Audit Security Governance Risk Management Internationale Zertifikate CISA, CISM, CGEIT und CRISC. Top-Kurse zu aktuellen Themen. Kursübersicht

Transkript

1 ISACA Switzerland Chapter ISACA ist ein weltweites Netzwerk von Spezialisten, die sich mit der Sicherheit, Kontrolle, Audit und Governance von Informations systemen befassen. Das 1988 gegründete Switzerland Chapter hat über Mitglieder und wurde für seine Dienstleistungen für die Mitglieder und die internationale Berufs gemeinschaft mehrfach ausgezeichnet, z.b. als «Best Very Large Chapter Worldwide» 2011 und 2012 sowie für die Webseite und die eigene Zeitschrift Auszeichnungen, welche die zahlreichen Freiwilligen zu weiteren Höchstleistungen anspornen. Interessieren Sie sich für Governance, Sicherheit, Risiko management oder Revision im Informatikumfeld? Werden Sie Mitglied! Weitere Informationen finden Sie auf Kursübersicht Audit Security Governance Risk Management Internationale Zertifikate CISA, CISM, CGEIT und CRISC Top-Kurse zu aktuellen Themen Juli bis Dezember 2013 ITACS Training AG

2 4 ITACS feierte 2012 das 20jährige Jubiläum als Ausbildungsanbieter ITACS Training AG Die ITACS Training AG ist der offizielle Ausbildungspartner des ISACA Switzerland Chapter und spezialisiert auf die Bereiche IT-Governance, IT-Sicherheit, IT-Risikomanagement und IT- Audit. Die Partnerschaft mit ISACA verpflichtet, die Bedürfnisse der Mitglieder und anderer interessierter Personen nach praxis orientierter Aus- und Weiterbildung durch ein ausgewogenes und hochstehendes Angebot von jährlich verschiedenen Kursen abzudecken. Internationale Standards wie ITIL, CobiT, Val IT, Risk IT, ISO usw. haben dabei einen hohen Stellenwert. Ein Ausbildungsschwerpunkt sind die berufsbegleitenden Zertifikats-Kurse, die ein umfassendes Praxiswissen gemäss der international anerkannten Berufsbilder CISA, CISM, CGEIT und CRISC vermitteln. Unsere Teilnehmer schneiden an den international durchgeführten Zertifikats-Prüfungen seit vielen Jahren überdurchschnittlich gut ab: Nach dem weltbesten Abschluss 2001 und nach dem Platz zwei für die CGEIT-Prüfung 2010 belegte erneut einer unserer Kursteilnehmer einen Spitzenplatz an der letztjährigen Dezember-Prüfung: CISM Rang 1. Als konsequente Weiterführung unserer Qualitätsanstrengungen im Ausbildungsbereich haben wir alle unsere internen wie externen Prozesse, Instrumente und Dokumente in direktem Zusammenhang mit sämtlichen Aus- und Weiterbildungsaktivitäten einer externen Überprüfung unterzogen. ITACS Training AG verfügt seit 2010 über das begehrte Schweizerische Zertifikat für Weiterbildungsinstitutionen von EduQua. Weitere Informationen finden Sie auf Audit Security Governance Risk Management Internationale Zertifikate CISA, CISM, CGEIT und CRISC Interested in CISA, CISM, CGEIT or CISM training and other related courses in English or French? See the website of our accredited partner ardantic SA Ch. de la Résidence 3 CH-1009 Pully +41 (21) Top-Kurse zu aktuellen Themen Juli bis Dezember 2013

3 Inhaltsverzeichnis Kursübersicht nach Daten 2 3 Kursübersicht nach Daten 3 Kursübersicht nach Themen 4 ISACA der Berufsverband für Governance, Sicherheit, Risikomanagement und Audit 6 ITACS Training AG Ihr Ausbildungs-Provider 8 Kurse Details 10 Partnerfirmen 78 Schulungsräume 82 Allgemeine Geschäftsbedingungen 84 Unsere Prüfungsvorbereitungskurse sind ausserordentlich erfolgreich: Sämtliche Teilnehmer der kompakten CISA-, CISM-, CGEIT- und CRISC- Prüfungstrainings haben die Prüfung im Juni 2012 bestanden. Zudem legte ein Teilnehmer unserer Kurse im Dezember 2012 die weltweit beste CISM-Prüfung ab! Die vorgestellten CISA-, CISM-, CGEIT- und CRISC-Kurse sind die (einzigen) offiziellen Zertifikatskurse des ISACA Switzerland Chapter. Der Dachverband ISACA verlangt aus rechtlichen Gründen den nachfolgenden Hinweis: ISACA does not endorse, approve, or sponsor ITACS Training AG, its CISA, CISM, CGEIT or CRISC courses or any of its other products and/or services, nor is affiliated with ITACS Training AG in any manner. CISA, CISM, CGEIT and CRISC are registered trade marks of the Information System Audit and Control Association. Seite Seite COB-KK n in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance CISA-VK n CISA-Vertiefungskurs CISM-VK CISM-Vertiefungskurs CGEIT-VK CGEIT-Vertiefungskurs CRISC-VK n CRISC-Vertiefungskurs GOV-KK IT-Governance erfolgreiche eines entsprechenden Frameworks COB-KK in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance / LAB-IPS (J) iphone & ipad Security IM-KK Informationsmanagement in der Informationssicherheit 10 3./ LAB-WAB (J) Web Applications Security: Basics 58 5./ LAB-WAA (J) Web 2.0 Web Applications Security: Advanced RM-KK n Risikomanagement-Methoden wirksam anwenden PER-KK n Effizientes Messen von Leistungs- und Risiko-Indikatoren SAM-VD Software Asset- und Lizenz-Management (SAM&SLM) LM5-VD Software Asset Management-Lizenzmodelle Top 5 Hersteller aus Revisionssicht ACC-IPG Wirksamer Zugriffsschutz (Access Control) ISMS-KK ISMS gemäss ISO 2700x implementieren und verbessern STR-KK Strategische Ausrichtung von Geschäft (Business) und Informatik (IT) RIM-KK n Risikoprüfung und kontinuierliche Risikoüberwachung IKS-KK n Design, Betrieb und Überwachung von Kontrollen OUT-KK Risiken, Überwachung und Prüfung von Outsourcing-Providern CISM-PV CISM-Prüfungsvorbereitungskurs / ERM-UF (E) Effective Management of IT-related Business Risk using ISACA s Guidance / LAB-WAB (B) Web Applications Security: Basics / LAB-WAA (B) Web 2.0 Web Applications Security: Advanced VOIP-SH Security-Design und Prüfung von VoIP CISA-PV n CISA-Prüfungsvorbereitungskurs CRISC-PV n CRISC-Prüfungsvorbereitungskurs CGEIT-PV CGEIT-Prüfungsvorbereitungskurs GL-SAP Grundlagen zur Prüfung von SAP-Systemlandschaften 53 5./ BK-SAP Prüfung des Berechtigungskonzeptes von SAP-Systemen 54 7./ FIBU-SAP Prüfung der Finanzbuchhaltung (FI) in SAP-Systemen ISMS-EXP ISO 27001/2 Self Assessment effiziente ISMS-Standortbestimmung AWA-KK Wirksame Awareness-Kampagnen gestalten und umsetzen COB-BL (E) Introduction to CobiT 5 all you need to know! PAM-BL (E) Understanding and Using the New CobiT Process Assessment Model (PAM) 46 2./ BYOD-BL (E) BYOD and Beyond, Audit and Security of Mobile Technology 30 3./ LAB-NP (J) Networking & Penetration Testing 59 9./ APR-BJ High-Level Analyse von Projektrisiken 32 n Garantierte Durchführung (E) Course in English (J) Kurs in Jona (B) Kurs in Bern

