Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz zur Gewährleistung und kontinuierlichen Verbesserung der Cyber- und Informationssicherheit von Organisationen. Viele Organisationen verfügen bereits über ein ISMS, durch rechtliche Änderungen und neue rechtliche Vorgaben müssen aber immer mehr Organisationen ein solches ISMS haben, um ein rechtskonformes Risikomanagement umzusetzen, z.B. in den Bereichen Kritische Infrastrukturen sowie Netz- und Informationssystemen. Ein solches ISMS basiert in Regel auf den internationalen Standards ISO/IEC 27001 und ISO/IEC 27002. Auch diese Standards ändern sich regelmäßig, ebenso die konkreten rechtlichen Vorgaben. Es ist dementsprechend sowohl für Verantwortliche von Organisationen, die ein ISMS betreiben oder einführen, als auch für Auditoren, welche die Konformität eines ISMS mit den internationalen Standards überprüfen, notwendig bzw. vorgeschrieben, sich auf dem Laufenden zu halten und ihre Fachkenntnisse regelmäßig zu aktualisieren. Änderungen im Kontext der Organisation zu berücksichtigen, wie die genannten Änderungen von Gesetzen und Normen, ist auch eine Pflichtanforderung an ein ISMS.
Dieses Training besteht einerseits aus einem $Seminarteil$, in dem der aktuelle Stand der ISMS-relevanten Standards und Normen, sowie der rechtlichen Vorgaben wie z.B. Europäischen Richtlinien und Verordnungen, sowie der nationalen Gesetze und Verordnungen, aber auch Veröffentlichungen und Anforderungen der zuständigen Behörden (u. a. ENISA, BSI, BNetzA) vermittelt werden. Der Schwerpunkt liegt hierbei auf den Normen ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005. Andererseits besteht das Training aus einem Workshop-Teil, indem ausgewählte Themen in gemeinsamer Arbeit oder Gruppenarbeit vertieft und diskutiert werden, um den Erfahrungsaustausch zu fördern. Themen für den Workshop-Teil können beispielsweise Business Continuity Management und Incident Management sein. Themenvorschläge können vorab eingereicht werden.
