Embed Size (px)
Citation preview
C I S - I h r S t anda rd f ü r S i c h e rhe i t
Informationssicherheit Z e r t i f i z i e r ungen na ch I SO 27001
s c hü t z t da s HERZs chü t z t da s HERZ
I h r e s Un t e r nehmens I h r e s Un t e r nehmens
CIS - Ihr Standard für Sicherheit!
Der Boom im Bereich Informationssicherheit hat auch die
Nachfrage nach einer international anerkannten Zertifi-
zierung hervorgebracht. Als Markttrend kristallisiert sich
heraus, dass Dienstleister und Zulieferer ihren Auftragge-
bern regelmäßig ein hohes Niveau an Informationssicher-
heit nachweisen müssen. Zudem benötigen Unternehmen
für die immer komplexeren Security-Anforderungen ein
prozessorientiertes Managementsystem, mit dem sich
Informationssicherheit nicht nur erreichen, sondern auch
kontrollieren und ständig weiterverbessern lässt.Vor diesem Hintergrund etablierte sich innerhalb weniger
Jahre weltweit eine neue Norm für Informationssicherheit:
Der international anerkannte Standard für Informations-
SicherheitsManagementSysteme (ISMS) ISO 27001 gilt
derzeit als das effizienteste und umfassendste Manage-
mentinstrument für Industrie- und Dienstleistungsunter-
nehmen jeder Größenordnung.In Österreich ist die CIS - Certification & Information
Security Services GmbH die erste Adresse für ISO-Zerti-
fizierungen. Als akkreditierte Zertifizierungsgesellschaft
bietet die CIS auch Information-Security-Ausbildungen an,
die mit einem staatlich anerkannten Zertifikat abschlie-
ßen. Die Auditoren und Trainer der CIS erfüllen höchste
Anforderungen durch die Verknüpfung von Technologie- und Managementkompetenz.Seit ihrer Gründung im Jahr 2002 konnte die CIS nicht
nur in Österreich die Marktführerschaft übernehmen,
sondern auch strategische Partnerorganisationen in
verschiedenen Ländern der Welt aufbauen wie in Ungarn,
Italien, China, Uruguay oder Liechtenstein.
Von Großbanken bis zur kleinen Softwarefirma erleben
wir eine rege Nachfrage nach Informationssicherheit mit
„geprüfter Qualität“. Denn immer mehr Führungskräfte betrachten die Einführung professioneller Informations-
SicherheitsManagementSysteme nicht als Kostenfaktor,
sondern als Vorleistung – zum Schutz der Lebensader des
Unternehmens.
Kontaktieren Sie uns – gerne stehen wir für ein
unverbindliches Informationsgespräch zur Verfügung!
E r i c h S c h e i b e rC I S - G e s c h ä f t s f ü h r e r
CIS-Leistungen im Überblick:
. Zertifizierung von Unternehmen
. Stage-Reviews
. Ausbildungen IS-Manager/IS-Auditor
. Inhouse-Trainings
Informationen sind
der wertvollste Teil des
immateriellen Betriebsvermögens:
unbezahlbar, unermesslich und –
oft unersetzlich.
CIS CISCIS CIS - Ihr Standard für Sicherheit!CIS - Ihr Standard für Sicherheit!- Ihr Standard für Sicherheit - Ihr Standard für Sicherheit!- Ihr Standard für Sicherheit - Ihr Standard für Sicherheit!
2Dürfen wir uns vorstellen... 222222222
„Hochkarätige“ Informationssicherheit mit System ist unsere Antwort auf unsichere Zeiten Dürfen wir uns vorstellen ...CIS – Ihr Standard für Sicherheit
Fakten zum Thema RisikoKennen Sie das ganze Risiko?
Der Security-Standard ISO 27001: ÜberblickInformation-Management mit System
Der Security-Standard ISO 27001: Aufbau Ein Standard erobert die Welt!
Zertifizierung von Unternehmen: AblaufDie Analyse – das Audit – der Erfolg!
Zertifizierung: Stimmen aus der PraxisEin Managementsystem mit Größe – auch für Kleine
Zertifizierung: integrierte ManagementsystemeIS und QM in einem System
Stage-Review: vom Status quo zum Quo vadis ...Der Security-Check für Ihr Unternehmen
Ausbildungen: MarkttrendsNeue Berufsbilder durch Information-Security-Boom
Ausbildungen: Überblick CIS-Lehrgänge IS-Manager und IS-Auditor
Inhouse-Trainings: secret & efficient Ihre CIS-Ausbildung nach Maß!