4 Kursübersicht nach Themen 4 5 Risikomanagement/Sicherheit IM-KK RM-KK PER-KK ACC-IPG ISMS-KK RIM-KK ISMS-EXP AWA-KK n n n Informationsmanagement in der Informationssicherheit Wissen, welche Informationen wann, wo & in welcher Form aufbewahrt werden müssen Risikomanagement-Methoden wirksam anwenden Identifikation, Bewertung und Management von (IT-) Risiken Effizientes Messen von Leistungs- und Risiko-Indikatoren Gute Leistungsindikatoren effizient erheben und auswerten Wirksamer Zugriffsschutz (Access Control) Zugriffsschutz richtig konzipieren und prüfen ISMS gemäss ISO 2700x implementieren und verbessern Wirkungsvolles Sicherheitsmanagementsystem in 30 Schritten entwickeln/verbessern Risikoprüfung und kontinuierliche Risikoüberwachung Wirksame Über wachung und Überprüfung von Risiken ISO 27001/2 Self Assessment effiziente ISMS-Standortbestimmung ISMS-Ausbaugrad effizient und korrekt messen Wirksame Awareness-Kampagnen gestalten und umsetzen Systematische Planung/Durchführung von Aktivitäten und Kampagnen ERM-UF (E) Effective Management of IT-related Business Risk using ISACA s Guidance 21./ Implementing an effective enterprise-wide risk management VOIP-SH Security-Design und Prüfung von VoIP Hohe VoIP-Sicherheit sicherstellen BYOD-BL (E) BYOD and Beyond, Audit and Security of Mobile Technology 2./ Get control of mobile technology APR-BJ 9./ High-Level Analyse von Projektrisiken Kritische Projekte auf ihre Risiken analysieren IT-Governance und IKS COB-KK GOV-KK COB-KK SAM-VD LM5-VD STR-KK in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance Das neue Framework verstehen, korrekt anwenden und von CobiT 4.1 migrieren IT-Governance erfolgreiche eines entsprechenden Frameworks Typische Problemfelder erkennen und vermeiden in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance Das neue Framework verstehen, korrekt anwenden und von CobiT 4.1 migrieren Software Asset- und Lizenz-Management (SAM&SLM) Hohe Straf zahlungen bei Lizenz -Audits vermeiden und generell ROI verbessern Software Asset Management-Lizenzmodelle der Top 5 Hersteller aus Revisionssicht Lizenz modelle verstehen, Ver stösse vermeiden und Audits risikovermindernd begleiten Strategische Ausrichtung von Geschäft (Business) und Informatik (IT) Anwendung verschiedener Hilfsmittel wie z.b. CobiT 5 zur gegenseitigen Ausrichtung COB-BL (E) Introduction to CobiT 5 all you need to know! Get to know the new framework and migrate from CobiT 4.1 PAM-BL (E) Understanding and Using the New CobiT Process Assessment Model (PAM) Correctly evaluate and direct process maturity n Garantierte Durchführung (E) Course in English Seite R S G 10 R A S G 12 R A S G 14 A S G 16 R S G 18 R A S G 20 R S G 22 R S G 24 R S G 26 A S 28 R A S G 30 R A G 32 R A S G 34 R A S G 36 R A S G 34 R A G 38 R A G 40 R G 42 R A S G 42 R A S G 44 (IT-) Revision/Audit IKS-KK n Design, Betrieb, Überwachung & Unterhalt von Kontrollen Effizientes Design & wirksame Überprüfung von anwendungsabhängigen Kontrollen OUT-KK Risiken, Überwachung und Prüfung von Outsourcing-Providern Bekommen Sie Ihr Outsourcing in Griff speziell auch für KMUs SAP-Knowhow für Sicherheitsbeauftragte und Prüfer («Hands-on»-Seminare) R A S 48 R A S G 50 GL-SAP Grundlagen zur Prüfung von SAP-Systemlandschaften R A S 53 BK-SAP Prüfung des Berechtigungskonzeptes von SAP-Systemen 5./ R A S 54 FIBU-SAP Prüfung der Finanzbuchhaltung (FI) in SAP-Systemen 7./ R A S 55 Security Labor mit Compass Security LAB-IPS iphone & ipad Security in Jona A S 57 LAB-WAB Web Applications Security: Basics in Jona 22./ in Bern A S 58 LAB-WAA Web 2.0 Web Applications Security: Advanced 5./ in Jona 24./ in Bern A S 58 LAB-NP Networking & Penetration Testing in Jona A S 59 Offizielle Zertifikatskurse des ISACA Switzerland Chapter CISA-VK n CISA-Vertiefungskurs Die intensive, berufsbegleitende Aus- und Weiterbildung für IT-Revisoren und IT-Sicherheitsbeauftragte CISA-PV n CISA-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CISA-Prüfung CISM-VK CISM-PV CGEIT-VK CISM-Vertiefungskurs Die intensive, berufsbegleitende Aus-und Weiterbildung für Informationssicherheitsbeauftragte CISM-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CISM-Prüfung CGEIT-Vertiefungskurs Die intensive, berufsbegleitende Aus- und Weiterbildung im Bereich IT-Governance resp. Governance of Enterprise IT (mit Berücksichtigung CobiT 5) CGEIT-PV CRISC-VK n CRISC-Vertiefungskurs CGEIT-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CGEIT-Prüfung Die intensive, berufsbegleitende Aus- und Weiterbildung für Risikomanagement und IKS-Design im IT-Umfeld CRISC-PV n CRISC-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CRISC-Prüfung Folgende Referenzierungen können Ihnen bei der Auswahl der Kurse helfen: Z mit Zertifikat R Risikomanagement A Audit S Security G Governance (E) Course in English Z Z Z Z R A S G 60 R A 62 R S G 64 R S 66 Z R G 68 Z R G 70 Pour plus d'informations par les courses d approfondissements CISA, CISM, CGEIT et CRISC en français, par notre partenaire d'entraînement Ardantic, voir Z Z Seite R A S G 72 R S 74

5 ISACA 6 7 ISACA der Berufsverband für Governance, Sicherheit, Risikomanagement und Audit ISACA ist eine internationale Körperschaft, die 1969 unter dem Namen EDPAA gegründet wurde. Ursprünglich standen die zunehmenden Auswirkungen der Computertechnik auf die Revisionstätigkeit im Fokus. Mit der Namensänderung 1994 ging eine Ausweitung der Tätigkeiten in Richtung Management und Sicherheit von Informationssystemen einher. Heute ist ISACA zusammen mit dem IT Governance Institute der Knowledge-Provider für IT Governance, IT Risk Management, IT Assurance und IT Security. Die ISACA setzt sich in professioneller Art mit allen Entwicklungen in diesen Themen auseinander und macht ihre diesbezüglichen Erkenntnisse interessierten Kreisen weltweit zugänglich. Zu den bekanntesten Produkten gehören die international anerkannten Standards CobiT, Val IT und Risk IT sowie die vier internationalen Zertifikate CISA, CISM, CGEIT und CRISC. ISACA hat weltweit über Mitglieder, organisiert in über 190 Chapter in mehr als 75 Ländern. Das ISACA Switzerland Chapter wurde 1988 als Verein gegründet. Es richtet sich ebenso an Vertreter der internen und externen Revision wie an Spezialisten, welche sich mit Fragen zu Risiken, Informationssicherheit, Governance oder IKS beschäftigen. Wir haben heute rund Mitglieder, die aus den verschiedensten Bereichen der Informationstechnologie (IT) kommen. Unsere Mitglieder arbeiten u.a. in Bund und Kantonen, Banken und Versicherungen, im Fabrikations- und Dienstleistungssektor sowie z.b. an Hochschulen. In den letzten Jahren haben wir zunehmend Mitglieder in Führungsfunktionen dazu gewonnen, welche für Governance-Aspekte verantwortlich sind. Als ISACA-Mitglied können Sie von folgenden Vorteilen profitieren Ausbildung ist uns sehr wichtig! Seit seiner Gründung ist das ISACA Switzerland Chapter in der Aus- und Weiterbildung aktiv. Seit 2003 arbeiten wir eng mit ITACS Training AG zusammen und können dadurch unseren ISACA-Mitgliedern bessere Konditionen bei jährlich weit über 40 Kursen anbieten. Nicht zuletzt der qualitativ hochstehenden Ausbildung wegen wurde unser Verein für 2011 und erneut auch für 2012 zum besten Chapter in Europa/Afrika gewählt. Profitieren Sie auch dieses Jahr von unseren vielfältigen Angeboten für Mitglieder. Vorteile für Mitglieder des ISACA Switzerland Chapter After Hours-Seminare zu aktuellen Themen: monatlich in Zürich und 3 4 Mal pro Jahr in Genf oder Lausanne; für Mitglieder jeweils gratis Für deutschsprachige Mitglieder gratis die Fachzeitschrift «Swiss IT Magazin» mit der Möglichkeit, selber darin Artikel zu platzieren Durch das Switzerland Chapter herausgegebene enews (10 mal pro Jahr) Rabatte auf sämtlichen Kursen der ITACS Training AG Ausgezeichnete Vorbereitungsunterlagen und Kurse mit international anerkanntem Zertifikat für CISA, CISM, CGEIT und CRISC (Ausbildung sowie Prüfungsvorbereitung) Möglichkeit zur Mitarbeit in verschiedenen Interessengruppen, welche spezifische Themen behandeln und Hilfsmittel (z.b. Prüfprogramme, Checklisten) erarbeiten Enge Zusammenarbeit mit den grossen Revisionsgesellschaften, der Schweizerischen Treuhand-Kammer, der Akademie der Treuhand-Kammer, dem Schweizerischen Verband für interne Revision (SVIR) sowie mit anderen Schweizer IT Security- Organisationen (siehe Damit verbunden sind hauptsächlich ein gegenseitiger Informationsaustausch und teilweise gemeinsame Veranstaltungen (mit entsprechenden Vergünstigungen). Zugriff auf ISACA s internationale Standards, Frameworks, Guidances, Practices, Benchmarks und Tools, sowie auf das IT Professional Networking and Knowledge Center, dem Treffpunkt für IT-Fachleute mit diversen Informationsaustausch- und Kollaborationsmöglichkeiten. Möglichkeit zur Gratis-Teilnahme an Online-Kursen zu Themen im Bereich IT Governance, Control, Security, Risk, Audit Rabatte bei sämtlichen nationalen und internationalen ISACA-Konferenzen Rabatte bei den Zertifikatsprüfungen CISA, CISM, CGEIT und CRISC Rabatte auf dem Sortiment des ISACA Bookstore Periodische Informationen via und der Zeitschrift «ISACA Journal» Alle Personen mit Interesse an Governance, Risikomanagement, Sicherheit und Audit von Informationssystemen sind als Mitglied willkommen. Weitere Informationen finden Sie auf unserer Website. Haben Sie Interesse? Werden Sie Mitglied! Daniela Gschwend, CISA, CGEIT, CRISC Präsidentin ISACA Switzerland Chapter

