TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV )

Transkript

1 TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV )

2

3 Merkblatt Chief Information Security Officer (TÜV ) Personenzertifizierung Große Bahnstraße Hamburg Telefon: Telefax: perszert@tuev-nord.de TÜV Anforderungen an die Qualifikation Dieses Merkblatt ist Bestandteil des Zertifizierungsprogramms, welches von der Personenzertifizierung der TÜV NORD Akademie GmbH & Co. KG aufgestellt wird. Es enthält Qualifikationskriterien, die bei der Zertifizierung von Personen als zu beachten sind. Chief Information Security Officer (CISO) Das Merkblatt wird laufend den neuesten Erkenntnissen angepasst. Anregungen sind an den Herausgeber zu richten. Inhalt 1. Allgemeines 4 2. Anwendungsbereich 4 3. Voraussetzungen Allgemeine Voraussetzungen Persönliche Voraussetzungen Kenntnisse und Fähigkeiten Ausbildung, Arbeitserfahrung, Schulung 6 4. Schulungen 6 5. Tätigkeitsmerkmale 7 Tabelle 1: 8 Themen und Inhalte der Schulung 8 Rev. 00 Stand: :23 Status: freigegeben Dieses Merkblatt ist urheberrechtlich geschützt. Die Vervielfältigung, die Verbreitung, der Nachdruck und die Gesamtwiedergabe auf fotomechanischem oder ähnlichem Wege bleiben, auch bei auszugsweiser Verwertung, der vorherigen Zustimmung der Herausgeber vorbehalten. Merkblatt Chief Information Security Officer (TÜV ) Seite 3 von 10 Seiten

4 1. Allgemeines Die Informationssicherheit hat zum Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen und Systeme in ausreichendem Maß sichergestellt wird. Die Herstellung der Informationssicherheit in Unternehmen und Einrichtungen ist Gemeinschaftsaufgabe aller im Betrieb beschäftigten Mitarbeiter. Der Unternehmer bzw. der Leiter einer Organisation trägt jedoch die Verantwortung für die Erfüllung dieser Aufgabe in seinem Bereich. Die vielfältigen und umfangreichen Aufgaben machen es erforderlich, zur Unterstützung der oder des Verantwortlichen innerhalb der Sicherheitsorganisation des Betriebes einen oder mehrere Verantwortliche zu bestellen, dem oder denen diese Aufgaben in wesentlichen Teilen übertragen werden. Die Qualifikationsstufen für diese Personen sind Information Security Officer (TÜV ) und Chief Information Security Officer (TÜV ) mit folgenden Kompetenzmerkmalen: Information Security Officer: Der Information Security Officer (ISO) muss vertraut sein mit den Grundlagen und Normen des Informationssicherheitsmanagements und er muss die Prinzipien, Methoden und Verfahren des Informationssicherheitsmanagements entsprechend den Belangen der Wirtschaft beherrschen. Er muss die Kompetenz besitzen, um beim Aufbau und bei der Aufrechterhaltung eines Informationssicherheitsmanagementsystems Unterstützung zu leisten. Chief Information Security Officer: Der Chief Information Security Officer (CISO) muss die Qualifikation des ISO haben und kompetent sein, ein Informationssicherheitsmanagementsystem aufzubauen und anzuwenden. Er kann 1 st - und 2 nd -Party Audits organisieren und ein Informationssicherheitsmanagementsystem im Rahmen eines Verbesserungsprozesses weiterentwickeln. In diesem Merkblatt werden die Kriterien für die Qualifizierung und Zertifizierung der Chief Information Security Officer (TÜV ) festgelegt. Durch die Anwendung der hier beschriebenen Qualifikationsvorgaben und Tätigkeitsmerkmale soll die Ausbildung von Chief Information Security Officers (TÜV ) in entsprechenden Lehrgängen auf stets einheitlichem und gleich bleibend hohem Niveau nachvollziehbar und damit zertifizierungsfähig gehalten werden. 2. Anwendungsbereich Das Merkblatt Chief Information Security Officer (TÜV ) findet Anwendung in der Qualifizierung und Zertifizierung von Personen, welche als Chief Information Security Officer in Unternehmen oder Einrichtungen bestellt wurden oder werden sollen und eine Schulung gem. Tabelle 1 durchlaufen haben. Nach erfolgreicher Absolvierung der Ausbildung Chief Information Security Officer (TÜV ) oder einer vergleichbaren Ausbildung verbunden mit jeweils erfolgreich abgeschlossener schriftlicher und praktischer Prüfung, welche den Qualifikationen dieses Merkblattes entsprechen, erstellt die Personenzertifizierung der TÜV NORD Akademie für den Kandidaten ein Zertifikat Chief Information Security Officer (TÜV ). Merkblatt Information Security Officer (TÜV ) Seite 4 von 10 Seiten