Der Security-Standard: VorteileZehn gute Gründe, warum sich „Sicherheit mit System“ rechnet!
2
3
4
5
6
7
9
10
11
12
13
14
Herausgeber : C IS Cer t i f i ca t ion & In fo rmat ion Secur i t y Serv i ces GmbH
Für den Inha l t ve ran twor t l i ch : E r i ch Sche iber , C IS -Ges chä f t s führe r
Konzep t und Tex t : Ga l l ey Pub l i c Re la t ions
Gra f ik : powerhouse
S tand: Februar 2007
ISMS: In fo rmat ionsS i cherhe i t sManagementSys tem
IS : In fo rmat ion Secur i t y
BS: Br i t i sh S tandard
ISO: In te rna t iona l S tandard Organ i sa t ion
QM: Qua l i tä t smanagement
Impressum
Abkürzungen
Inhalt
Kennen Sie das ganze Risiko?Strategische Informationssicherheit bringt verborgene Risikopotenziale ans Licht
Die Sicherheit von Informationen ist der „wunde Punkt“ in
vielen Unternehmen. Das betriebliche Risiko ist so viel-
schichtig, dass schon eine kleine Lücke in einem Informati-
onsSicherheitsManagementSystem ein offenes Einfallstor für
potenzielle Schädigungen darstellt, was ein Unternehmen
nachhaltig und dramatisch schädigen kann:
„50 Prozent aller Firmen, die wichtige Daten bei einer Kata-
strophe verloren haben, konnten sich nie davon erholen.
90 Prozent jener Firmen mussten in der Folge innerhalb
von zwei Jahren ihre Geschäftstätigkeit aufgeben.“
Center for Research on Information Systems, University of Texas
Fakten zum Thema Risiko33
Ob 10 Mitarbeiter oder 10.000, InformationsSicherheitsMa-
nagementSysteme (ISMS) sind für jede Unternehmensgröße
sinnvoll. Aber wie viel Sicherheit ist genug? Welche
Security-Maßnahmen minimieren die betrieblichen Risiken
zielgenau? Welche Kosten-Nutzen-Relation bringt optima-
le Ergebnisse?
Die Antwort ist ebenso simpel wie überzeugend – profitieren
Sie von den Erfahrungen anderer: Die weltweit gültige Norm
ISO 27001 ist ein erprobter Standard für Informationssicher-
heit, der mittlerweile in mehr als 30 Ländern der Welt von Industrie- und Dienstleistungsunternehmen erfolgreich
angewendet wird. Ein kleiner Auszug aus der Anwender-
Liste zeigt klingende Namen wie ABB, Canon, Ericsson,
Mitsubishi, Sony oder Unisys. Österreichische Unternehmen
berichten auf den Seiten 7 und 8 aus der Praxis.
Mehr als IT-Security: Auch Gebäudeschutz und Umgebungssicherheit werden von der prozessorientierten ISO-Norm abgedeckt
Security-Standard ISO 27001: Überblick
Information-Management mit System
Profitieren, von
den Erfahrungen anderer ...
Raiffeisen Informatik GmbH;
Michael Ausmann, IT-Security-Leiter:
„Mit dem Fokus der Norm ISO 27001 auf „Informationssi-
cherheit“ wird das Thema ganzheitlich betrachtet: Es werden
alle im Lebenszyklus der Informationen relevanten Faktoren
berücksichtigt – nicht nur die IT-Komponente.“
44
Risiko braucht Management
Von seinem Aufbau her ist der Standard ISO 27001/27002
ein prozessorientiertes Managementsystem, das einen
sicheren Rahmen für die Implementierung eines umfas-
senden ISMS bietet – und inhaltlich weit über die reine
IT-Sicherheit hinausgeht. Auch Infrastruktur-, Gebäude- und
Umgebungssicherheit mit allen praktischen Aspekten vom
Alarmsystem über Brandschutz bis hin zu Zutrittskontrollen
werden von der internationalen Security-Norm abgedeckt.
Durch die Messbarmachung von Informationssicherheit anhand von Kennzahlen wird laufendes Controlling und
ständige Weiterverbesserung des Information-Security-
Systems ermöglicht.