6 ITACS 8 9 ITACS Training AG Ihr Ausbildungs-Provider Praxisgerechte Ausbildung Als Ausbildungsanbieter setzen wir uns seit über 20 Jahren für sorgfältig konzipierte S eminare mit hohem Praxisanteil ein. Dazu wählen wir unsere Kurspartner und Referenten gewissenhaft aus und legen besonderen Wert darauf, dass diese auch in der Praxis eine hohe Akzeptanz haben. Wo immer möglich, passen wir die an die spezifischen Bedürfnisse unserer Zielgruppen an und verknüpfen die Inhalte mit einschlägigen Standards wie CobiT 5, ISO 2700x und den spezifischen Berufsbildern CISA, CISM, CGEIT und CRISC. Auch wenn Sie bei anderen Kurs anbietern Kurse zu ähnlichen Themen finden, sind die von uns angebotenen Kurse in dieser speziellen Form einzigartig. Ganzheitlicher Schulungsansatz Nach den ausgezeichneten Erfahrungen und dem positiven Feedback von Kursteilnehmern und Ausbildungsverantwortlichen grösserer Unternehmungen setzen wir uns weiter hin für einen ganzheitlichen Schulungsansatz ein, der neben dem themenspezifischen Fachwissen über Technologien und Prozesse wenn möglich auch den Aspekt Mensch einbezieht. Wir legen grossen Wert darauf, diese drei Elemente Technologie, Prozesse und Mensch in jedem einzelnen Kurs zu berücksichtigen gerade weil es Kurse mit bewusst gesetzten Schwerpunkten gibt, achten wir auch auf ein ausgeglichenes Gesamtangebot. Externe Kurse zu «Inhouse-Preisen» Aufgrund des positiven Feedbacks behalten wir unser Angebot für Unternehmen bei und bieten für die meisten Kurse einen speziellen Firmenrabatt an: Der zweite Teil nehmer derselben Firma erhält auf den Kurspreis 30%, alle weiteren Mitarbeiter derselben Firma 50% Rabatt. Ausgeschlossen davon sind einige wenige Kurse mit einem extrem hohen Vorbereitungs-, Betreuungs- oder Infrastrukturaufwand. Praktisch sämtliche Kurse können wir Ihnen auch intern mit individueller Anpassung (z.b. auch in Englisch statt Deutsch) offerieren. Wir garantieren ein ausgezeichnetes Preis-/Leistungs-Verhältnis Unsere Seminargebühren beinhalten alle notwendigen Kursunterlagen sowie die Kosten für die Pausen- und Mittagsverpflegung in bestimmten Fällen auch die weitergehende Fachliteratur oder Über nachtung. Wir berücksichtigen dabei die minimale und maximale Teilnehmerzahl, die Anzahl der im Unterricht gleichzeitig eingesetzten Referenten, Art und Umfang der benötigten Hilfsmittel usw. und garantieren Ihnen ein ausgezeichnetes Preis-/Leistungs-Verhältnis! Die überdurchschnittliche Qualität unserer Aus bildung wird letztlich auch durch das im Jahre 2010 erhaltene Schweizerische Zertifikat für Weiterbildungsinstitutionen von EduQua bestätigt. Unsere Partnerschaft mit dem ISACA Switzerland Chapter Seit 1992 führen wir in enger Zusammenarbeit mit dem Switzerland Chapter den CISA-, seit 2003 den CISM-, seit 2009 den CGEIT- und seit Dezember 2010 auch den CRISC-Zertifikatskurs durch. ITACS Training hat sich verpflichtet, nicht nur das gesamte Vereins sekretariat gratis zu betreiben sondern als «Ausbildungsprovider» neben den vier Zertifikatskursen ein umfassendes Programm mit Kursen für (IT-) Sicherheitsspezialisten, Risikomanager und Revisoren anzubieten. Wir verstehen diese Partnerschaft als Verpflichtung, dem Switzerland Chapter und seinen Mitgliedern nicht nur finanzielle Vergünstigungen sondern ein ausgewogenes Angebot hochstehender Kurse zu bieten. Bleiben Sie fit! Für uns Fachkräfte ist es unabdingbar, dass wir uns ein Leben lang fit halten im eigentlichen wie auch im übertragen Sinn. Nun für Ihre gesundheitliche Fitness fühlen wir uns nicht wirklich zuständig, aber zur Erhaltung Ihrer fachlichen Fitness können wir sehr wohl einen Beitrag leisten. Kommen Sie in unsere 13- bis 15-tägigen ISACA-Zertifikatskurse CISA, CISM, CGEIT oder CRISC oder buchen Sie einen Upgrade-Kurs von einem zum anderen Zertifikat! Darüber hinaus enthält das neue Kursprogramm eine Fülle von bewährten Tageskursen aber auch zahlreiche neue Kurse zu spannenden Themen wie Risk IT oder CobiT 5, die eigentlich alle zum Pflichtprogramm für Ihre fachliche Fitness gehören. Ergreifen Sie die Initiative melden Sie sich oder Ihre Mitarbeiter an, online direkt über das Internet oder auch per Telefon oder Mail. Peter R. Bitterli, CISA, CISM, CGEIT, Inhaber ITACS Training AG

7 Informationsmanagement in der Informationssicherheit Termin: 2. September 2013 (1 Tag) IM-KK Wissen, welche Informationen wann, wo und in welcher Qualität aufbewahrt werden müssen Beim Management der Informationssicherheit müssen unterschiedlichste Informationen gesammelt, bewertet, aktualisiert und letztlich nachvollziehbar aufbewahrt werden. Ziel des Informationsmanagements ist es, für alle strategischen, taktischen und betrieblichen Führungsaufgaben in der Informationssicherheit eine geeignete Informations-Infrastruktur aufzu bauen und so zu gestalten und zu nutzen, dass eine optimale Unterstützung von Governance und Management der Informationssicherheit ermöglicht und damit ein optimaler Beitrag der Sicher heit zum Unternehmens erfolg geleistet wird. Dieser Tageskurs basiert auf zwei neu aufgebauten Vorlesungen des Referenten an der Fachhochschule Luzern (Certificate of Advanced Studies Information Security, Master of Advanced Studies Information Security) und beschäftigt sich mit den zentralen Anforderungen an unterschiedlichste Arten von Informationen im Sicherheits umfeld. Lernziele Nach unserem Kurs sind Sie in der Lage: zu verstehen, wo überall beim Management der Informationssicherheit Informationen erzeugt, gesammelt, bewertet und dargestellt werden (strategisch, taktisch, operationell); zu erklären, welche grundlegenden Anforderungen an solche Informationen/Dokumente bestehen und warum; am Beispiel ausgewählter sicherheitsspezifischer Informationen zu erläutern, wie die bewährten Praktiken zur Erfüllung der aufgeführten Anforderungen aussehen; zu erkennen, wie Informationen zwischen den verschiedenen Sicherheits(management)prozessen fliessen; die für Governance der Informationssicherheit notwendigen Informationen zu ermitteln und bereitzustellen; Mittel und Wege für die Überwachung der Risiken und anderer sicherheitsrelevanter Informationen aufzuzeigen; den methodischen Vorgehensansatz auf verwandte Themen wie IKS, Risikomanagement, (IT-) Governance zu übertragen. Der Kurs richtet sich primär an Personen, welche mit dem Aufbau oder Betrieb (von Teilen) eines Informationssicherheitsmanagementsystems (ISMS) betraut sind. Von grossem Wert ist dieser Kurs auch für verwandte Funktionen wie Risikomanager aus allen betrieblichen Bereichen wie Finanzen, IT oder Technik, für Leiter der Organisationsentwicklung, IKS-Verantwortliche, Geschäfts leitungsmitglieder, Inhaber von KMU s, Qualitäts- oder Governance-Verantwortliche aber auch für Controller, Compliance- Zuständige usw. Der Kurs ist zudem sehr hilfreich für Wirtschafts- und IT-Prüfer, da sie damit auch die allenfalls vorhandenen Beweismittel (Evidence) besser erkennen und bewerten können. Kurs-Spezialitäten Dieser Kurs beschäftigt sich mit einem recht schwierigen und daher in der Praxis (oft) vernachlässigten Thema. Er zeigt anhand unzähliger Beispiele konkret auf, wie die spezifischen Anforderungen an Informationen aller Art erkannt und analysiert werden können, so dass die Informationen auch entsprechend gesammelt und aufbewahrt werden. und Grundlagen Sicherheitsrelevante Informationen und Dokumente Übergeordnete Anforderungen an Informationen/Dokumente Sicherheits(management)prozesse Umgang mit dem Messen von Maturität & Wirksamkeit im Sicherheits umfeld Monitoring der Wirksamkeit von Sicherheitsmassnahmen Umgang mit Audit-Berichten Durchführung von Management- Reviews Monitoring von Risiken Unzählige Vertiefungsbeispiele: - Richtlinien, Standards, - Sicherheitsorganisation - Risikomanagement, Risikoregister, Risikolandschaft - Sicherheitskonzepte für Anwendungen n CISA Tasks: 2.4 (2.5) (2.6) n CISM Tasks: (1.4) n CGEIT Tasks: (1.2) ( ) n CRISC Tasks: n CobiT 5 Prozesse: EDM03 EDM05 (APO11) APO12 APO13 DSS05 MEA01 MEA02 Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit den Kursen «ISMS gemäss ISO 27000x implementieren und verbessern» (ISMS- KK) vom 30. September 2013 (siehe Seite 18) und «ISO27001/2 Self Assessment» (ISMS-EXP) vom 11. September 2013 (siehe Seite 22). Neu im Programm 2013! 1 R A S G

8 Risikomanagement-Methoden wirksam anwenden Termin: 12. September 2013 (1 Tag) GARANTIERTE DURCHFÜHRUNG Referent 1 R A S G RM-KK Identifikation, Bewertung und Management von (IT-) Risiken mit unterschiedlichsten Methoden wirksam implementieren Risikomanagement wird vielfach auf einem erschreckend niedrigen Reifegrad betrieben auch wenn wegen aktueller Regulatorien und Gesetz gebungen (z.b. Anpassung im Schweiz. Obligationenrecht, neue Richtlinien vom Bundesamt für Privatversicherungen, Basel II/ III, Sarbanes Oxley) sowie aufgrund von zunehmendem Druck von Geschäftspartnern bezüglich der Einhaltung von Standards und Zertifizierungen (COSO ERM, ISO 27001, ITIL, CMM, ) ein systematisches Risikomanagement immer wichtiger wird. Der wirtschaftliche Umgang mit den viel fältigen Risiken der Informationstechnologie erfordert ein planmässiges und strukturiertes Vorgehen, das als Risikomanagement bezeichnet wird. Entscheidend ist, dass die Risiken der Informations technik mit operativen Risiken aus anderen Bereichen zusammengeführt und auf strategischer Ebene dargestellt und bewertet werden. Lernziel Nach unserem Kompaktkurs mit zahlreichen Praxisbeispielen: kennen Sie die korrekten Begriffe aus dem Gebiet des Risikomanagements; kennen Sie die Bedeutung und die Aufgaben des IT-Risikomanagements; sind Sie mit unterschiedlichen Ansätzen und Ideen für das IT-Risikomanagement vertraut; sind Sie in der Lage, einen wirkungsvollen Risikomanagement-Prozess zu entwerfen; verstehen Sie, warum ein hybrider Ansatz aus Gap-Analyse und Risikoszenarien erfolgswirksam ist. Dieser Kompaktkurs richtet sich an alle Personen, welche entweder bereits über viel Erfahrung in verschiedenen Aspekten von IT-Risikomanagement verfügen und das so erworbene Wissen vervollständigen und mit praktischen Tipps abrunden wollen oder über wenig(er) Erfahrung in der Thematik verfügen und sich in kurzer Zeit einen qualitativ hochstehenden Überblick gepaart mit viel Praxis- Knowhow verschaffen wollen. Einschlägige Erfahrungen sind von Vorteil aber nicht zwingend. Ein vertieftes Informatikwissen ist nicht notwendig. Die Teilnehmer sollten aber an einer intensiven Auseinandersetzung mit allen Aspekten des Themas interessiert sein. Kurs-Spezialitäten Der Kurs vermittelt anhand verschiedener Beispiele, wie die konkreten Lösungsansätze an die spezifischen Unter nehmensbedürfnisse angepasst werden können. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Die Kursteilnehmer erhalten zudem die aktuelle Ausgabe von ISO Systematische in die Begriffswelt: z.b. Risikoanalyse, Risikomanagement (Selbststudium) Risikoanalyse für IT-Systeme, IT-Projekte und IT-Anwendungen: Vorstellung und Vergleich verschiedener Ansätze Vergleich verschiedener nationaler und internationaler Standards für Risikomanagement, wie z.b. COSO ERM, CobiT EDM03 und APO12, ISO 27005, ISO 31000, Risk IT, Strategisches IT-Risikomanagement als hybrider Lösungsansatz: szenariobasierte Risikolandschaft gekoppelt mit Gap-Analyse zu Grundschutz Entwicklung von Risikoprofilen Bewertung und Auswahl verschiedener Risikobehandlungsoptionen inkl. Business Case Abgrenzungsproblematik IT-Risikomanagement zu Operational Risk Management Gemeinsamkeiten und Unterschiede von CobiT 5 EDM03 (Ensure Risk Optimization) und APO12 (Manage Risk) n CISA Tasks: 2.2 (2.6) 2.9 n CISM Tasks: (1.8) n CGEIT Tasks: (1.7) n CRISC Tasks: n CobiT 5 Prozesse: (EDM03) APO12 (APO13) n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Risikoprüfung und kontinuierliche Risikoüberwachung» (RIM-KK) vom 7. Oktober 2013 (siehe Seite 20).

