TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Information Security Officer (TÜV )

Transkript

1 TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm - Merkblatt Information Security Officer (TÜV )

2

3 Merkblatt Information Security Officer (TÜV ) Personenzertifizierung Große Bahnstraße Hamburg Telefon: Telefax: perszert@tuev-nord.de TÜV Anforderungen an die Qualifikation Dieses Merkblatt ist von der Personenzertifizierung der TÜV NORD Akademie GmbH & Co. KG aufgestellt. Es enthält Qualifikationskriterien, die bei der Zertifizierung von Information Security Officers (TÜV ) zu beachten sind. Das Merkblatt wird laufend den neuesten Erkenntnissen angepasst. Anregungen sind an den Herausgeber zu richten. Inhalt 1. Allgemeines 4 2. Anwendungsbereich 4 3. Voraussetzungen Allgemeine Voraussetzungen Persönliche Voraussetzungen Kenntnisse und Fähigkeiten Ausbildung, Arbeitserfahrung, Lehrgang 6 4. Lehrgänge 6 5. Tätigkeitsmerkmale 7 Tabelle 1: 8 Themen und Inhalte des Lehrgangs 8 Rev. 00 Stand: :31 Status: freigegeben Dieses Merkblatt ist urheberrechtlich geschützt. Die Vervielfältigung, die Verbreitung, der Nachdruck und die Gesamtwiedergabe auf fotomechanischem oder ähnlichem Wege bleiben, auch bei auszugsweiser Verwertung, der vorherigen Zustimmung der Herausgeber vorbehalten. IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 3 von 10 Seiten

4 1. Allgemeines Die Informationssicherheit hat zum Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen und Systeme in ausreichendem Maß sichergestellt wird. Die Herstellung der Informationssicherheit in Unternehmen und Einrichtungen ist Gemeinschaftsaufgabe aller im Betrieb beschäftigten Mitarbeiter. Der Unternehmer bzw. der Leiter einer Organisation trägt jedoch die Verantwortung für die Erfüllung dieser Aufgabe in seinem Bereich. Die vielfältigen und umfangreichen Aufgaben machen es erforderlich, zur Unterstützung der oder des Verantwortlichen innerhalb der Sicherheitsorganisation des Betriebes einen oder mehrere Verantwortliche zu bestellen, dem oder denen diese Aufgaben in wesentlichen Teilen übertragen werden. Die Qualifikationsstufen für diese Personen sind Information Security Officer (TÜV ) und Chief Information Security Officer (TÜV ) mit folgenden Kompetenzmerkmalen: Information Security Officer: Der Information Security Officer (ISO) muss vertraut sein mit den Grundlagen und Normen des Informationssicherheitsmanagements und er muss die Prinzipien, Methoden und Verfahren des Informationssicherheitsmanagements entsprechend den Belangen der Wirtschaft beherrschen. Er muss die Kompetenz besitzen, um beim Aufbau und bei der Aufrechterhaltung eines Informationssicherheitsmanagementsystems Unterstützung zu leisten. Chief Information Security Officer: Der Chief Information Security Officer (CISO) muss die Qualifikation des ISO haben und kompetent sein, ein Informationssicherheitsmanagementsystem aufzubauen und anzuwenden. Er kann 1st- und 2nd-Party Audits organisieren und ein Informationssicherheitsmanagementsystem im Rahmen eines Verbesserungsprozesses weiterentwickeln. In diesem Merkblatt werden die Kriterien für die Qualifizierung und Zertifizierung der Information Security Officer (TÜV ) festgelegt. Durch die Anwendung der hier beschriebenen Qualifikationsvorgaben und Tätigkeitsmerkmale soll die Ausbildung von Information Security Officers (TÜV ) in entsprechenden Lehrgängen auf stets einheitlichem und gleich bleibend hohem Niveau nachvollziehbar und damit zertifizierungsfähig gehalten werden. 2. Anwendungsbereich Das Merkblatt Information Security Officer (TÜV ) findet Anwendung in der Qualifizierung und Zertifizierung von Personen, welche als Information Security Officer in Unternehmen oder Einrichtungen bestellt wurden oder werden sollen und einen Lehrgang gem. Tabelle 1 durchlaufen haben. Nach erfolgreicher Absolvierung der Ausbildung Information Security Officer (TÜV ) oder einer vergleichbaren Ausbildung verbunden mit jeweils erfolgreich abgeschlossener schriftlicher Prüfung, welche den Qualifikationen dieses Merkblattes entsprechen, erstellt die Personenzertifizierung für den Kandidaten ein Zertifikat Information Security Officer (TÜV ). IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 4 von 10 Seiten