Derzeit können Sie Unternehmen nur schwer gegen Informa-
tionsverlust versichern. Aber Sie können das Informations-
system Ihres Unternehmens gegen Verlust sichern.
Hardwareversagen- Serverausfall blockiert den Betrieb
I-Security – die große Unbekannte?
Die starke Vernetzung der Welt, E-Commerce, globale Virus-
attacken, aber auch Katastrophen wie Überschwemmungen
oder Terrorakte haben die Notwendigkeit von hochkarätigen
Managementsystemen für Informationssicherheit drastisch
verdeutlicht. Risikoevaluierung und -minimierung sind
Kernpunkte einer effektiven Sicherheitspolitik. Die Informa-
tion-Security-Norm ISO 27001 liefert erprobte Bewertungs-
methoden und Sicherheitsmaßnahmen, die den Aufbau von
strategischen ISMS ermöglichen und verborgene Mängel an
das Licht bringen.
Softwareversagen- Virus verursacht System-Crash- versteckte Programmierfehler
blockieren Abläufe
Menschliches Versagen- vorsätzliche / fahrlässige Manipulation- Bedienungsfehler durch Unwissenheit
Katastrophenfälle- Rechenzentrum wird beschädigt- Datenbanken werden zerstört
Risikopotenzialeim Unternehmen
Foto: Raiffeisen Informatik Gm
bH
Maximale Transparenzfür optimale Sicherheit:
international anerkannte Methodenmachen das Security-System
für den Anwender„durchschaubar“.
Der britische Standard für Informationssicherheit, BS 7799, wurde 1995 von führenden
Wirtschaftsorganisationen ins Leben gerufen. Das effiziente Instrument zur Bewertung
und Weiterentwicklung von InformationsSicherheitsManagementSystemen (ISMS) verbrei-
tete sich schnell über die ganze Welt und war bald in mehr als 11 Sprachen erhältlich.
Success: Aus BS wird ISOIm Jahr 1998 wurde die Norm an die Anforderungen neuer Trends wie E-Commerce
oder Teleworking angepasst und im Jahr 2000 der erste Teil in ISO 17799 umgewan-
delt. Im Jahr 2005 folgte die Ablöse des zweiten Teils durch ISO 27001. Bald darauf
wird auch ISO 17799 in die neue Normenreihe integriert und heisst ISO 27002.
Der Standard hat Methode ...ISO 27001: Zertifizierungsnorm mit Spezifikationen für ISMS
ISO 27002: Implementierungsleitfaden für Management von Informationssicherheit
ISO 27001 beinhaltet die Mindestanforderungen an ein ISMS für die Zertifizierung.
Der Implementierungsleitfaden ISO 27002 (ISO 17799) beinhaltet Informationen zu
rund 130 Sicherheitsmaßnahmen. Der Standard erlaubt Organisationen, Informations-
sicherheit zu messen und ISMS zur Selbstprüfung intern zu auditieren sowie durch
eine unabhängige dritte Partei überprüfen zu lassen – was zur ISO-Zertifizierung führt.
Mit der ISO-Normenreihe setzen Sie ein Werkzeug mit einer umfassenden Auswahl an
Kontrollmechanismen ein, das auf internationalen Best-Practice-Methoden basiert. So
erreichen Sie optimale Sicherheit bei maximaler System-Transparenz.
Information: Ein Erstgespräch mit der CIS liefert Details über den Zertifizierungsprozess. Es
folgen Registrierung und Projektplanung.
Analyse: Evaluierung der Informationsrisiken und Bewertung vorhandener Sicherheitsmaßnahmen
durch das Unternehmen. Die CIS als unabhängige Prüfstelle ist nicht involviert.
Implementierung: Einführung von Sicherheitsmaßnahmen nach dem strategischen Aufbau der
Norm ISO 27001 / ISO 27002. Die CIS als unabhängige Prüfstelle ist nicht involviert.
CIS-Stage-Review (freiwillige Vorbeurteilung): Auf Wunsch überprüft die CIS projektbeglei-
tend die Zweckmäßigkeit und Effizienz der implementierten ISMS-Elemente.
CIS-System-&-Risk-Review (Vorbegutachtung): Die CIS begutachtet die Interpretation der
Normforderungen sowie die ISMS-Dokumentation. Mängel und Verbesserungspotenziale werden in
einem Kurzbericht festgehalten. So sind Sie auf das Certification-Audit bestens vorbereitet.