9 Effizientes Messen von Leistungs- und Risiko-Indikatoren Termin: 13. September 2013 (1 Tag) GARANTIERTE DURCHFÜHRUNG Lernziel Kurs-Spezialitäten 1 R A S G PER-KK Gute Leistungs-, Ziel- und Risiko- Indikatoren effizient erheben «Wer nicht weiss, wo er ist, weiss auch nicht, wohin er muss» Dieser altbekannte Spruch bringt das Thema unseres Kompaktkurses auf den Punkt: das Messen von Indikatoren für Standort, Zielerreichung, Leistung sowie von Risiken inner halb der IT. In einschlägigen Standards wie ISO 20000, ISO oder auch CobiT 5 wird vorausgesetzt, dass das Unternehmen in der Lage ist, Leistungs-, Risiko- und andere Metriken innerhalb (und ausserhalb) der Informatik effizient und ausreichend genau zu ermitteln was leider in der Praxis alles andere als einfach und effizient ist. Unser Kompaktkurs zeigt an unzähligen theore tischen und praktischen Bei spielen auf, welche Metriken unter welchen Umständen sinnvoll sind und wie sie effizient erhoben werden können. Zudem macht Sie der Kurs vertraut mit den (wenigen) Standardwerken zu Metriken. Nach diesem Kompaktseminar sind Sie in der Lage: die wichtigsten Anforderungen an gute Metriken vorzustellen; vorgeschlagene Metriken auf ihre Eignung zu überprüfen; für unterschiedlichste IT-Themen geeignete Leistungsindikatoren zu ermitteln und zu etablieren; mittels Control Self Assessment (CSA) die Bewertung von Leistungen vorzunehmen; (IT-Governance) Compliance Reviews durchzuführen. Der Kurs richtet sich an alle Personen, welche verantwortlich sind für (Teilbereiche der) IT-Governance; insbesondere an Unternehmer, IT-Manager, IT-Projektleiter, (IT) Security Manager, IKS-Verantwortliche, Risikomanager und Informatikrevisoren. Am Beispiel eines ISMS gemäss ISO wird konkret aufgezeigt, wie ein umfassendes Messsystem aussehen könnte. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, er halten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Die Kursteilnehmer erhalten zudem die aktuelle Ausgabe von ISO In diesem Dokument aus der ISO 27000er- Familie wird sehr gut erläutert, was gute Metriken sind und wie man sie über mehrere Zwischenschritte sammelt, verdichtet, auswertet und darstellt. Metriken für Schlüssel-Indikatoren für Status, Leistung, Zielerreichung oder Risiken - Grundlagen - Anforderungen an gute Metriken - Beispiele Maturitäts-/Reifegrad- Modelle Benchmarking (Vorgehen und Hilfsmittel) Moderated resp. Facilitated Control Self Assessment (CSA) - Vorbereitung - Regeln - Durchführung - Auswertung - Erfolgsfaktoren effiziente Durchführung von Compliance Reviews für (IT-) Governance resp. (IT-) Security generell und gemäss ISO IT Balanced Scorecard Fallbeispiel ISMS-Metriken n CISA Tasks: (2.6) 2.10 (4.7) n CISM Tasks: n CGEIT Tasks: n CRISC Tasks: alle 3 und 5 n CobiT 5 Prozesse: MEA01 (MEA02) (MEA03) Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Risikoprüfung und kontinuierliche Risikoüberwachung» (RIM-KK) vom 7. Oktober 2013 (siehe Seite 20).

10 Wirksamer Zugriffsschutz (Access Control) Termin: 23. September 2013 (1 Tag) Lernziele Kurs-Spezialitäten Referenten (Co-Teaching) 1 A S G ACC-IPG Zugriffsschutz richtig konzipieren und prüfen Der Schutz von Ressourcen wie Daten oder Programme beginnt eigentlich bereits vor dem eigentlichen Zugriff auf diese Ressourcen: Übergeordnete Richtlinien und letztlich die konkreten Geschäftsanforderungen regeln, wer, wann, wo, wie und unter welchen Voraussetzung Zugriff zu einer bestimmten Ressource erhalten soll. Umgesetzt wird dies mittels der Definition eines Berechtigungskonzept und letztlich der konkreten Prüfung der vorhandenen Berechtigungen des Benutzers bei seinem wirklichen Zugriff auf die Ressourcen. Der Zugriffsschutz stellt damit eine der wichtigsten Massnahmen zum Schutze von Informationssystemen, ihrer Daten und Funktionen dar. Jedoch wird diese elementare Barriere in Unternehmen oftmals vernachlässigt und daher in der heterogenen System- sowie Applikationswelt nicht konsequent geplant und umgesetzt. Damit erhöht sich das Risiko der vorsätzlichen oder versehentlichen Ausnutzung von Berechtigungen für eine Verletzung der Informationssicherheitsziele wie Vertraulichkeit, Integrität und Verfügbarkeit. Dieser Kurs vermittelt Modelle zur Reduktion dieses operativen Risikos und zeigt Möglichkeiten auf, wie ein Internes Kontrollsystem (IKS) mit wirksamen Zugriffsschutz-Kontrollen ergänzt wird. Die Referenten gewähren praxisorientierten Einblick in Aufgabenstellungen und Lösungsansätze für Zugriffschutz und dessen Prüfung und geben zudem eine aktuelle Marktübersicht, welche Werkzeuge heute eine stetige Verbesserung des Zugriffschutzes unterstützen. Der Kurs vermittelt das nötige Grundwissen rund um den Zugriffsschutz und dem damit verbundenen Thema Berechtigungs-Management, um diese sehr wichtige Thematik in einem Unternehmen aktiv mitzugestalten oder wirksame Zugriffschutz-Prüfungen durchzuführen. Ein Kursteilnehmer ist nach Besuch des Kurses in der Lage, Grundsätze des Zugriffsschutzes und der Bedeutung von Berechtigungen zu erfassen; gängige Modelle und Best Practice- Ansätze für Zugriffschutz, insbesondere RBAC (Role Based Access Control), zu verstehen; die wichtigsten Kontroll- und Prüfziele für die Überprüfung der Wirksamkeit des Zugriffsschutzes zu erkennen; Beispiele für verfahrens- und ergebnisorientierte Prüfungen im Bereich Zugriffsschutz zu verstehen und in der eigenen Praxis umzusetzen; gängige Tools zur Überprüfung der Berechtigungen und zur Verbesserung der Berechtigungsvergabe aufzuzählen. Dieser Kurs richtet sich an die für die Vergabe und Administration von Berechtigungen zuständigen Personen sowie an IKS-Verantwortliche, Risikomanager, Informationssicherheitsbeauftragte und erfahrene interne und externe (IT-) Revisoren. Der Kurs konzentriert sich auf die vielseitigen Aspekte eines wirksamen Zugriffsschutzes, der als zentrales Thema im weitreichenden Umfeld der Informations sicherheit zu verstehen ist. Die beiden sehr erfahrenen Referenten erläutern die theoretischen Grundlagen sowie praxiserprobte Vorgehensweisen und geben zusätzlich einen Überblick über die heute als Werkzeug zur Verfügung stehenden Software-Lösungen. Der ganze Kurs wird mit vielen Beispielen und Ausschnitten aus Konzepten angereichert: Grundsätze des Zugriffschutzes Bedeutung von Berechtigungen Access Control-Modelle aus der Literatur Best Practice-Ansätze für RBAC (Role Based Access Control) als Beispiel eines Modells Die wichtigsten Kontroll- und Prüfziele und ihre Bedeutung Mögliche verfahrens- und ergebnisorientierte Prüfungen in der Praxis Überblick über gängige Werkzeuge Demo eines von der Klasse ausgewählten Tools (sofern noch Zeit vorhanden) n CISA Tasks: n CISM Tasks: n CGEIT Tasks: (1.7) (2.6) n CRISC Tasks: (4.8) n CobiT 5 Prozesse: (DSS05) n Marco Rohrer und Claudio Fuchs, IPG AG Seminargebühren / Rabatte CHF 1'000.- für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG

