Brandschutzbeauftragter (TÜV )

Transkript

1 TÜV NORD Akademie Personenzertifizierung Merkblatt IT-Grundschutzexperte (TÜV ) Zertifizierungsprogramm: Merkblatt Brandschutzbeauftragter (TÜV )

2

3 Merkblatt IT-Grundschutzexperte (TÜV ) Anforderungen an die Qualifikation Personenzertifizierung Große Bahnstraße Hamburg Telefon: Telefax: perszert@tuev-nord.de TÜV Dieses Merkblatt ist von der Personenzertifizierung der TÜV NORD Akademie GmbH & Co. KG aufgestellt. Es enthält Qualifikationskriterien, die bei der Zertifizierung von IT-Grundschutzexperten zu beachten sind. Das Merkblatt wird laufend den neuesten Erkenntnissen angepasst. Anregungen sind zu richten an den Herausgeber. Inhalt 1. Allgemeines 4 2. Anwendungsbereich 4 3. Voraussetzungen Allgemeine Voraussetzungen Persönliche Voraussetzungen Kenntnisse und Fähigkeiten Ausbildung, Arbeitserfahrung, Schulung 6 4. Schulungen 6 5. Tätigkeitsmerkmale 7 Themen der Schulung 8 Rev. 00 Stand: :20 Dieses Merkblatt ist urheberrechtlich geschützt. Die Vervielfältigung, die Verbreitung, der Nachdruck und die Gesamtwiedergabe auf fotomechanischem oder ähnlichem Wege bleiben, auch bei auszugsweiser Verwertung, der vorherigen Zustimmung des Herausgebers vorbehalten. BSI100-Merkblatt IT-Grundschutz-Experte (TÜV ) Seite 3 von 8 Seiten

4 1. Allgemeines Informationen stellen wesentliche Werte für Unternehmen und Behörden dar. Sie erfordern es, in angemessener Art und Weise geschützt zu werden. Innerhalb von Betriebsund Geschäftsprozessen werden diese Informationen zumeist mit Hilfe der Informationstechnik verarbeitet, gespeichert bzw. übertragen. Eine sichere und zuverlässige Informationstechnik ist daher ebenso wie der vertrauenswürdige Umgang mit Informationen unerlässlich. Über die Funktion und Aufrechterhaltung des Betriebs und wesentlicher Geschäftsprozesse hinaus ist die Vertraulichkeit von Informationen (z.b. im Datenschutz) und deren Integrität (Unverändertheit) von hoher Bedeutung. Unzureichend geschützte Informationen stellen in Wirtschaft und Verwaltung einen Risikofaktor dar, der im Schadensfall existenzbedrohend sein kann. Ein effektives und nachhaltiges Management der Informationssicherheit wirkt risikomindernd und gewährleistet die Informationssicherheit in Unternehmen wie Behörden. Dazu ist ein koordinierter Sicherheitsprozess zu etablieren und ein Sicherheitskonzept zu erstellen. Hierbei ist es zweckmäßig, auf anerkannte Standards wie den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufzubauen und damit vorhandene Erfahrung und Praxiswissen zu nutzen. Die vom BSI entwickelte IT-Grundschutz-Methodik besteht aus der Kombination des BSI- Standard 100 und den IT-Grundschutz-Katalogen. Sie zeichnet sich u.a. dadurch aus, dass anwendbare Sicherheitsmaßnahmen in themenbezogenen Bausteinen gebündelt sind und so bereits mit verhältnismäßig geringem finanziellen und zeitlichen Aufwand ein normales" Schutzniveau zu erreichen ist. Bei höheren Risiken werden zusätzliche Analysen erforderlich, die durch die BSI- Standardreihe 100 unterstützt werden. Damit ist die IT-Grundschutz-Methodik kompatibel zur international anerkannten Norm ISO für Informationssicherheitsmanagementsysteme und liefert weitere umfangreiche, detaillierte Empfehlungen und konkrete Vorgehensweisen. Erfahrungen zeigen, dass qualifizierte Experten für IT-Grundschutz einen wesentlichen Erfolgsfaktor für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems auf Basis des IT-Grundschutzes darstellen. In diesem Merkblatt werden die Kriterien für die Qualifizierung und Zertifizierung von IT- Grundschutz-Experten (TÜV ) in starker Anlehnung an die Vorstellungen und Konzepte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) festgelegt. Durch die Anwendung der hier beschriebenen Qualifikationsvorgaben und Tätigkeitsmerkmale soll die Ausbildung von IT-Grundschutz-Experten in entsprechenden Lehrgängen auf stets einheitlichem und gleich bleibend hohem Niveau nachvollziehbar und damit zertifizierungsfähig gehalten werden. 2. Anwendungsbereich Das Merkblatt IT-Grundschutz-Experte (TÜV ) findet Anwendung in der Qualifizierung und Zertifizierung von Personen, welche als Berater, Spezialisten oder Verantwortliche in Unternehmen oder öffentlichen Einrichtungen zur Etablierung und Aufrechterhaltung der Informationssicherheit nach der IT-Grundschutz-Methodik beitragen sollen und neben ihrer Berufserfahrung eine Schulung gem. Tabelle 1 durchlaufen haben. BSI100-Merkblatt IT-Grundschutz-Experte (TÜV ) Seite 4 von 8 Seiten