CIS-Certification-Audit: Der CIS-Auditor überprüft das neue Sicherheitssystem durch multiple
Stichproben auf allen Ebenen der Organisation. Ein Abschlussbericht zeigt zukünftige Verbesse-
rungspotenziale auf. Das Framework der ISO 27001 gewährleistet, dass kein Baustein vergessen
und kein Schlupfloch übersehen wurde.
CIS-Licence: Mit der „Certificate Issuance & Right to Use Licence“ erwerben Sie den 3 Jahre
gültigen Konformitätsnachweis – das CIS-Zertifikat, welches die Qualität des ISMS auch für Ihre
Kunden sichtbar macht.
CIS-Surveillance-Audit: Das einmal pro Jahr durchgeführte Surveillance-Audit überprüft die
Effektivität des gesamten ISMS sowie seine ständige Verbesserung.
CIS-Recertification-Audit: Nach 3 Jahren kann das abgelaufene Zertifikat erneuert werden.
Tectraxx, Ernst Wiener,
IS- und QM-Manager:
„Schon die Ankündigung, dass
wir ein Sicherheitssystem nach
ISO 27001 einführen, hat sich als
wesentlicher Unterschied zum Mit-
bewerb erwiesen. Unsere Kunden
– von Nokia bis Siemens – sind
sehr daran interessiert, dass ihr
Dienstleister diesen Sicherheits-
standard erfüllt.“
Ein Standard erobert die WeltSecurity-Standard ISO 27001: Aufbau55
Stationen einer hochsicheren Strategie
Zertifizierung von Unternehmen: Ablauf
Die Analyse – das Audit – der Erfolg
66
Elemente der ISO 27001:
1. Sicherheitspolitik
2. Sicherheitsorganisation
3. Klassifizierung und Überwachung der Anlagen und Bestände
4. Personelle Sicherheit
5. Physische und umgebungsbezogene Sicherheit
6. Management der Kommunikation und Betriebsabläufe
7. Zugriffsüberwachung
8. Systementwicklung und -wartung
9. Incident Management
10. Geschäftskontinuitätsplanung
11. Einhaltung der Verpflichtungen
Die Historie der Sicherheitsnorm gleicht einer Erfolgsgeschichte,die Normelemente basieren auf Best-Practice-Modellen
Sicherer Rahmen, individuelles Design. Mit dieser Kurzformel lässt sich die Grundidee der ISO 27001
skizzieren: Das umfassende Framework des Standards ermöglicht die Einführung eines ISM-Systems
aus „einem Guss“. Probleme, die durch schrittweise Implementierung von Einzelmaßnahmen entstehen,
werden so vermieden. Die Security-Norm eignet sich für jede Unternehmensgröße, da eine anfängliche
Risikoanalyse den individuellen Sicherheitsbedarf definiert.
Das CIS-Zertifikat
macht das Niveau des
Sicherheitssystems
für Ihre Kunden
sichtbar - ein Wett-
bewerbsvorteil, der
überzeugt.
Ein Managementsystem mit Größe – auch für KleineÜber den praktischen Nutzen eines „geprüften“ Security-Systems herrscht bei den
Anwendern Einigkeit - lesen Sie selbst:
Zertifizierung: Stimmen aus der Praxis 8877
Dr. Albert Felbauer, Geschäftsführer:
„Wir haben die Zertifizierung angestrebt, weil diese Norm ein
Maximum an Sicherheit bietet. Bei Ausschreibungen legen wir
das Zertifikat nach ISO 27001 bei und ersparen uns zusätzliche
Nachweise für Informationssicherheit – ein echter
Wettbewerbsvorteil.“
Siemens IT Solutions and Services, Wien, beschäftigt mehr als 1.200 Mitarbeiter und ist
Marktführer für IT-Services in Österreich. Siemens IT Solutions and Services
Mag. Hartmut Müller, Geschäftsführer:
„Mit der ISO 27001 setzen wir ein Werkzeug mit einer
umfassenden Auswahl an Kontrollmechanismen ein, das auf
internationalen Best-Practice-Methoden basiert. Die damit
verbundene Signalwirkung bewirkt auch einen Vertrauensbonus
bei unseren Kunden.“
Die Raiffeisen Informatik GmbH, Wien, mit rund 750 Mitarbeitern ist der zweitgrößte
IT-Services-Anbieter in Österreich.