11 ISMS gemäss ISO 27000x implementieren und verbessern Termin: 30. September 2013 (1 Tag) Lernziel Kurs-Spezialitäten 1 R S G ISMS-KK Ein wirksames ISMS in 30 effizienten Schritten implementieren oder verbessern An ISO resp. ISO kommt heute kaum ein Sicherheitsspezialist oder IT-Revisor vorbei auch im Outsourcing- Umfeld wird die Einhaltung dieser internationalen Normen oft vom Provider einverlangt. Die beiden Standards sind zwar den Meisten bekannt; viele Sicherheitsbeauftragte benützen sie als «Inspirationsquelle» für ihre Tätigkeiten. Doch kaum jemand versteht beispiels weise, wie ein wirkungsvolles Informations sicherheitsmanagementsystem genau aussieht oder wie eine Zertifizierung auf Basis von ISO abläuft und was so ein Zertifikat wirklich bedeutet. Der Referent dieses Kompaktkurses setzt den Standard ISO 2700x resp. dessen Vorläufer im Rahmen von Revisionen und Beratungen bereits seit 1995 mit grossem Erfolg für unterschiedlichste sicherheitsrelevante Tätigkeiten ein und kennt daher seinen Nutzen aber auch die Grenzen. Peter R. Bitterli überwacht zudem seit vielen Jahren als Fachexperte des Bundes die akkreditierten Zertifizierungsunternehmen und beurteilt deren Prozesse und die eingesetzten Audit-Teams. Das Kompaktseminar hat zum Ziel, den Teilnehmern die wichtigsten Schritte zur Implementierung und Verbesserung eines ISMS nach ISO 2700x zu vermitteln sowie einen Überblick zu geben über sonstige Anwendungsmöglichkeiten. Besonderes Gewicht wird dabei auf pragmatische aber praxistaugliche Tipps zu konkreten Detailthemen eines ISMS gelegt. Nach diesem Kompaktseminar sind Sie in der Lage: Werdegang und Struktur des ISO (vormals BS 7799) und ISO (vormals ISO 17799) vorzustellen; den Unterschied zwischen ISO und ISO zu erläutern; den Stellenwert sämtlicher 16 Normen in der ISO 27000er-Familie zu erkennen; die Bedeutung einer ISO Zertifizierung zu verstehen; die wesentlichen Elemente eines Information Security Management System (ISMS) nach ISO zu erläutern; die eines ISMS in rund 30 Schritten wirksam voranzutreiben resp. ein bestehendes ISMS zu erweitern und verbessern. Der Kurs richtet sich an alle Personen, welche in kurzer Zeit alles Wesentliche über die internationalen Standards ISO 27001/2/4/5 erfahren und diese im Rahmen ihrer Tätigkeiten produktiv einsetzen wollen: Sicherheits ver antwortliche, Datenschutz-Beauf tragte, Risikomanager, ISO (Lead) Auditoren und IT- Revisoren sowie Personen aus dem Bereich Legal & Compliance. Informatik-Kenntnisse sind nicht notwendig. Besonders wertvoll ist der Kurs auch für Personen, welche bereits am Aufbau eines ISMS sind oder ein solches betreiben, da ihnen der Kurs eine Standortbestimmung sowie eine rasche Verbesserung ermöglicht. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Alle Teilnehmenden erhalten die aktuelle Version von ISO 27001, ISO 27002, ISO und ISO sowie ausführliche Kursunterlagen. Auch Personen, welche bereits ISO Auditor sind, profitieren von diesem einzigartigen Kurs. Werdegang CoP, BS 7799, ISO und ISO 27001/2 Inhalte und Unterschiede ISO / ISO Weitere Elemente der ISO 27000er- Familie Vorgehen bei einer Zertifizierung nach ISO Erstellung/Unterhalt eines ISMS nach ISO 2700x (inkl. schrittweise Verbesserung eines bestehenden ISMS in 30 konkreten Einzelmassnahmen klar aufgeteilt nach dem Plan-Do-Check- Act Life Cycle eines ISMS) Nutzen und Grenzen von ISO 2700x n CISA Tasks: (2.1) (2.9) 5.5 n CISM Tasks: praktisch alle aber nicht sehr detailliert n CGEIT Tasks: (4.1) (4.3) (4.5) n CRISC Tasks: (1) (2) (4) n CobiT 5 Prozesse: (APO04) (APO07) (APO12) APO13 DSS05 Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF 1'000.- für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO 27001, ISO 27002, ISO und ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Informationsmanagement in der Informationssicherheit» (IM-KK) vom 2. September 2013 (siehe Seite 10).

12 Risikoprüfung und kontinuierliche Risikoüberwachung Termin: 7. Oktober 2013 (1 Tag) GARANTIERTE DURCHFÜHRUNG Lernziele Kurs-Spezialitäten 1 R A S G RIM-KK Wirksame Überwachung von Risiken mit KRI, KVP, CSA, Risikomanager, IKS-Verantwortliche und andere Personen stehen immer wieder vor der schwierigen Aufgabe, Risiken wirksam zu überwachen also einerseits die Umsetzung der notwendigen Verbesserungsmassnahmen und andererseits die Veränderungen der bestehenden Risiken konsequent zu verfolgen und hinsichtlich ihrer Zielerreichung zu überwachen. Im Zeitalter von SOX wird für derartige Aufgaben immer häufiger auf Controls Self Assessment (CSA) gesetzt, was in zahlreichen Fällen zur Selbsttäuschung und letztlich einem oft inakzeptablen Restrisiko insbesondere in Hinblick auf Compliance-Risiken führt. Besser sind da Methoden aus dem Qualitätsmanagement (wie z.b. die Verwendung einer kontinuierlichen Verbesserungsplanung, KVP) oder der Revi sion (wie z.b. die Durchführung unabhängiger Prüfungen der Risikomanagement- Prozesse) sowie die Wahl und Messung von Risiko-Schlüsselindikatoren (KRI). Entscheidend ist auch, dass die verwendeten Indikatoren in geeigneter Form und Frequenz an die richtigen Stakeholder kommuniziert werden. Der Workshop versetzt Sie in die Lage: Risiko-Schlüsselindikatoren zu sammeln und zu validieren; Risiko-Schlüsselindikatoren zu überwachen und stufengerecht zu kommunizieren; unabhängige Reviews von Risikobewertungen und Prozessen zu ermöglichen; Compliance-Risiken zu eruieren und zu kommunizieren. Der Kurs richtet sich primär an Personen, welche mit dem Aufbau oder der Beurteilung des unternehmensweiten und operativen Risikomanagement betraut sind. Von grossem Interesse ist dieser Kurs daher für Risikomanager aus allen betrieblichen Bereichen wie Finanzen, IT oder Technik, für Leiter der Organisationsentwicklung, Geschäftsleitungsmitglieder, Inhaber von KMU s oder Qualitätsbeauftragte sowie für (leitende) interne Revisoren, welche für ihre risikoorientierte Jahresplanung die entscheidenden Risikoindikatoren selber erheben und beurteilen wollen. Der Kurs ist sehr hilfreich für Wirtschaftsund IT-Prüfer sowie Sicherheitsbeauftragte (ISMS) oder IKS-Verantwortliche aber auch für IT-Governance Spezialisten, Controller, Compliance- Zuständige usw. Dieser Kurs kümmert sich um ein schwieriges und häufig vernachlässigtes Thema. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Die Kursteilnehmer erhalten zudem die aktuelle Ausgabe von ISO In diesem Teil aus der umfangreichen ISO 27000er- Familie wird kompakt aber dennoch ausreichend detailliert eine Methode für «Information Security Risk Management» analog zu ISO erläutert. Systematische in die Begriffswelt: z.b. Risikoanalyse, Risikomanagement (Selbststudium) Sammlung und Validierung von Risiko- Schlüsselindikatoren mit Stakeholdern Überwachung und Kommunikation von Risiko-Schlüsselindikatoren Unabhängige Reviews von Risiko- Schlüsselindikatoren Durchführung von eigentlichen Risikoprüfungen Identifikation und Berichterstattung von Compliance-Risiken Anwendung von CobiT 5 für Risikoüberwachung n CISA Tasks: 2.9 n CISM Tasks: ( ) n CGEIT Tasks: ( ) n CRISC Tasks: n CobiT 5 Prozesse: EDM03 APO12 MEA02 Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF 1'000.- für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Risikomanagement- Methoden wirksam anwenden» (RM-KK) vom 12. September 2013 (siehe Seite 12). Mehr über Key Risk Indicators (KRI) und andere Metriken erfahren Sie im Kurs «Effizientes Messen von Leistungs- und Risiko-Indikatoren» (PER-KK) vom 13. September 2013 eine ideale Vorbereitung! Siehe Seite 14.