5 Nach erfolgreicher Absolvierung der Schulung IT-Grundschutz-Experte (TÜV ) oder einer vergleichbaren Schulung verbunden mit einer erfolgreich abgeschlossenen Prüfung, welche den Qualifikationen dieses Merkblattes entsprechen, erstellt die Personenzertifizierung der TÜV NORD Akademie für den Kandidaten ein Zertifikat IT-Grundschutz-Experte (TÜV ). 3. Voraussetzungen 3.1 Allgemeine Voraussetzungen Teilnehmer an der Qualifizierungsmaßnahme IT-Grundschutz-Experte (TÜV ) sind interessierte Personen, die als Experten für IT-Grundschutz in der Funktion eines Beraters, Spezialisten oder Verantwortlichen die Informationssicherheit nach IT-Grundschutz in Unternehmen und Behörden etablieren oder maßgeblich dazu beitragen sollen. 3.2 Persönliche Voraussetzungen Eine der wesentlichen Bedingungen für die Wahrnehmung der Funktion des IT- Grundschutz-Experten ist die Erfüllung der Anforderungen an die persönliche Eignung der eingesetzten Personen. Diese Anforderungen umfassen die überdurchschnittliche Ausprägung folgender persönlicher Eigenschaften: Führungskompetenz Verantwortungsbewusstsein Glaubwürdigkeit Überzeugungsfähigkeit Soziale Kompetenz Kommunikation Teamfähigkeit Umgang mit Lob und Kritik Persönliche Kompetenz Kreativität Flexibilität Belastbarkeit Zielorientierung Unternehmerisches Denken Durchsetzungsstärke Motivation von sich und anderen Einfühlungsvermögen Informationsvermittlung Beharrlichkeit Mut und Optimismus Analytisches Denkvermögen BSI100-Merkblatt IT-Grundschutz-Experte (TÜV ) Seite 5 von 8 Seiten

6 3.3 Kenntnisse und Fähigkeiten Der IT-Grundschutz-Experte muss über Wissen und Erfahrung auf den Gebieten Informationstechnik, Informationssicherheit/IT-Sicherheit und IT-Grundschutz (gemäß BSI) verfügen. Erfahrungen im Projektmanagement sind grundsätzlich von Vorteil. Der IT-Grundschutz-Experte muss Kenntnisse erwerben und nachweisen über die Grundlagen der Informationssicherheit, des Risikomanagements, des Informationssicherheitsmanagements und der Sicherheitskonzeption, die Struktur, Inhalte und Anwendungsweise von im Kontext des IT-Grundschutzes relevanten Standards: ISO 27001, BSI 100-1, BSI 100-2, BSI 100-3, die Struktur und Anwendungsweise der IT-Grundschutz-Kataloge. Der Erwerb dieser Kenntnisse geschieht in der Regel durch berufliche Praxis (siehe Kapitel 3.4) sowie durch die Teilnahme an einer anerkannten Schulung, welche auf den in der Tabelle 1 angegebenen Inhalten basiert. 3.4 Ausbildung, Arbeitserfahrung, Schulung Kandidaten müssen eine Berufsausbildung alternativ ein Hochschulstudium mit erfolgreichem Abschluss, mindestens zwei Jahre Berufserfahrung auf dem Gebiet der Informationstechnologie oder in einem sonstigen IT- oder sicherheitsrelevanten Umfeld alternativ mindestens 5 jährige relevante Berufserfahrung (gemäß o.g. Kriterien) nachweisen können. Darüber hinaus ist der Nachweis der Kenntnisse und Fähigkeiten nach Tabelle 1 erforderlich. Dieser wird in der Regel durch die erfolgreiche Teilnahme an einer entsprechenden und anerkannten Schulung von mindestens drei Tagen Dauer (entspricht 24 Unterrichtseinheiten (UE) Schulung und Prüfung) erreicht. 4. Schulungen Wesentliche Qualifikationsmerkmale des IT-Grundschutz-Experten sind grundlegende Kenntnisse und Fähigkeiten zu den in Tabelle 1 genannten Themen. Teilnehmer einer anerkannten Schulung können anschließend einer schriftlichen Abschlussprüfung unterzogen werden. Näheres ist in der Prüf- und Zertifizierungsordnung der Personenzertifizierung der TÜV NORD Akademie niedergelegt. BSI100-Merkblatt IT-Grundschutz-Experte (TÜV ) Seite 6 von 8 Seiten