Dipl.-Ing. Norbert Schlechl, Head of IT:
„Das Zertifikat nach ISO 27001 bescheinigt uns ein weltweit
konkurrenzfähiges Niveau unserer IT- und Informationssicherheit.
Dadurch lässt sich unsere Osteuropa-Expansion beschleunigen. Zudem
erzielen wir Vorteile bei Bewertungen durch Rating-Agenturen und
sind für Basel-II-Anforderungen im IT-Bereich bestens gerüstet.“
Die Kommunalkredit Austria AG, Wien, beschäftigt rund 250 Mitarbeiter und ist mit dem Schwerpunkt
Public Finance die siebtgrößte Bank Österreichs.
Dipl.-Ing. Roland Jabkowski, MBA, Geschäftsführer:
„Unser Security-System umfasst neben IT-Sicherheit auch orga-
nisatorische und bauliche Aspekte. Diese komplexen Zusam-
menhänge werden durch ein ISMS nach ISO 27001 messbar
und kontrollierbar. Die laufende Weiterentwicklung unserer
Sicherheitsprozesse wird jährlich mittels Zertifikat bestätigt.“
Das Bundesrechenzentrum, Wien, mit über 1.000 Mitarbeitern ist IT-Dienstleister und
marktführender E-Government-Partner der österreichischen Bundesverwaltung.
Mag. Dr. Franz Semmernegg, Vorstand:
„Durch die unabhängige Begutachtung der CIS werden mögliche
verborgene Mängel an unserem Sicherheitssystem erkannt und
behoben. Das primäre Ziel unserer Zertifizierung nach
ISO 27001 sehen wir jedoch darin, unseren Kunden einen
international anerkannten Sicherheitsstandard zu bieten.“
Kapsch BusinessCom beschäftigt über 760 Mitarbeiter und gehört zu den führenden
Anbietern von Kommunikations-, Netzwerk- und IT-Lösungen in Österreich.
Dipl.-Ing. Josef Weber, Leiter Service & Network Operations:
„Wir haben erkannt, dass Informationssicherheit für unsere
Geschäftstätigkeit eine enorme Bedeutung hat und wir eine
strukturierte Vorgangsweise für die komplexen Abläufe benötigen.
Bei Ausschreibungen macht das Zertifikat nach ISO 27001 einen
klaren Unterschied zum Mitbewerb.“
Die Telekom Austria AG, Wien, beschäftigt rund 15.500 Mitarbeiter und ist Österreichs
größter Anbieter von Telekommunikation, Internet- und IT-Services.
Durch seine Flexibilität und Technologieunab-hängigkeit stellt der
Security-Standard ISO 27001 ein umfas-
sendes Rahmenwerk dar, das von Unterneh-
men und Organisati-onen beliebiger Größe in allen Industrie- und
Geschäftsbereichen ein-gesetzt werden kann.
Der wahre Nutzen eines Managementsy-stems zeigt sich aber bei seiner Umsetzung
in der Praxis. Und hier herrscht bei den Anwendern Einigkeit.
I S und QM in e inem Sys tem
Immer mehr Unternehmen nutzen die Synergien zwischen den verschiedenen
ISO-Standards und fassen die einzelnen Aspekte für Informationssicherheit, Qualität
oder Umwelt zu einem integrierten Managementsystem für das gesamte Unternehmen
zusammen. Die Vorteile sprechen für sich:
• Vereinfachtes Handling, Übersichtlichkeit und Transparenz
• Ein gemeinsames Audit für mehrere Systeme entlastet die oberen Führungsebenen
• Eine gemeinsame Dokumentation umfasst alle Management- und Businessprozesse
• Ersparnis von Kosten und Zeitaufwand durch Nutzung von Synergien
Die Standards für Informationssicherheit (ISO 27000), Qualitätsmanagement (ISO
9000) und Umweltmanagement (ISO 14000) weisen ähnliche Strukturen auf und stellen in vielen Punkten dieselben Anforderungen, wie zum Beispiel in der
• Verantwortlichkeit des oberen Managements,
• Systematik der Dokumentation,
• Zielsetzung der ständigen Verbesserung,
• Einhaltung der Vorgaben,
• Wartung und dem Betrieb der Systeme.