13 ISO 27001/2 Self Assessment effiziente ISMS-Standortbestimmung Termin: 11. November 2013 (1 Tag) k ISMS-EXP ISMS-Ausbaugrad effizient und korrekt messen Für die Implementierung einer Aufbauund Ablauforganisation für Informationssicherheit hat sich in der Praxis der Leitfaden für das Management der Informationssicherheit ISO 27001/ISO (Code of Practice for Information Security Management) bewährt; vielen Unternehmen dient der Leitfaden als «Inspirationsquelle» für ihre internen Tätigkeiten. Hat sich ein Unternehmen bereits vertieft mit dem Thema Informationssicherheit auseinandergesetzt, stellt sich die Frage, wie weit man den von den Inhalten von ISO entfernt ist, also «Wie weit ist ISO bereits umgesetzt?» und «Wie vollständig ist das ISMS?» Die beiden Referenten dieses Expertenkurses setzen den Standard im Rahmen ihrer Beratungstätigkeiten bereits seit 1995 mit grossem Erfolg für unterschiedlichste sicherheitsrelevante Tätigkeiten ein: vom internen Sicherheits-Benchmarking über die Definition von Sicherheitsstrategien bis hin zur Anwendung im Bereich des Operational Risk Management und von der Prioritätenbestimmung im Rahmen der Budgetplanung über Security Reviews bis zur konkreten Umsetzung von massgeschneiderten Sicherheitskonzepten. Ein grosser Teil des dabei angesammelte Wissens sowie auch ein grosser Teil der dafür entwickelten Werkzeuge werden in unserem eintägigen, intensiven Kompaktkurs in einer praxisbezogenen Form und Zusammenstellung präsentiert und abgegeben. Lernziel Nach dem Kompakt-Seminar sind Sie in der Lage: den Unterschied zwischen ISO und ISO zu erläutern; die wesentlichen Inhalte eines Information Security Management System (ISMS) gemäss ISO zu bestimmen; die Zertifizierungsreife des ISMS abzuwägen; Maturitätsmodelle für die Messung der in ISO aufgeführten Sicherheitsmassnahmen zu erläutern; die Vorteile eines moderierten CSA- Ansatzes zu erkennen; Control Self Assessment Workshops selber vorzubereiten und durchzuführen. Der Kurs richtet sich an alle Personen, welche bereits viel über die Standards ISO ISO wissen und deren Anwendung im Rahmen ihrer Tätigkeiten weiter verbessern wollen: Sicherheitsverantwortliche, Daten schutz-beauftragte, Risikomanager, ISO Auditoren und IT-Revisoren. Informatik-Kenntnisse sind nicht notwendig. Von besonderem Interesse ist dieser Kurs für Personen, welche sich für eine ISMS- Zertifizierung interessieren und/oder einmal den Grad ihrer Umsetzung seriös überprüfen wollen. Hinweis: Unser eintägiger «Expertenkurs» ist keine Ausbildung zum zertifizierten ISO Auditor; er liefert aber wertvollste Informationen über Aufbau und Betrieb eines ISMS weit über den typischen Inhalt eines ISO Lead Auditor Kurses hinaus. Auch Personen, welche bereits ISO Auditor sind, profitieren von diesem einzigartigen Kurs. Wir machen zudem ausdrücklich darauf aufmerksam, dass es weder für interne noch für externe ISMS-Auditoren die Bedingung gibt, dass sie über ein persönliches ISO (Lead) Auditor Zertifikat verfügen müssen. Maximal 14 Teilnehmer! Kurs-Spezialitäten Alle Teilnehmenden erhalten die aktuelle Version von ISO 27001, ISO 27002, ISO und ISO sowie ausführliche Kursunterlagen. Inhalte und Unterschiede ISO und ISO (kurz) Anwendungsmöglichkeiten von ISO 27001, ISO 27002, ISO 27004, ISO und ISO Erstellung/Unterhalt ISMS Zertifizierung Benchmarking (Messen der Sicherheit) - Vorgehen - Maturitätsmassstäbe - Hilfsmittel für Benchmarking Control Self Assessment (CSA) - Vorbereitung - Regeln - Erfolgsfaktoren - Durchführung - Rollenspiel «CSA-Workshop» Review IT-Sicherheit Sicherheitsstrategien/-konzepte Planung/Priorisierung von Massnahmen Schrittweise ISMS-Verbesserung Zusammenfassung/Abschluss n CISA Tasks: (2.1) (2.9) 5.5 n CISM Tasks: praktisch alle aber nicht sehr detailliert n CGEIT Tasks: (1.11) (3.6) (3.7) (4.6) n CRISC Tasks: (4) (5) n CobiT 5 Prozesse: (EDM03) APO13 DSS05 (MEA01) (MEA02) Referenten (Co-Teaching) n Peter R. Bitterli, CISA, CISM, CGEIT, n Hans Peter Riess, CISA, CISM, Ixact Security Inspection and Consulting AG Seminargebühren / Rabatte CHF 1'000.- für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO 27001, ISO 27002, ISO und ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «ISMS gemäss ISO 27000x implementieren und verbessern» (ISMS-KK) vom 30. September 2013 (siehe Seite 18). 1 R S G

14 Wirksame Awareness-Kampagnen gestalten und umsetzen Termin: 25. November 2013 (1 Tag) R S G AWA-KK Anhaltende Awareness schaffen (mit zahlreichen Beispielen/ Erkenntnissen aus der Praxis) Haben Sie genug von diesen lieblos gestalteten und oft absolut unwirksamen elearnings und Broschüren? Zwar können mit derartigen Kampagnen einige der gesetzlichen, regulatorischen oder vertraglichen Anforderungen z.b. von Auftraggebern oder Versicherungen rein formal erfüllt werden. Es ist aber eine Illusion zu glauben, dass diese Kampagnen die erhofften Verhaltens änderungen bewirken und somit die Wahrscheinlichkeit von durch die eigenen Mitarbeitern (mit) verursachten sicherheitsrelevanten Vorfällen merklich reduziert. Lernziel Nach unserem Kompaktkurs mit zahlreichen Praxisbeispielen sind Sie in der Lage: mögliche Zielgruppen zu erkennen und im Detail zu analysieren; für jede Zielgruppe die erwünschte Verhaltensänderung zu definieren; ein breites Angebot an Hilfsmitteln auf ihre Verwendbarkeit zu überprüfen; ein funktions- und stufengerechtes Awareness-Programm zusammenzustellen; konkrete Inhalte und Ergebnisse zu erarbeiten; Metriken zum Messen des Erfolgs zu bestimmen. Der Kurs richtet sich an alle Personen, welche sich aktiv mit Kampagnen zur Förderung des (IT-) Sicherheitsbewusstseins (oder Qualitätsbewusstseins) auseinandersetzen wollen. Der Kompaktkurs richtet sich insbesondere an: Sicherheitsverantwortliche (Informatik und andere) Marketing- und Kommunikationsspezialisten Schulungsverantwortliche an Awareness-Projekten Beteiligte Einschlägige Erfahrungen sind von Vorteil aber nicht zwingend. Ein vertieftes Informatikwissen ist nicht notwendig. Die Teilnehmer sollten aber an einer intensiven Auseinandersetzung mit allen Aspekten des Themas interessiert sein. Kurs-Spezialitäten Dies ist ein lebendiger Kurs mit unzähligen Beispielen aus der riesigen Sammlung des Kursleiters und vermittelt einen systematischen Ansatz, der bereits in verschiedenen grossen wie auch kleineren Unternehmungen erfolgreich umgesetzt wurde. Die Kursteilnehmer können eigene Beispiele mitbringen und sich der Diskussion stellen. Die Teilnehmer erhalten zusätzlich zu den eigentlichen Kursunterlagen Beispiele aus unterschiedlichsten Awareness-Kampagnen und haben die Gelegenheit, unter einander weitere Beispiele auszu tauschen. Der Kurs zeigt die wesentlichen Phasen einer Awareness-Kampagne auf: von der Festlegung der übergeordneten Ziele über die Analyse des unerwünschten Verhaltens, die Auswahl und beispielhafte Gestaltung der Elemente einer Kampagne bis zur Bestimmung der notwendigen Metriken. Dabei werden anhand einiger Beispiele aus der Praxis Erkenntnisse für die eigene Kampagne gewonnen. und Bedarfsanalyse Definition und Analyse möglicher Zielgruppen einer Awareness-Kampagne erwünschte und unerwünschte Verhaltensweisen mögliche Ursachen für die unerwünschten Verhaltensweisen mögliche Anknüpfungspunkte für Kampagnen Vorstellung verschiedener teils wissenschaftlicher Ansätze zur Analyse des Handlungsbedarfs Erkenntnisse aus der Verhaltensforschung Analyse von Marketing- und Kommunikationsmitteln unter Berücksichtigung kultureller Unterschiede - Arten (Video, Broschüren, Plakate, Schulung, e-learning,...) - Vor- und Nachteile - Kostenüberlegungen - Beispiele aus Kampagnen Entwicklung einer «Corporate Identity» der Kampagne Verknüpfung verschiedener Elemente zur Erhöhung der Wirkung Schaffung der Voraussetzungen für die Durchführung erfolgreicher Awareness-Kampagnen n CISA Tasks: 2.2 (2.6) (2.9) 5.5 n CISM Tasks: (1.8) n CGEIT Tasks: (1.7) (2.3) (2.6) 5.7 n CRISC Tasks: (4) n CobiT 5 Prozesse: (APO07) (BAI07) (DSS05) Referenten n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG

15 Effective Management of IT-related Business Risk using ISACA s Guidance Dates: October 21 and 22, 2013 (2 days) English ERM-UF Use ISACA provided guidance on enterprise risk management Introduction Effective management of IT-related business risk has become an essential component of IT governance. To recognize the complex and diverse role that risk plays, it is essential to develop a clear understanding of the risk universe, appetite and culture within your enterprise. It is also important to be able to identify and classify different types of risk, and choose an applicable analysis method for your enterprise. Leading the drive to help organizations mitigate risks, ISACA has developed different guidance to help an organisation manage their IT-related risk. This two-day, instructor-led workshop will provide the essential building blocks to develop a risk management plan. It describes the principles of IT risk management, the responsibilities and accountability for IT risk, how to build up risk awareness, and how to communicate risk scenarios, business impact, and key risk indicators. It introduces ISACA s newest guidance on IT-related business risk (Risk IT Framework, Risk IT Practitioner s Guide, CobiT 5 for Risk, Risk Scenarios Using CobiT 5 for Risk) including the process model that includes risk governance, risk evaluation, and risk response. The workshop describes how the CobiT 5 enablers can be applied in practical situations and how these enablers can be used to implement effective and efficient risk governance and management in the enterprise. The course examines the implementation and operational issues of an IT risk management framework. The workshop explores how to integrate IT risk management into ERM, establish and maintain a common risk view, and make risk-aware business decisions. Finally, the workshop elaborates on how to maintain an operational risk profile, assess risk and respond to risk, as well as how to collect event data, monitor risk and report exposures and opportunities. Learning Objectives After completing this workshop you will be able to: Describe the principles and methodology of IT risk management Recognise how a strong framework can help achieve best practices in IT risk management Explain how Risk IT relates to CobiT 5 Discuss aspects of the CobiT 5 enablers from the risk function perspective Integrate IT risk management with ERM, establish and maintain a common risk view and make risk-aware business decisions Apply the concepts of IT risk management methodologies model to realize business benefits and outcomes Understand risk appetite, risk tolerance and target risk concepts Describe and understand IT-related risk using risk scenarios analysis, know how risk scenarios can be constructed Describe risk responses suitable for different risk scenarios Determine what data to collect and where to collect it to monitor and respond to risk Discuss several methods to describe impact and magnitude of IT events in business related terms Recognize how ISACA s guidance on management of IT-related business risk Risk IT can help achieve best practices in IT risk management Target Audience This seminar is intended for managers, auditors, security or risk management professionals interested in effective (IT) risk management. Course Specialities This seminar is held by one of «ISACA s Risk Management Insiders», former member of the CobiT Steering Committee, the Risk IT Task Force and the CRISC Task Force. Course Contents Exploration of the elements of IT risk management the principles, who is responsible for IT risk, how to build awareness, and how to communicate risk scenarios, the business impact and key risk indicators Introduction to ISACA s newest guidance on IT-related risk management and the process model that includes risk governance, risk evaluation and risk response Explanation on how the guidance framework relates to CobiT 5, how the CobiT 5 enablers can be used from a risk function perspective and how it can help to achieve best practices in IT risk management Examination of the implementation and operational issues of an IT risk management framework Practical case studies References / Task Statements n CISA Tasks: 2.2 (2.6) 2.9 n CISM Tasks: (1.8) n CGEIT Tasks: ( ) n CRISC Tasks: n CobiT 5 Processes: EDM03 APO12 n CobiT 5 for Risk Enablers: Principles, Policies & Frameworks; Processes; Organisational Structures; Culture & Behaviour; Information; Services, Infra structure, Applications; People, Skills, Competencies Speaker n Urs Fischer, CPA (Swiss), CRISC, CISA, CIA Seminar Fees CHF for ISACA members; all others CHF (plus VAT) 2 nd participant of same company 30%, all further 50% discount Schedule / Location 9:15 17:15 Uhr; ITACS Training AG 2 R S G