5 3. Voraussetzungen 3.1 Allgemeine Voraussetzungen Teilnehmer an einer Qualifizierungsmaßnahme Chief Information Security Officer (TÜV ) sind interessierte Personen, die die Funktion als Information Security Officer ausüben sollen. 3.2 Persönliche Voraussetzungen Eine der wesentlichen Bedingungen für die Wahrnehmung der Funktion als Information Security Officer ist die Erfüllung der Anforderungen an die persönliche Eignung der eingesetzten Personen. Diese Anforderungen umfassen die überdurchschnittliche Ausprägung folgender persönlicher Eigenschaften: Führungskompetenz Verantwortungsbewusstsein Unternehmerisches Denken Glaubwürdigkeit Durchsetzungsstärke Überzeugungsfähigkeit Motivation von sich und Anderen Soziale Kompetenz Kommunikation Einfühlungsvermögen Teamfähigkeit Informationsvermittlung Umgang mit Lob und Kritik Persönliche Kompetenz Kreativität Beharrlichkeit Flexibilität Mut und Optimismus Belastbarkeit Analytisches Denkvermögen Zielorientierung sowie die Identifikation mit den Zielsetzungen der Institution, die Einsicht in die Notwendigkeit von Informationssicherheit, Erfahrungen im Projektmanagement. Merkblatt Chief Information Security Officer (TÜV ) Seite 5 von 10 Seiten

6 3.3 Kenntnisse und Fähigkeiten Der Chief Information Security Officer muss die Qualifikation Information Security Officer (TÜV ) besitzen und über Wissen und Erfahrung in den Gebieten Informationstechnik und IT-Sicherheit verfügen. Weiterhin muss er die folgenden Qualifikationen und Eigenschaften besitzen: Er muss Kenntnisse erwerben und nachweisen über die Grundlagen: der Informationssicherheit, des Risikomanagements, des Informationssicherheitsmanagements, der Informationssicherheitskonzeption, der Sicherheit von Infrastrukturen, des Internets und von Netzwerken, der Anwendung von Standards zur Informationssicherheit, der prozessorientierten Informationssicherheit, der personellen Informationssicherheit, (siehe Tabelle 1). 3.4 Ausbildung, Arbeitserfahrung, Schulung Kandidaten müssen in der Regel eine Berufsausbildung bzw. ein Hochschulstudium mit erfolgreichem Abschluss und mindestens drei Jahre Berufserfahrung nachweisen können. Alternativ ist eine mindestens sechsjährige Berufserfahrung ausreichend. Jeweils ein Jahr der Berufserfahrung muss aus dem Bereich der Informationssicherheit stammen. Darüber hinaus ist der Nachweis der Kenntnisse und Fähigkeiten nach Tabelle 1 erforderlich. Dieser wird in der Regel durch die erfolgreiche Teilnahme an einer entsprechenden und anerkannten Schulung von mindestens vier Tagen Dauer (32 Unterrichtseinheiten Schulung und Prüfung) erreicht. 4. Schulungen Wesentliche Kompetenzmerkmale des Chief Information Security Officers (TÜV ) sind grundlegende Kenntnisse und Fähigkeiten zu den in Tabelle 1 genannten Themen. Nach Absolvierung einer qualifizierten Schulung werden die Teilnehmer einer schriftlichen und praktischen Abschlussprüfung unterzogen. Näheres ist in der Prüf- und Zertifizierungsordnung der Personenzertifizierung der TÜV NORD Akademie niedergelegt. Merkblatt Chief Information Security Officer (TÜV ) Seite 6 von 10 Seiten