Die CIS berät Sie gerne über Möglichkeiten der Auditierung von integrierten
Managementsystemen.
Der Markttrend geht in Richtung
integrierte Managementsysteme, die
Aspekte wie Sicherheit, Qualität,
Umwelt oder auch übergeordnete
Prozesse wie Planung und
Strategiefindung vereinen
Zertifizierung – integrierte Managementsysteme99
Siemens IT Solutions and Services;
Dr. Elisabeth Stiller-Erdpresser
Leiter Security-Services:
„Unser Managementsystem umfasst alle
prozessorientierten Systeme wie IS und QM sowie
Planungs- und Strategiefindungsprozesse. Diese
Vereinheitlichung bringt spürbare
Zeit- und Kostenersparnis.“
Brennercom; Christian Weithaler,
Qualitäts- und IS-Manager:
„Wir haben die Standards für Informationssicher-
heit und Qualitätsmanagement zusammengelegt.
Bei beiden geht es um eine effiziente Organi-
sation unter Einbindung des Managements. Die
Ergebnisse geben uns Recht!“
Auf welchem Niveau befindet sich die Informationssicher-
heit im Unternehmen und was können Sie verbessern?
Ein Stage-Review gibt Aufschluss über den Status quo von
ISMS und zeigt detailliert die Stärken, Schwächen und
Verbesserungspotenziale nach den Anforderungen der
ISO 27001 auf.
Ein Stage-Review wird von unabhängigen CIS-Auditoren
durchgeführt und ist besonders in der Implementie-rungsphase von ISMS empfehlenswert. Denn ein Zuwe-
nig an Sicherheit kann genauso unwirtschaftlich sein, wie
ein Zuviel. Das CIS-Stage-Review eignet sich daher gut als
Projekt-Fortschrittsüberwachung. Zur Durchführung einer Ist-Analyse im Rahmen eines
Stage-Reviews werden die individuellen Risiken abhängig
von der Firmengröße und Branche, die vorhandenen
Stage-Reviews bestimmen die Güte eines ISM-Systemsund beleuchten das Verbesserungspotenzial
Stage-Review: vom Status quo zum Quo vadis ... 1010
Der Security-Checkfür Ihr Unternehmen
Ein Zuwenig
oder ein Zuvielan S I C H E R H E I T
kann teuerwerden!
Das CIS-Stage-Review
. Auditplanung: garantiert eine ökonomische Abwicklung
. Audit: Evaluierung von Risiken, Stärken/Schwächen und IS-Potenzial
. Auditbericht: Details über Stärken/Schwächen und Verbesserungsmöglichkeiten
Sicherheitseinrichtungen sowie organisatorische
Security-Maßnahmen evaluiert und dem Anforderungs-
profil nach ISO 27001 gegenübergestellt. Das Ergebnis ist
ein Auditbericht, der eine umfassende Stärken-Schwä-chen-Beurteilung sowie konkrete Verbesserungsmöglich-
keiten liefert. Für Unternehmen, die eine Zertifizierung
nach ISO 27001 anstreben, erweist sich ein Stage-Review
oft als wichtiger Meilenstein auf dem Weg.
Johannes Mariel, IT-Leiter Bundesrechenzentrum:
„Beim Aufbau eines Managementsystems für Informations-
sicherheit bietet das Stage-Review dem Projektteam geplante
Kontrollpunkte, an denen die Angemessenheit der Maßnahmen
geprüft wird. Diese Zwischenbeurteilung steigert die Motivation
und liefert zusätzliche Anregungen.“
Neue Berufsbilder durch Information-Security-Boom
Der Information-Security-Boom bringt in vielen Indus-
trienationen neue Berufsbilder hervor. Ähnlich wie sich
vor einigen Jahren – als Folge der ISO-9000-Welle – der
Qualitätsmanager als neue Qualifikation durchgesetzt hat,
etablieren sich nun der Information-Security-Manager und
der Information-Security-Auditor als neue Berufsbilder in
der Wirtschaft.
Hintergrund für diese Entwicklung ist der Trend bei den
Unternehmen, InformationsSicherheitsManagementSysteme
nach dem Security-Standard ISO 27001 aufzubauen. Die
Länder mit den meisten Zertifizierungen sind: Japan, Groß-
britannien und Deutschland, gefolgt von Italien, Finnland,
Ungarn, USA, Irland und – seit 2003 auch Österreich.