5 3. Voraussetzungen 3.1 Allgemeine Voraussetzungen Teilnehmer an einer Qualifizierungsmaßnahme Information Security Officer (TÜV ) sind interessierte Personen, die die Funktion als Information Security Officer ausüben sollen. 3.2 Persönliche Voraussetzungen Eine der wesentlichen Bedingungen für die Wahrnehmung der Funktion als Information Security Officer ist die Erfüllung der Anforderungen an die persönliche Eignung der eingesetzten Personen. Diese Anforderungen umfassen die überdurchschnittliche Ausprägung folgender persönlicher Eigenschaften: Führungskompetenz Verantwortungsbewusstsein Unternehmerisches Denken Glaubwürdigkeit Durchsetzungsstärke Überzeugungsfähigkeit Motivation von sich und Anderen Soziale Kompetenz Kommunikation Einfühlungsvermögen Teamfähigkeit Informationsvermittlung Umgang mit Lob und Kritik Persönliche Kompetenz Kreativität Beharrlichkeit Flexibilität Mut und Optimismus Belastbarkeit Analytisches Denkvermögen Zielorientierung sowie die Identifikation mit den Zielsetzungen der Institution, die Einsicht in die Notwendigkeit von IT-Sicherheit, Erfahrungen im Projektmanagement. IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 5 von 10 Seiten

6 3.3 Kenntnisse und Fähigkeiten Der Information Security Officer muss über Wissen und Erfahrung in den Gebieten Informationstechnik und IT-Sicherheit verfügen. Weiterhin muss er die folgenden Qualifikationen und Eigenschaften besitzen: Er muss Kenntnisse erwerben und nachweisen über die Grundlagen: der Informationssicherheit, des Risikomanagements, des Informationssicherheitsmanagements, der Informationssicherheitskonzeption, der Sicherheit von Infrastrukturen, des Internets und von Netzwerken, der Anwendung von Standards zur Informationssicherheit, der prozessorientierten Informationssicherheit, der personellen Informationssicherheit, (siehe Tabelle 1). 3.4 Ausbildung, Arbeitserfahrung, Lehrgang Kandidaten müssen in der Regel eine Berufsausbildung bzw. ein Hochschulstudium mit erfolgreichem Abschluss und mindestens drei Jahre Berufserfahrung nachweisen können. Alternativ ist eine mindestens sechsjährige Berufserfahrung ausreichend. Jeweils ein Jahr der Berufserfahrung muss aus dem Bereich der Informationssicherheit stammen. Darüber hinaus ist der Nachweis der Kenntnisse und Fähigkeiten nach Tabelle 1 erforderlich. Dieser wird in der Regel durch die erfolgreiche Teilnahme an einer entsprechenden und anerkannten Lehrgang von mindestens vier Tagen Dauer (32 Unterrichtseinheiten Lehrgang und Prüfung) erreicht. 4. Lehrgänge Wesentliche Kompetenzmerkmale des Information Security Officers (TÜV ) sind grundlegende Kenntnisse und Fähigkeiten zu den in Tabelle 1 genannten Themen. Nach Absolvierung eines qualifizierten Lehrgangs werden die Teilnehmer einer schriftlichen Abschlussprüfung unterzogen. Näheres ist in der Prüf- und Zertifizierungsordnung der Personenzertifizierung der TÜV NORD Akademie niedergelegt. IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 6 von 10 Seiten

