA)

    Fünftägige Ausbildung zur geprüften "Fachkraft für Datenschutz", mit DEKRA-Zertifikat.

     


    Testen Sie Ihr Wissen!

     Typische ISO 27001 Prüfungsfragen