In Österreich ist die CIS marktführender Anbieter von IS-Ausbildungen.
Der strategische Schachzug für Ihre Karriere: IS-Manager und IS-Auditoretablieren sich als staatlich anerkannte Qualifikationen
Sicherheit gehört vielfach bereits zu den wichtigsten
Unternehmenszielen. Die CIS-Ausbildungen für IS-Manager
und IS-Auditoren begegnen diesen höchsten Anforderungen
und liefern detailliertes Fachwissen, das zum erfolgrei-
chen Aufbau, Betreiben und Weiterverbessern von ISMS
erforderlich ist.
Durch die Akkreditierung der CIS schließen die Ausbildun-
gen zum IS-Manager und IS-Auditor mit einem staatlich anerkannten Zertifikat ab. In der nationalen wie auch
internationalen Wirtschaft genießen die Ausbildungen hohes
Ansehen, da sie ganz auf die weltweit erprobte Security-
Norm ISO 27001 ausgerichtet sind.
Die Lehrgänge vermitteln Wissen über die Norm mit Aspek-
ten wie Security-Policy, Risk-Management oder Busi-ness-Continuity-Planning. Auch Managementfragen, recht-
liche Grundlagen und Psychologie gehören zum Lehrplan.
Hilfreich für ein erfolgreiches Absolvieren der Prüfungen ist
Berufserfahrung entweder im Bereich Informationssicherheit
und/oder im Bereich Qualitätsmanagement.
Die Top-Trainer der CIS bieten eine optimale Kombi-
nation aus theoretischem Fachwissen und praktischen
Erfahrungen. Denn alle CIS-Trainer sind hauptberuflich im
Bereich Informationssicherheit tätig und entwickeln ihre
Erfahrungen ständig weiter.
Detaillierte Informationen über die Lehrgänge IS-Manager
und IS-Auditor finden Sie auch auf der CIS-Homepage.
Auf Wunsch senden wir Ihnen auch gerne die Broschüre „CIS-Ausbildungen für Information-Security“ zu.
Ausbildungen: Markttrends1111
Strategisches Zeugnis: Absolventen erhalten
das staatlich anerkannte CIS-Zertifikat
CIS - Lehrgang IS -Manager
Information-Security-Manager ist ein Berufsbild mit Zukunft. Mit Ihrer
Führungs- und Technologiekompetenz nehmen Sie eine zentrale Position im
Unternehmen ein. Sie betreuen die Implementierung und ständige Verbesserung
von ISMS und fungieren als Schnittstelle zwischen der obersten Führungsebene
und den operativen Bereichen.
Entsprechend umfassend sind die Ausbildungsinhalte. Der Lehrgang umfasst drei
Module, die auch unabhängig voneinander besucht werden können:
. Die Normen ISO 27001 / ISO 27002 (17799)
. Psychologische Grundlagen
. Rechtsgrundlagen
Die Teilnahme an allen drei Seminaren ist Voraussetzung für das Absolvieren der
Prüfung. Der erfolgreiche Abschluss wird Ihnen mit dem staatlich anerkannten CIS-Zertifikat bescheinigt, das auch international anerkannt ist.
Ausbildungen: Überblick 1212
CIS - Lehrgang IS -Aud i to rWerden Sie zur „obersten Instanz“ für Informationssicherheit!
Der Lehrgang zum IS-Auditor ist die ideale Ergänzung für ausgebildete IS-Ma-
nager. Denn Sie können interne Audits selbst durchführen und Ihre Firma
optimal auf externe Audits vorbereiten. Sie sind die „oberste Instanz“ für ISMS im Unternehmen, beurteilen das System
auf seine Normkonformität hin und zeigen Verbesserungspotenziale auf, bevor ein CIS-Zertifikat verliehen oder verlängert wird.
Der Lehrgang für IS-Auditoren besteht aus einer Einstiegsprüfung und zwei
Modulen:
. Technische Einstiegsprüfung
. Psychologische Grundlagen
. Audittechniken
Um ein hohes Qualifikationsniveau der Auditoren zu gewährleisten, ist ein
gültiges IS-Manager-Zertifikat Teilnahmevoraussetzung. Die Ausbildung schließt
mit dem staatlich anerkannten CIS-Zertifikat „IS-Auditor“ ab und eröffnet vielfäl-tige Berufschancen in einem wachsenden Markt.
