ISMS in der Praxis (CSM) (ISP)
1/2. Semester
5 ECTS | 4 SWS
Continuous Assessment (CA)
Inhalte
- Kompakte Auffrischung Risikomanagement (Begriff, Frameworks, qualitativ/quantitativ – Bezug zu ISO/IEC 27005)
- Informationssicherheit als Disziplin: Schutzziele (CIA und erweiterte Ziele), Governance, Stakeholder, regulatorischer Rahmen
- ISMS-Konzept und PDCA-Zyklus (Plan-Do-Check-Act) als operatives Steuerungsmodell
- ISO/IEC 27001 – Aufbau der Norm, verpflichtende Klauseln 4–10, Dokumentationsanforderungen
- ISO/IEC 27002:2022 – Maßnahmenkatalog: 93 Controls in vier Themen (organisatorisch, personell, physisch, technisch); Auswahl, Anwendung, Begründung
- Statement of Applicability (SoA) und Risikobehandlungsplan
- Die CISO-Rolle: Aufgaben, Schnittstellen, Reportinglinien, Verhältnis zu CIO und Geschäftsleitung
- Operative Steuerungsthemen im CISO-Alltag: Asset Management, Access Control, Incident Management, Business Continuity, Lieferantenmanagement
- Sicherheitsrichtlinien und -anweisungen: Hierarchie, Aufbau, Lebenszyklus, Verbindlichkeit
- Awareness, Schulung und Sicherheitskultur
- Internes Audit und Management-Review
- BSI IT-Grundschutz im Überblick: Bausteinprinzip, Schichtmodell, Profile, Anwendung – Verhältnis und Brücke zu ISO/IEC 27001
- Vorbereitung und Ablauf einer ISMS-Zertifizierung – typische Stolpersteine
Lernziele/Kompetenzen
Die Studierenden sind in der Lage,
- Aufbau, Anforderungen und Wirkungsweise eines ISMS nach ISO/IEC 27001 zu erläutern;
- Maßnahmen aus ISO/IEC 27002 risikobasiert auszuwählen, zu priorisieren und ein Statement of Applicability zu begründen;
- eine Sicherheitsrichtlinie und untergeordnete Anweisungen strukturiert zu verfassen;
- den BSI IT-Grundschutz dem ISO-27001-Ansatz gegenüberzustellen und Brücken zu bauen;
- eine ISMS-Roadmap für ein Fallunternehmen zu entwerfen;
- typische CISO-Tätigkeiten (interne Audits, Incident-Steuerung, Management-Reporting) anhand realistischer Szenarien durchzuführen.
Literatur
- Kersten, H. / Klett, G. / Reuter, J. / Schröder, K.-W.: IT-Sicherheitsmanagement nach der neuen ISO 27001, Springer Vieweg, 2023.
- Calder, A.: Implementing the ISO/IEC 27001:2022 ISMS Standard, IT Governance Publishing, 2023.
- Klipper, S.: Information Security Risk Management, Springer Vieweg.
Dozentinnen / Dozenten
Empfohlene Vorkenntnisse
-
Bachelor-Kenntnisse in IT-Sicherheit; Grundverständnis Risiko-Management hilfreich (wird in Kompaktform aufgefrischt).
Daten zum Modul
| Semester |
1/2 |
| Unterrichtssprache |
Deutsch |
|
Häufigkeit
|
Sommersemester
Nur für Master (CSM)
|
| Kreditpunkte |
5 |
| Modulverantwortlich |
Prof. Dr. Sachar Paulus |
| Dauer |
1 Semester |
| Studienleistung |
Keine |
| Prüfungsvorleistung |
Keine |
| Prüfungsleistung |
Continuous Assessment (CA) |
Semesterwochenstunden
| Vorlesung |
2 SWS |
| Projekt |
2 SWS |
| Summe |
4 SWS |
Arbeitsaufwand (work load)
| Vorlesung |
45 h |
| Labor |
25 h |
| Selbststudium |
40 h |
| Projekt |
40 h |
| Summe |
150 h |