16 Security-Design und Prüfung von VoIP Termin: 30. Oktober 2013 (1 Tag) Lernziel Kurs-Spezialitäten 1 A S VOIP-SH VoIP-Sicherheit verstehen und korrekt umsetzen Telefonie-Systeme basierend auf Voice over IP (VoIP) werden schon seit weit über 10 Jahren in Firmen und Behörden weltweit implementiert und betrieben. Die Technologie hat mittlerweile einen angemessenen Reifegrad und die Hersteller bieten Lösungen an, die das Business in wichtigen Bereichen unterstützen. IP- Telefonie bedeutet auf der anderen Seite aber auch die Konvergenz von Sprache und Daten auf dem gleichen Firmen-Netzwerk und damit teilweise Hunderte von neuen Netzwerk-Geräten (IP-Telefone), wodurch sehr kritische Risiken im Bereich der Vertraulichkeit aber auch der Integrität und Verfügbarkeit entstehen können. Moderne Lösungen sind hochintegriert, weshalb negative Ereignisse weit über die VoIP-Lösung hinaus Schaden anrichten können. Andererseits können aber auch Störungen von anderen Informatik- Einrichtungen wesentlichen Einfluss auf die Betriebssicherheit von VoIP-Lösungen nehmen. Bereits bei der Planung bzw. Beschaffung und Implementation von VoIP-basierten Lösungen ist es deshalb von entscheidender Bedeutung, dass alle relevanten Risiken identifiziert, bewertet und die VoIP-Lösung mit angemessenen Sicherheits-Massnahmen umgesetzt wird. Nicht zuletzt sind auch datenschutzrechtliche und regulatorische Anforderungen mit der einer VoIP-Lösung zu berücksichtigen. Nach unserem Kompaktkurs mit zahlreichen Praxisbeispielen: verstehen Sie, wie VoIP-Lösungen im Grundsatz funktionieren; kennen Sie die wesentlichen Risiken von konvergenten Kommunikations- Lösungen; kennen Sie die relevanten gesetzlichen und regulatorischen Anforderungen an Kommunikations-Lösungen; verstehen Sie unterschiedliche Sicherheits-Ansätze; sind Sie in der Lage, Risiken bei Ihren VoIP-Lösungen zu identifizieren, zu bewerten und Sicherheits-Anforderungen und -Massnahmen auf generischer Ebene zu formulieren; kennen Sie die Abhängigkeiten zu Netzwerk-seitigen Technologien; sind Sie in der Lage, die vorgeschlagenen Risikobehandlungsmassnahmen mit Stakeholdern abzustimmen. Dieser Kompaktkurs richtet sich an alle Projektleiter, Sicherheitsverantwortliche und Entscheidungsträger, welche gerade mit einem VoIP-Projekt konfrontiert sind und dessen Risiken beurteilen und Sicherheitsmassnahmen planen müssen oder bereits über eine VoIP-Lösung verfügen und die Risiken sukzessive erheben und beurteilen wollen. Einschlägige Erfahrungen sind von Vorteil aber nicht zwingend. Ein vertieftes Informatik- bzw. Telekommunikationswissen ist nicht notwendig. Die Teilnehmer sollten aber an einer intensiven Auseinandersetzung des Themas interessiert sein. Der Kurs vermittelt anhand verschiedener Beispiele moderne VoIP-Architekturen und deren Risiken und Sicherheitsmassnahmen. Der Kurs behandelt die Risiken und Sicherheitsmassnahmen der Anwendungs-, Infrastruktur- und Protokoll- Ebene. Darüber hinaus können auch konkrete Problemstellungen von Teilnehmenden behandelt werden. Es ist von Vorteil, wenn der Teilnehmende sich bei einem solchen konkreten Anliegen direkt mit dem Referenten in Verbindung setzt. Systematische in die Welt der VoIP-Thematik als Grundlage für das Verständnis von Risiken und deren Sicherheitsmassnahmen Risiko-Identifikation und Sicherheits- Ansätze im VoIP-Umfeld und bei Zusatzsystemen wie Unified Communications und Gesprächsaufzeichnung Vergleich verschiedener Sicherheitsansätze für die Erhöhung der Vertraulichkeit, Integrität und Verfügbarkeit von VoIP-Lösungen Sicherheitsansätze im Kontext mit Enterprise-Netzwerken und deren Technologien Konkrete Informationen, zu welchem Zeitpunkt eines Projekts welche Sicherheitsthemen der Kunde mit dem Implementations-Partner behandeln sollte. n CISA Tasks: (2.4) (2.7) (2.9) 4.9 n CISM Tasks: (1.4) (2.5) 3.4 n CGEIT Tasks:(4.2) n CRISC Tasks: (1.3) (4.2) (4.3) 4.8 n CobiT 5 Prozesse: (APO03) (BAI02) (BAI10) (DSS05) Referent n Stefan Höltschi, CISA, CRISC, Adretis AG Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG

17 BYOD and Beyond, Audit and Security of Mobile Technology Dates: December 2 and 3, 2013 (2 days) English Introduction Course Content Target Audience Seminar fees 2 R A S G BYOD-BL Get control of mobile technology In this two day seminar you learn all about the BYOD phenomenon. From access to inventory to automated tools we analyze best practices and effective implementation of controls in this fast moving area. Attendees will review key controls for each type of device and how you might use those controls in your organization with or without additional control software. From specific ios controls to Black- Berry, you learn the key components and how to integrate them into your environment. You also learn how to prepare for the technologies of tomorrow. Learning Objectives At the conclusion of this course, attendees will be able to: Manage and deploy secure applications on your mobile devices Recognize the risks and controls involved in mobile technology Understand how to prepare the organization for tomorrow s technologies Recognize the various types of software that offer mobile control capabilities Understand the technical controls available for those without the benefit of commercial solutions Conduct a technical assessment of their organization's mobile technology Our seminar starts with review of the various business uses of mobile devices and wireless standards in use today. The numerous device types are then looked at in more detail while determining the specific risks involved when these are used within the business environment. Attendees learn that each type of business use adds risk and increases the need for key controls to help mitigate and manage that risk. The session ensures that for every risk mentioned, a corresponding control is discussed to ensure that all attendees leave with a clear understanding of how they can mitigate the risks. From access to inventory to automated tools we analyze best practices and effective implementation. A large portion of the seminar concerns reviewing key controls for each type of device and how you might use those controls in your organization with or without additional control software. Attendees will use case studies throughout the two days to help ensure their understanding of key elements and to ensure they are able to perform an in-depth audit on their return to their organization. The target audience includes: a) IT staff deciding on which technology to allow and how to control the BYOD trend b) New auditors wanting to audit their organizations mobile technology c) All core IT professionals working in audit, assurance, risk, security and governance. This course is held in English. References / Task Statements n CISA Tasks: CISA Tasks: (2.5) 2.10) n CISM Tasks: (1.9) (2.9) (3.9) n CGEIT Tasks: (1.6 (1.11) (3.7) (5.5) n CRISC Tasks: (3.1) (4.1) n CobiT 5 Processes: all Speaker n Barry Lewis, CISM, CGEIT, CRISC, CISSP, Cerberus Barry Lewis is one of North America s preeminent experts in the information security field. Since 1980 he has been involved in the security field, designing, developing and implementing security measures from high-level standards to detailed technical security controls. Barry Lewis has received the prestigious John Kuyers Best Speaker/Conference Contributor Award at the ISACA 2008 International CACS Conference. CHF 1'600.- for ISACA members and for non-members CHF 1'750.- (plus VAT). Second participants in the same company 30%, all others 50% discount Schedule / Location 9:15 17:15 Uhr; ITACS Training AG NEW in the 2013 program! Registration:

