Modul 3: IT-Security-Auditor

Die Unternehmensleitung fordert von den IT-Verantwortlichen verlässliche Informationen und verständlich aufbereitete Berichte über die Wirksamkeit und Effizienz des ISMS (Information Security Management System). Für ein zertifiziertes ISMS ist die interne Auditierung sogar verpflichtend. Um diesen Ansprüchen gerecht zu werden, benötigen IT-Sicherheitsbeauftragte umfassende Kenntnisse über Sicherheitsaudits, deren Vorbereitung, Durchführung und Dokumentation sowie über Möglichkeiten zur Optimierung des IT-Sicherheitsniveaus in ihrem Unternehmen. Nur so können sie Zustand und Niveau der IT-Sicherheit im Unternehmen überwachen und auf Risiken bzw. drohende Gefahren frühzeitig hinweisen.

Ihr Nutzen
Anhand praktischer Beispiele erfahren Sie, wie Sie ein internes IT-Sicherheitsaudit vorbereiten, planen, durchführen und dokumentieren. Sie kennen bewährte Audit-Verfahren und können Interviews, Dokumentenprüfung und Vor-Ort-Sichtung fachgerecht durchführen. Sie wissen, wie Sie die Ergebnisse eines IT-Sicherheitsaudits bewerten und notwendige Korrektur- und Verbesserungsmaßnahmen verfolgen.

Leitende beziehungsweise verantwortliche Personen aus den Bereichen IT-Sicherheit, IT-Organisation, Qualitätsmanagement, IT-Beratung sowie IT-Sicherheitsbeauftragte, IT-Managementbeauftragte und Projektleiter im Bereich IT-Sicherheit.

Vorbereitung des Audits
- Rechtliche und organisatorische Rahmenbedingungen eines Audits
- Der Auditprozess gemäß ISO 19011
- Auditphasen Stage-1 (Dokumentenprüfung) und Stage-2 (Verifizierung vor Ort)
- Festlegung von Auditobjekten
- Zieldefinition des Audits
- Das Audit und der PDCA-Zyklus
- Auswahl von Sicherheitsstandards
--- ISO/IEC 27001 auf Basis von IT-Grundschutz
--- ISO/IEC 27001:2013
- Erstellung des Auditplans
- Erstellen eines Audit-Anforderungskatalogs
- Erstellung des Fragenkatalogs
Durchführung des Audits
- Dokumentenprüfung (Stage 1)
- Interviews
--- Fragetechniken
--- Gesprächsführung im Audit
--- Dokumentation
- Verifizierung vor Ort (Stage 2)
--- Audit-Werkzeuge
--- Technische Tests
--- Technische Auditunterstützung
- Auswertung des Audits
- Aufbau eines Auditreports
- Risikogerechte Darstellung von gefundenen Schwachstellen
- Maßnahmen / Vorschläge
- Management Review und Auditergebnisse

Abschluss
Die Prüfung wird von der unabhängigen Personenzertifizierungsstelle PersCert TÜV von TÜV Rheinland abgenommen. Nach bestandener Prüfung erhalten Sie von PersCert TÜV ein Zertifikat, das die Qualifikation als "IT-Security-Manager (TÜV)" bescheinigt. PersCert TÜV dokumentiert die Anforderungen an Ihren Abschluss auf der weltweit zugänglichen Internetplattform www.certipedia.com unter dem Prüfzeichen mit der ID 0000006510. Nutzen Sie das Prüfzeichen mit Ihrer individuellen ID als Werbesignet zu den unter www.tuv.com/perscert dargestellten Bedingungen. Stärken Sie mit Ihrer dokumentierten Qualifikation das Vertrauen bei Kunden und Interessenten.

Kosten für die Prüfung: 215, 00 EUR zzgl. MwSt.

Die Teilnahme an der Prüfung zum "IT-Security-Auditor" setzt die Abschlüsse der Module "31110 Modul 1: IT-Security-Beauftragter" und "31112 Modul 2: IT-Security-Manager" voraus.

Es sind keine besonderen Voraussetzungen erforderlich. Die Teilnahme an der Prüfung zum "IT-Security-Auditor" setzt die Abschlüsse der Module "31110 Modul 1: IT-Security-Beauftragter" und "31112 Modul 2: IT-Security-Manager" voraus.