7 5. Tätigkeitsmerkmale Der IT-Grundschutz-Experte wird als Berater, Spezialist oder Verantwortlicher das Informationssicherheitsmanagement nach IT-Grundschutz in Unternehmen und Behörden unterstützen oder maßgeblich dazu beitragen. Er wird die für die Belange der Informationssicherheit auf Basis des BSI-Standard 100 und der IT-Grundschutz-Kataloge folgende Aufgaben auszuführen oder bei deren Ausführung beratend tätig zu sein: Initiierung und Begleitung des Sicherheitsprozesses, Erstellung von Anforderungsanalysen, Definition und Umsetzung einer Informationssicherheitsorganisation, Erstellung einer Sicherheitskonzeption nach IT-Grundschutz, Definition des Geltungsbereiches des Informationssicherheitsmanagementsystems, Strukturanalyse, Schutzbedarfsfeststellung, Auswahl und Anpassung von Maßnahmen (Modellierung nach IT-Grundschutz), Planung und Durchführung von Basis-Sicherheitschecks, ergänzende Sicherheitsanalyse, ergänzende Risikoanalyse, Umsetzung einer Sicherheitskonzeption mit den Methoden des Projektmanagements, Aufrechterhaltung und Verbesserung des Informationssicherheitsmanagementsystems. BSI100-Merkblatt IT-Grundschutz-Experte (TÜV ) Seite 7 von 8 Seiten

8 Tabelle 1: Themen der Schulung UE* Themenkreise und Themen 1. Grundlagen der Informationssicherheit 5 UE Aktuelle Herausforderungen und Erwartungen an die Informationssicherheit Motivation und Grundsätze der Informationssicherheit Bedrohungen und Schwachstellen Informationssicherheit als Prozess Modelle und Standards für ganzheitliche Informationssicherheit Grundlagen des Sicherheitsmanagements nach ISO Die BSI-Standards zur Informationssicherheit Informationssicherheits-Managementsysteme nach ISO und BSI-Standard Sicherheitskonzeption nach IT-Grundschutz (BSI-Standard 100-2, IT-Grundschutz-Kataloge) Risikoanalysestrategien und Notfallvorsorge (BSI-Standards und 100-4, ISO 27005) 12 UE Prüfung und Zertifizierung nach ISO auf der Basis von IT- Grundschutz 3. Praktische Aspekte der Arbeit mit den BSI-Standards zur Informationssicherheit 7 UE Strukturanalyse Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen (Modellierung nach IT- Grundschutz) Planung und Durchführung von Basis-Sicherheitschecks Ergänzende Sicherheitsanalyse und Risikoanalyse Toolbasiertes Informationssicherheitsmanagement am Beispiel von GSTOOL und verinice 4. Abschlussprüfung Schriftlich: 24 Aufgaben, davon 20 MC- und 4 offene Aufgaben 1,3 UE 1,3 UE (60 Minuten) UE: Unterrichtseinheit à 45 Minuten BSI100-Merkblatt IT-Grundschutz-Experte (TÜV ) Seite 8 von 8 Seiten