Was ist Informationssicherheit und wie setzt man diese um? IT-Sicherheitsleitlinie und jetzt? Informationssicherheit in Behörden scheint ein komplexes Thema zu sein, dass Verwaltungshandeln und IT-Organisation zusammen bringt. Der IT-Sicherheits-beauftragte unterstützt die Fachbereiche und die Leitungsebene bei der Aufgabe von Planung und Umsetzung dieses Thema. Er ist Ansprechpartner bei allen Fragen zur Informationssicherheit und soll ein höheres Sicherheitsbewusstsein auf allen Ebenen und Hierarchien schaffen. Dienstanweisungen und Richtlinien regeln den Rahmen seines Handelns. Diese sind in den meisten Behörden in normale Umgangssprache zu übersetzten.
Wie erkennt man diese Richtlinien und was kann man tun? Ein IT-Sicherheits-beauftragter erstellt daneben Sicherheitskonzepte und konzipiert Schulungs- und Sensibilisierungsprogramme für Informationssicherheit. Er arbeitet auf Projektebenen an komplexen Strukturen mit und dient als Ansprechpartner der Mitarbeiter. Dabei muss er sich immer wieder fragen, was er erreichen will.
Teilnehmer dieses Seminars eignen sich Methoden an, mit dem sie den Informationsschutz in ihrem Verantwortungsbereich vermitteln können. Die Schwerpunkte liegen in den Bereichen Gewinnung und Auswertung von Informationen und zielgerichteten Verarbeitung um operative Informationssicherheit zu gewährleisten. Die Erstellung eines Sicherheitskonzeptes und Risikoanalyse nach den BSI-Standards 100-1 bis 100-3 wird besprochen. Beispiele zur thematischen Herangehensweise werden gegeben.
Dieses Seminar richtet sich an Führungskräfte und verantwortliche Personen aus den Bereichen IT-Sicherheit, Informationstechnologie, Netz- und Systemadministration, IT-Organisation, IT-Beratung und Risikomanagement.
Themenüberblick 1. Tag, 09:30 - 18:00 Uhr:
Der „IT-Sicherheitsverantwortliche“ und seine Rolle in der Behörde
- Rollen, Verantwortung, Kompetenzen und Befugnisse
- Welches Maß an Informationssicherheit soll erreicht werden?
- Wie soll dies erreicht werden?
- Planung und Begleitung sicherheitstechnischer Projekte
Grundschutz in der Behörde
- Vorgehensmodelle: ISO 27001, BSI-Standards 100-1, 100-2 und die neuen Standards 200-1 und 200-2
- Strukturanalyse – Wer liefert Informationen?
- Risiken erkennen, bewerten und behandeln
- Technische und organisatorischer Maßnahmen
- Mitarbeiterverantwortung am Arbeitsplatz
Methoden
- Grundlagen und Methodik der Projektarbeit in der IT
- Was sind Prozesse?
- Wechselwirkung Strukturanalyse und Prozesse
- Tools und Hilfsmittel
Was sagt die IT-Sicherheitsleitlinien?
- Informationsschutz messbar machen
- Informationsschutz durch Kommunikation
- Sensibilisierung und Schulung
- Faktor Mensch
- Praxisbeispiele
Themenüberblick 2. Tag, 08:30 - 17:00 Uhr:
Nutzen des IT-Grundschutzes in der Praxis
- Bausteine
- Maßnahmen
- Ergänzende Sicherheitsanalyse
Welche Risiken gibt es in der Informationssicherheit?
- Bundesamt für Sicherheit in der Informationstechnik-Standard 100-3 / 200-3
- Schnittstellen in der Organisation identifizieren
- Erkennen von Risiken
- Wechselwirkung Risikomanagement und Notfallmanagement
Cybersicherheit
- Sicherheitswarnungen, BSI, Landes-CERTs und andere Dienstleister.
- IT-Sicherheitsorganisation und der Umgang mit Sicherheitsvorfällen
- Behandlung von Sicherheitsvorfällen im laufenden Betrieb
- Lehren aus Sicherheitsvorfällen
- Initiativen und Verbündete
Abschluss und Zusammenfassung
- Hype-Themen und Trends in der Informationssicherheit
- Klärung von offenen Fragen
- Netzwerk