18 High-Level Analyse von Projektrisiken Termine: 9. und 10. Dezember 2013 (2 Tage) R A S G APR-BJ Kritische Projekte auf ihre Risiken analysieren Immer wieder scheitern (IT-) Projekte oder werden mit massiven Verspätungen und überhöhten Kosten fertiggestellt oft auch mit lang anhaltenden und gravierenden Auswirkungen. Mit einfachen Instrumenten können kritische und/oder strategische Projekte bezüglich ihrer Risiken kritisch hinterfragt werden. Lernen Sie in unserem zweitägigen Seminar, wie Sie auch in komplexen Projekten die Übersicht wahren und die Risiken frühzeitig erkennen und bewerten können. Lernziele Nach dem Seminar sind Sie in der Lage: den Charakter eines Projektes zu d efinieren; den richtigen Projektleiter für ein kritisches Projekt zu bestimmen; einfache Charts für das Management zu erstellen; logische Gruppierung von Risiken vorzunehmen; Kausalitäten in der Projektabwicklung zu erkennen und zu bewerten; gezielt Reservemittel (Contingency) für Risikomassnahmen einzuleiten. Risikoarten der richtige Weg zur Klassifizierung für die Firma Was ist der Unterschied zwischen Risiko, Problem, Krise und Katastrophe Welche Risikomanagement-Strategien gibt es und wie setzt man diese ein Die drei Stufen des projektbezogenen Risikomanagements Risiken richtig formulieren und für den Risikokatalog verdichten Ursache und Auswirkungen von Risiken Erhebungs- und Bewertungsmethoden von Risiken Massnahmen zur Risikoentschärfung und deren Überwachung Erfolgsfaktoren als Gegenmittel zu den Risiken Wie gehen wir mit Chancen um? Kurs-Spezialitäten Entdecken Sie die High Risk Level Analyse mit dem Projektmanagement-Spezialisten und Fachbuchautoren Bruno Jenny und lernen Sie, wie Sie projektbezogene Risiken optimal managen können. n CISA Tasks: (3.2) 3.3 n CISM Tasks: n CGEIT Tasks: n CRISC Tasks: ( ) (4.6) n CobiT 5 Prozesse: BAI01 BAI07 (BAI02) (BAI03) Referent n Bruno Jenny, SPOL AG Seminargebühren / Rabatte CHF 1'600.- für ISACA-Mitglieder; alle anderen CHF 1'750.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG Dieser Kurs richtet sich an (IT-) Sicherheitsbeauftragte oder IT-Revisoren; Projektauftraggeber oder andere Personen, welche durch Projekte direkt oder indirekt betroffen sind; Controller von Softwareentwicklungs- oder anderen IT-Projekten sowie an Informatikprojektleiter und ihre Vorgesetzten.

19 in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance Termine: 3. Juli 2013 (1 Tag) 26. August 2013 (1 Tag) COB-KK CobiT 5 verstehen und alle Neuheiten sowie Änderungen von CobiT 4.1 zu CobiT 5 kennen mit dem profunden Kenner, Übersetzer und Reviewer von CobiT-Elementen Dieser eintägige Kompaktkurs zu CobiT 5 bietet eine Fülle von Informationen über das neue Governance Framework von ISACA. Dieser Kurs versorgt sowohl bestehende Spezialisten wie auch CobiT- Neulinge mit einen ausgezeichneten Einblick in das neue Frame work und erläutert die offensichtlichen wie auch die versteckten Unterschiede zu CobiT 4.1. Lernziele Am Ende dieses Kurses ist ein Teilnehmer in der Lage: die wesentlichen Elemente von CobiT 5 vorzustellen; die Grundprinzipien der Governance der Unternehmensinformatik und die Unterschiede zwischen Governance und Management zu erläutern; einzuschätzen, wie die CobiT 5-Prozesse die Erzeugung der fünf grundlegenden Principles und der sieben Governance and Management Enabler unterstützen; die Implementierung von CobiT in den Grundzügen zu erklären; die Unterschiede zwischen CobiT 4.1 und CobiT 5 zu verstehen und zu wissen, was bei einer Migration zu berücksichtigen ist; die Vorteile der Verwendung von CobiT 5 zu erklären. Das umfasst: a) gegenwärtige Anwender von CobiT 4.1, die entscheiden müssen, ob sie zu CobiT 5 wechseln möchten; b) Personen, die schon alles über CobiT 5 zu glauben wissen; c) Personen, welche über keine Erfahrung mit CobiT verfügen und (alles) über CobiT 5 erfahren wollen; d) alle Fachspezialisten innerhalb und ausserhalb der Informatik in: Revision, Assurance, Governance, Risikomanagement, Compliance und Sicherheit. Nutzen der aktualisierten Version Übersicht über wesentlichste Elemente Analyse der Ziele Hinweise zu verschwundenen Elementen von CobiT 4.1 CobiT 4 Prozesskontrollen PC1 PC6 CobiT 4 Anwendungskontrollen AC1 AC6 CobiT 4 Informationskriterien Begriffliche Verschiebungen von CobiT 4 zu CobiT 5 CobiT und die Frameworks Abdeckungsgrad Vergleich mit anderen Frameworks in CobiT 5 integrierte Frameworks Trennung von Governance und Management CobiT-Hierachie Governance versus Management: verschiedene Lebenszyklen CobiT 5 Prozesslandschaft Veränderungen zu CobiT 4 IT-bezogene Ziele und Metriken Prozessziele und Metriken RACI-Tabellen (= AKV) Praktiken und Aktivitäten Input und Output-Tabellen das neue Maturitätsmodell PAM CobiT 5 Grundprinzipien Stakeholder-Bedürfnisse befriedigen Unternehmen durchgehend abdecken ein einziges integriertes Framework ganzheitlicher Ansatz Trennung Governance & Management CobiT 5 Enterprise Enabler Prinzipien, Richtlinien und Frameworks Prozesse Organisationsstrukturen Kultur, Ethik und Verhalten Information Dienstleistungen, Infrastruktur und Anwendungen Personen, Fähigkeiten und Kernkompetenzen Kaskadierung der Ziele in CobiT 5 von den Bedürfnissen der Stakeholder zur Implementierung von Prozessen und Aktivitäten Implementierung von CobiT 5 Positionierung von GEIT (Governance in Enterprise IT) erste Schritte in Richtung GEIT identifizieren der Herausforderungen und Erfolgsfaktoren Ermöglichung von Änderungen Implementierungs-Lebenszyklus: Aufgaben, Rollen, Verantwortlichkeiten CobiT 5 for Security Definition der Informationssicherheit CobiT 5 Prinzipien und Sicherheit CobiT 5 Enablers und Sicherheit (z.b. Richtlinien, Prozesse, Organisationseinheiten, Security Services, ) Implementierung von Sicherheits- Initiativen Verknüpfung mit anderen Frameworks CobiT 5 for Risk CobiT 5 for Risk im Vergleich zu Risk IT CobiT 5 Prinzipien und Risikomanagement CobiT 5 Enabler und Risikomanagement Verknüpfung mit anderen Frameworks Verwendung von CobiT 5 für Audit Verwendung von CobiT 5 Verwendung von CobiT 5 for Security Verwendung von CobiT 5 for Risk Verwendung von CobiT 5 for Assurance Spezialitäten Dieser Kurs geht weit über einen üblichen Foundation-Kurs hinaus. Er wurde in enger Zusammen arbeit mit dem kanadischen Spezialisten Barry Lewis entwickelt. n CISA Tasks: n CISM Tasks: 1.3 (1.8) (3.2) n CGEIT Tasks: n CRISC Tasks: (4.1) n CobiT 5 Prozesse: alle Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG 1 R A S G

20 IT-Governance erfolgreiche eines entsprechenden Frameworks Termin: 16. August 2013 (1 Tag) Lernziel Kurs-Spezialitäten 1 R A S G GOV-KK Typische Problemfelder erkennen und vermeiden Zahlreiche Publikationen beschäftigen sich mit IT-Governance. Jedoch sind die Ausführungen oft etwas unscharf: nur schon bei den Definitionen gibt es unterschiedlichste Varianten. Zudem scheint sich in der Praxis die Erkenntnis durchgesetzt zu haben, dass IT-Governance keine exakte Wissenschaft ist, sondern im Wesentlichen aus einem Set von guten Ideen und bewährten Praktiken besteht. Das grosse Interesse an IT-Governance Themen sowie das neue CGEIT-Berufsbild 2013 haben uns dazu inspiriert, einen weiteren Kurs anzubieten, welcher die wesentlichen Grundlagen von IT-Governance in einer kompakten Form zusammenfasst und als Einstieg in das spannende aber schwierige Thema dienen kann. Neu im Programm 2013! Nach diesem Kompaktkurs sind Sie in die Lage: die Unterschiede zwischen Governance und Management zu erläutern; Anforderungen und Ziele für ein umfassendes IT-Governance Framework zu erläutern; die für unterschiedliche Fragestellungen passenden Governance- und Management-Frameworks (CobiT 5, ITIL V3, ISO usw.) auszuwählen; Rollen und Verantwortlichkeiten für IT- Governance zu implementieren; die wichtigsten Probleme im Zusammenhang mit IT-Governance zu erkennen und die entsprechenden Erkenntnisse in der Praxis sinnvoll umzusetzen. Der Kompaktkurs richtet sich an alle, die Interesse an Unternehmensführung und IT-Governance haben insbesondere an Personen, welche im IT-Umfeld bereits grössere Management-Verantwortung tragen oder dorthin unterwegs sind: Projektleiter, Führungs- und Fachverantwortliche im Bereich Compliance, Informations-/IT Sicherheit, IT-Architektur, IT- Risikomanagement oder IT-(Strategie-) Beratung sowie entsprechende Assurance-Funktionen wie Compliance, Audit usw. Dieser Kurs etabliert eine systematische und stabile Basis, um darauf aufbauend weitere Governance-Aspekte wie z.b. strategische Ausrichtung, Risiko-Optimierung, Nutzen-Optimierung und Ressourcen-Optimierung zu vertiefen. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche (idealerweise) bereits vor Kursbeginn durchgearbeitet werden. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Corporate/Enterprise-Governance versus IT-Governance IT-Governance versus IT-Management (auch am Beispiel von CobiT 5) Die zahlreichen Frameworks für IT- Governance resp. IT-Management im Vergleich Rollen und Verantwortlichkeiten für und Betrieb von IT-Governance Einflussfaktoren für IT-Governance und entsprechende IT Governance Enabler von IT-Governance in einem Unternehmen Grösste Hindernisse einer erfolgreichen Kritische Erfolgsfaktoren für IT-Governance n CISA Tasks: n CISM Tasks: (1.3) 1.6 (1.8) 1.9 n CGEIT Tasks: n CRISC Tasks: (1.2) (3.2) (4.9) (5.1) (5.3) n CobiT 5 Prozesse: EDM01 (EDM02 05) Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 8:15 17:15 Uhr; Zürich