7 5. Tätigkeitsmerkmale Der Information Security Officer hat die jeweiligen Verantwortlichen einer Organisation in Fragen der Informationssicherheit innerhalb seines Aufgabenbereiches zu beraten und zu unterstützen. Dazu hat er insbesondere folgende Tätigkeiten auszuführen: Steuerung und Koordination von Teilsicherheitsprozessen, Initiierung der Erstellung von Sicherheitsrichtlinien einschließlich der Koordination der Bereiche, Mitwirkung an der Erstellung des Informationssicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte die seinen Verantwortungsbereich tangieren, Mitwirkung an der Erstellung eines Realisierungsplanes für die Informationssicherheitsmaßnahmen und deren Realisierung, Berichterstattung an den Unternehmensverantwortlichen für Informationssicherheit, ggf. über den Chief Information Security Officer (CISO) und ggf. an das IT- Sicherheitsmanagement-Team, Koordination sicherheitsrelevanter Projekte innerhalb seines Bereiches, Untersuchung sicherheitsrelevanter Zwischenfälle innerhalb seines Bereiches sowie Initiierung und Steuerung von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit innerhalb seines Bereiches. IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 7 von 10 Seiten

8 Tabelle 1: Themen und Inhalte des Lehrgangs UE* Themenbereich und Lerninhalte 1. Grundlagen der Informationssicherheit Grundlagen der Informationssicherheit (IS) Begriffe, Spektrum, Abgrenzung Notwendigkeit und strategische Bedeutung von IS Anforderungen an IS Bedrohungen und Schwachstellen IS-Strategie Anforderungsmanagement Bedrohungen und Schwachstellen Gefahrenpotential Bedrohungen und ihre Einschätzung Angriffe, Angriffsziele und methoden Schwachstellen Risikomanagement Grundbegriffe und Klassifizierung Typische IT-Sicherheitsrisiken Risikoanalyse und -strategien Der Prozess Risikomanagement Schutzbedarfsfeststellung Der Information Security Officer (ISO) Notwendigkeit des ISO Stellung und Aufgaben des ISO Anforderungsprofil Grundlagen der internen Auditierung 5 UE UE: Unterrichtseinheit à 45 Minuten IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 8 von 10 Seiten

9 UE* Themenbereich und Lerninhalte 2. Informationssicherheitsmanagement Einführung in die ISO 27001:2005 Aufbau, Inhalt und Methodik Informationssicherheitsmanagement nach BSI Maßnahmen der Schicht Übergeordnete Aspekte der IT-Sicherheit Strukturanalyse Schutzbedarfsfeststellung IT-Grundschutzanalyse Ergänzende Sicherheitsanalyse Auswertung der Ergebnisse Realisierungsplanung Implementierung, Kontrolle und Zertifizierung der Maßnahmen 7 UE 3. Übergreifende Informationssicherheitskonzepte Aufbau der ISMS Dokumentation Basis-Sicherheitskonzepte Datensicherung und Archivierung Schutz vor Schadprogrammen Incident Management User- und Berechtigungsmanagement 4 UE 4. Sicherheit von Infrastruktur, IT-Systemen und IT-Sicherheitsservices Infrastruktursicherheit Zutrittskontrollen, Sicherheitszonen, bauliche Sicherheit, Schutz vor Brand, Wasser, Einbruch etc. Überblick: IT-GS Maßnahmen in der Schicht Sicherheit der Infrastruktur Systemsicherheit Server-Sicherheit Client-Sicherheit Speichersysteme und Speichernetze Virtualisierung IT-Sicherheits-Services News-Ticker Medien und Informationsdienste Verbände und Institutionen Computer Emergency Response Teams Beratungs- und Prüfdienstleistungen 8 UE UE: Unterrichtseinheit à 45 Minuten IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 9 von 10 Seiten

10 UE* Themenbereich und Lerninhalte 5. Kryptographische Verfahren, Sicherheit im Netzwerk, Anwendungssicherheit Kryptografische Verfahren Grundlagen der Verschlüsselung Signaturen und Hash-Funktionen Key Management und Zertifikate Public Key Infrastructure (PKI) Sicherheitsaspekte der TCP/IP-Kommunikation ISO/OSI-Referenzmodell IP-Protokollsuite Sicherheitslecks der IP-Protokolle IP-Netzdienste und Sicherheit Analysemethoden und tools Anwendungssicherheit Datenbanken Webapplikationen 8 UE 6. Prüfung Schriftlich Multiple-Choice- und offene Aufgaben 1,7 UE (75 Minuten) UE: Unterrichtseinheit à 45 Minuten IT-ISO-Merkblatt Information Security Officer (TÜV ) Seite 10 von 10 Seiten