Auf dem Markt sind unzählige Tools für Risikoanalysen erhältlich – nur sind viele der darin abgebildeten Ansätze ausgerichtet auf Operational Risk Management (z.B. nach Basel II) und daher nicht unbedingt geeignet für die Planung zielgerichteter Untersuchungen wie ISMS-Reviews oder IT-Revisionen.

Was es braucht ist ein kleiner “Werkzeugkasten” mit verschiedenen Ansätzen für IT-Risikoanalysen, welche für die typischen Aufgaben und Fragestellungen der Wirtschafts- und IT-Prüfer sowie auch der Sicherheitsverantwortlichen eingesetzt werden können.

In unserem Kompaktkurs lernen Sie Methoden für die verschiedenen Schichten unseres “Cremeschnitten-Modells” kennen, welche sich als Werkzeuge für pragmatische Risikoanalysen einsetzen lassen. Die Analyse-Bandbreite reicht dabei von Geschäftsprozessen über Anwendungen, IT-Plattformen bis zu Hardware und Systemsoftware. Ein besonderer Schwerpunkt wird gelegt bei der Beurteilung der generellen IT-Kontrollen, welche direkte wie indirekte Hinweise zu möglichen Risiken ergeben.

 . . . | Detail-Informationen

Einführung/Termine
Lernziele
Zielpublikum
Kurs-Spezialitäten
Kursinhalte
Referenzen
Referenten
Seminargebühren
Zertifizierung
Prüfungsgebühr

Mitglieder des ISACA Switzerland Chapter erhalten bei sämtlichen Kursen von ITACS Training einen Rabatt zwischen 100 und 300 CHF. Werden Sie daher Mitglied – es lohnt sich!

Nach diesem Kompaktkurs sind die Teilnehmer in der Lage:

• das “Cremeschnitten-Modell” als generische Beschreibung der IT zur Bestimmung von Risiken und Kontrollen zu verstehen;
• die zentralen Elemente eines internen Kontrollsystems (IKS) im IT-Umfeld aufzuzählen;
• die Maturität von generellen IT-Kontrollen als indirekte Hinweise von diesbezüglichen Risiken zu messen;
• die Resultate dieser Beurteilung in ihre strategische (Prüfungs-) Planung einzubinden;
• die Maturität von Sicherheitsmassnahmen nach ISO 27002 zu messen zur Planung entsprechender (ISMS-) Audits;
• eine Risikobeurteilung der laufenden Anwendungen vorzunehmen zur Auswahl der zu überprüfenden Anwendungen;
• eine Risikobeurteilung geplanter Projekte vorzunehmen zur Auswahl der zu begleitenden Projekte.

  

Neben Wirtschafts- und IT-Prüfer sind dies primär Sicherheitsbeauftragte (ISMS), Risikomanager und IKS-Verantwortliche – aber auch IT-Governance Spezialisten, Controller, Compliance-Zuständige usw.

Der Fokus des Kurses liegt auf pragmatischen Ansätzen für Risikoanalysen, welche sich in der Praxis mehrfach bewährt haben.

Ziel dieser Risikoanalysen ist jeweils, potentielle Gebiete für vertiefende Untersuchungen zu identifizieren sowie Informationen für die strategische Prüfungsplanung zu gewinnen.

Als Ergänzung dieses eintägigen Kurses empfehlen wir den zweitägigen Spezialkurs “Szenario-basiertes IT-Risikomanagement” am 7. und 8. Oktober 2010.

Einführung und Grundlagen

• Kompakte Einführung in die relevante Begriffswelt: z.B. Risikoanalyse, Risikomanagement
• “Cremeschnittenmodell” als generisches Modell der (IT-) zur Lokalisierung von IT-Risiken
  
• Risikoorientierte Jahresplanung im ISMS und in der Revision (mit Berücksichtigung der rollenden Planung)
• Indirekte Risikoermittlung über die Maturitäts-Beurteilung von generellen IT-Kontrollen resp. von Grundschutz-Massnahmen
• Direkte Risikoermittlung zur Auswahl von zu prüfenden (Geschäfts-/IT) Anwendungen
• Direkte Risikoermittlung zur Auswahl von zu prüfenden neuen (IT-) Projekten
• Direkte Risikoermittlung zur Auswahl von Geschäftsfällen, welche in Abnahmetests speziell verifiziert werden sollen
• Zusammenfassung und Abschluss