7 5. Tätigkeitsmerkmale Der Chief Information Security Officer hat die jeweiligen Verantwortlichen einer Organisation in Fragen der Informationssicherheit innerhalb seines Aufgabenbereiches zu beraten und zu unterstützen. Dazu hat er insbesondere folgende Tätigkeiten auszuführen: Steuerung und Koordination des Sicherheitsprozesses, Ermitteln von Sicherheitszielen und Sicherheitsstrategie mit der Unternehmensleitung, Erstellung des Informationssicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte, die seinen Verantwortungsbereich tangieren, Auswahl einer geeigneten Risikoanalysemethodik und Integration in das Risikomanagement des Unternehmens, Aufbau und Koordination des IT-Sicherheitsmanagement-Teams, Initiierung der Erstellung von Sicherheitsrichtlinien einschließlich der Koordination der Bereiche, Erstellung eines Realisierungsplanes für die Informationssicherheitsmaßnahmen und deren Realisierung, Berichterstattung an die Unternehmensleitung, Vorbereitung und Durchführung von Management-Bewertungen gemeinsam mit der Unternehmensleitung, Steuerung sicherheitsrelevanter Projekte, Planung und Organisation von 1 st - und 2 nd -Party Audits, Untersuchung sicherheitsrelevanter Zwischenfälle sowie Initiierung und Steuerung von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit. Merkblatt Chief Information Security Officer (TÜV ) Seite 7 von 10 Seiten

8 Tabelle 1: Themen und Inhalte der Schulung UE* Themenbereich und Lerninhalte 1. Steuerung der Informationssicherheit Die Rolle des CISO im IS-Management Zielsetzung Steuerungsinstrumente Indikatoren Kontrolle, Überwachung Management-Bewertung des ISMS und kontinuierliche Verbesserung (KVP) Sicherheitsvorfallbehandlung im Rahmen der kontinuierlichen Verbesserung 5 UE 2. Risikomanagement Standards und Methoden: ISO ISO BSI FMEA Einbindung in das unternehmensweite Risikomanagement Übung zur Erstellung einer Risikoanalyse: Ermittlung von Bedrohungsszenarien und Schwachstellen für ein gegebenes Asset (Informationswert) Bewertung des Risikos für: o Vertraulichkeit, o Verfügbarkeit und o Integrität des Assets Ermittlung eines Risikowertes unter Anwendung der ISO Ableitung von Handlungsempfehlungen zur Risikobehandlung 4 UE 3. Personelle Aspekte der Informationssicherheit Der Personalprozess nach ISO 27001, A.8 Personalauswahl, Vertrauenswürdigkeit Einstellung, Rollenwechsel und Ausscheiden von Mitarbeitern Sensibilisierung für Informationssicherheit, Aufrechterhaltung der Sensibilisierung Assetverwaltung im Personalprozess Umgang mit organisationseigenen Assets 2 UE UE: Unterrichtseinheit à 45 Minuten Merkblatt Chief Information Security Officer (TÜV ) Seite 8 von 10 Seiten

9 UE* Themenbereich und Lerninhalte 4. Auslagerung von Prozessen und Diensten Grundsätzliche Erwägungen zur Auslagerung von Diensten Fallunterscheidungen: Outtasking Outsourcing Cloud-Dienstleistungen 3 UE 5. Informationssicherheit im Kontext weiterer, relevanter Standards ISO Familie BSI-100 Familie ITIL CoBit ISF: The Standard Common Criteria (ISO 15408) FIPS (Federal Information Processing Standard) ISO 9001 IS-Anforderungen aus dem Qualitätsmanagement 2 UE 6. Business Continuity Management Grundlagen des Notfallmanagements, BCM als Organisationsaufgabe, Verzahnung mit dem Informationssicherheitsmanagement Relevante Standards des Notfallmanagements: ISO BSI Notfallorganisation Testen von Notfallplänen 4 UE 7. Auditierung Planung eines internen Auditprogrammes (ISO 19011) Methoden der internen Auditierung Risikoorientierung Dokumentation und Aufzeichnungen Organisation externer Audits Die Rolle des CISO bei der Organisation und Durchführung externer Audits Anforderungen des Auditteams und organisatorische Rahmenbedingungen 4 UE UE: Unterrichtseinheit à 45 Minuten Merkblatt Chief Information Security Officer (TÜV ) Seite 9 von 10 Seiten

10 UE* Themenbereich und Lerninhalte 8. Compliance Aspekte der Informationssicherheit Rechtsgrundlagen der Informationssicherheit und Compliance Verantwortung für die IS: Pflichten der Geschäftsleitung, Haftung der Geschäftsleitung Der Chief Information Security Officer: Rolle, Anforderungen, Haftung, Pflichten Datenschutz, IS-Management, Compliance-Management, Anforderungsmanagement 8 UE 9. Prüfung Schriftlich Multiple-Choice- und offene Aufgaben Praktisch (Erstellung einer Fallstudie in Rahmen einer Hausarbeit) 75 Minuten 18 Werktage UE: Unterrichtseinheit à 45 Minuten Merkblatt Chief Information Security Officer (TÜV ) Seite 10 von 10 Seiten