Die ISMS-Normen ISO 27001-270022 Tage
Psychologische Grundlagen für IS-Manager1 Tag
Rechtsgrundlagen für IS-Manager1 Tag
Prüfung IS-Manager1 Stunde
Zertifikat IS-Manager
TechnischeEinstiegsprüfung
Psychologische Grundlagen für IS-Auditoren*2 Tage
Audittechniken1 Tag
Prüfung IS-Auditor1 Stunde
Zertifikat IS-Auditor
* Dieser Teil ist durch die Ausbildung zum ÖVQ-Auditor oder ÖVQ-Fachauditor abgedeckt.
Ein Technologieexperte mit Führungsqualitäten
Ihre CIS-Ausbildung nach Maß!
Die internationale Information-Security-Norm ISO 27001
• bringt eine optimale Kosten-Nutzen-Relation,
• vermeidet die Fehler von Einzelmaßnahmen,
• macht Informationssicherheit messbar und kontrollierbar,
• bewirkt eine ständige Verbesserung der Informationssicherheit,
• bringt echte Wettbewerbsvorteile durch das anerkannte Zertifikat,
• umfasst neben IT-Security auch Gebäude- und Umgebungsaspekte,
• lässt sich mit anderen ISO-Normen zu einem System vereinen,
• basiert auf internationalen Best-Practice-Modellen,
• passt für jede Unternehmensgröße und Branche,
• bringt verborgene Risiken ans Licht.
...warum sich „Sicherheit mit System“ rechnet
CIS - Ihr Standard für Sicherheit
Rechnen Sie mit uns
Die effizienteste aller Ausbildungsmöglichkeiten ist immer noch Lernen im eige-
nen Haus, im Kreis von Kollegen und Vorgesetzten, anhand der Fallbeispiele aus dem eigenen Arbeitsbereich. Daher werden die CIS-Lehrgänge IS-Manager und IS-Auditor auch als Inhouse-Variante angeboten, wobei Sie entweder den gesamten Lehrgang oder
einzelne Module buchen können. Darüber hinaus bietet die CIS nach Absprache
auch Trainings zu Spezialthemen rund um Informationssicherheit an.
Mit Inhouse-Trainings bietet die CIS eine attraktive Ausbildungsalternative. Vor allem für größere Unternehmen kann diese Trainingsform kostengünstiger
und effektiver sein. Gleichzeitig wird gewährleistet, dass Firmen-Know-how
nicht nach außen gelangt.
Customizing wird bei der Inhouse-Ausbildung groß geschrieben: Die Inhalte
werden auf die individuellen Anforderungen des Unternehmens zugeschnitten
und während des Trainings kann gezielt auf unternehmensspezifische Fragen
eingegangen werden.
Unsere Trainer, selbst alle im Bereich Informationssicherheit in der Wirtschaft
tätig, verbinden theoretisches Fachwissen mit ständig weiterentwickelter Erfah-
rung aus der Praxis und können wertvolle Tipps für spezifische Situationen weitergeben.
Unser Ziel ist, anwendungsorientiertes Wissen zu vermitteln, das Sie unmittelbar
in Ihrem Arbeitsumfeld einsetzen können!
Wissen aus erster Hand:Inhouse-Trainings begegnen denindividuellen Anforderungen des
Unternehmens zielgenau
13
Die Formel für den
persönlichen Erfolg heisst INHOUSE:
INput = Highest OUtput > Secret + Efficient
Inhouse-Trainings: secret & efficient
10 gute Gründe...10 gute Gründe...10 gute Gründe...10 gute Gründe...
C I S - I h r S t anda rd f ü r S i c h e rhe i t
i s t e r f o l g r e i c h . . .
. . . wenn I n f o rma t i on immer i n d i e
r i c h t i g en Hände ge l ang t .
CIS - Cer t i f i ca t ion & In fo rmat ion Secur i t y Serv i ces GmbHA -1010 W i en . Gonzagaga s s e 1/25 . T : ( +43 ) - 1 - 532 98 90 . F : ( +43 ) - 1 - 532 98 90 - 9
E -Ma i l : o f f i c e@c i s - c e r t . c om . Web : www . c i s - c e r t . c om . FN 206298 f be im HG W i en . DVR : 1077864
Informationssicherheit
