Überblick
Der Kurs Certified Information Security Manager (CISM) bereitet auf die gleichnamige Zertifizierungsprüfung der ISACA vor und richtet sich an Personen, die Informationssicherheit nicht primär technisch, sondern auf Management- und Governance-Ebene verantworten oder verantworten möchten. Im Mittelpunkt stehen die Entwicklung und Steuerung einer unternehmensweiten Sicherheitsstrategie, das Management von Informationsrisiken, der Aufbau und Betrieb eines Sicherheitsprogramms sowie die Vorbereitung und Steuerung der Reaktion auf Sicherheitsvorfälle. Die CISM-Zertifizierung ist eine der international angesehensten Qualifikationen für Führungskräfte im Bereich Informationssicherheit und richtet den Blick konsequent auf die Verbindung zwischen Sicherheit und Unternehmensführung.
Kursinhalte & Lernziele
Der Kurs folgt den vier offiziellen Domänen des ISACA-CISM-Lehrplans und vertieft diese durch einen umfangreichen Praxisteil. Verwaltung der Informationssicherheit: Dieses Modul legt das strategische Fundament und behandelt, wie Informationssicherheit als Führungsaufgabe in einer Organisation verankert wird.
- Entwicklung einer Informationssicherheitsstrategie und deren Ausrichtung an der Corporate Governance
- Identifikation rechtlicher und regulatorischer Anforderungen an die Informationssicherheit
- Rechtfertigung von Sicherheitsinvestitionen gegenüber Geschäftsführung und Budgetverantwortlichen
- Identifikation interner und externer Faktoren mit Einfluss auf die Sicherheitsstrategie
- Einholen des Commitments der Geschäftsleitung für Informationssicherheitsinitiativen
- Definition von Rollen, Verantwortlichkeiten und Berichtsstrukturen im Sicherheitsmanagement
Verwaltung von Informationsrisiken: In diesem Modul steht das systematische Erkennen, Bewerten und Steuern von Risiken für die Informationswerte einer Organisation im Zentrum.
- Aufbau eines Prozesses zur Bewertung von Informationsrisiken
- Klassifizierung und Eigentümerschaft von Informationsressourcen bestimmen
- Fortlaufende Bewertung von Bedrohungen und Schwachstellen
- Durchführung von Business-Impact-Analysen zur Priorisierung kritischer Systeme
- Identifikation und Bewertung von Strategien zur Risikominderung
- Integration des Risikomanagements in Geschäftslebenszyklus-Prozesse und Berichtswesen
Entwicklung und Implementierung eines Informationssicherheitsprogramms: Dieses Modul überführt Strategie und Risikoanalyse in ein konkretes, operatives Sicherheitsprogramm.
- Entwicklung von Umsetzungsplänen für die Informationssicherheitsstrategie
- Auswahl geeigneter Sicherheitstechnologien und -kontrollen
- Entwicklung von Sicherheitsarchitekturen, -richtlinien und unterstützender Dokumentation
- Konzeption von Programmen zur Sensibilisierung und Schulung in Informationssicherheit
- Integration von Sicherheitsanforderungen in organisatorische Abläufe und Verträge
- Entwicklung von Metriken zur Bewertung des Sicherheitsprogramms
Verwaltung und Reaktion auf Sicherheitsvorfälle: Das abschließende Modul behandelt, wie Organisationen auf Sicherheitsvorfälle vorbereitet sind und im Ernstfall koordiniert reagieren.
- Entwicklung eines Reaktionsplans für Informationssicherheitsvorfälle
- Einrichtung von Eskalations- und Kommunikationsprozessen
- Aufbau und Training von Incident-Response-Teams
- Durchführung von Tests und Übungen für den Reaktionsplan
- Untersuchung von Sicherheitsvorfällen und Steuerung der Reaktion im Ernstfall
- Durchführung von Post-Incident-Reviews zur kontinuierlichen Verbesserung
Praxis-Block — Sicherheitsmanagement im Unternehmenskontext: Ergänzend zu den vier Domänen wird in zahlreichen Übungen die Anwendung auf reale Managementsituationen trainiert.
- Erarbeitung einer Sicherheitsstrategie für ein fiktives mittelständisches Unternehmen
- Durchführung einer vollständigen Risikobewertung inklusive Priorisierung
- Erstellung eines Business Cases für ein Sicherheitsbudget
- Entwicklung eines Rollen- und Verantwortlichkeitsmodells für ein Sicherheitsteam
- Ausarbeitung einer Sicherheitsrichtlinie zu einem konkreten Themenfeld
- Simulation eines Sicherheitsvorfalls mit Eskalation und Kommunikationsplan
- Analyse eines realen Sicherheitsvorfalls und Ableitung von Lehren für das eigene Programm
- Erstellung eines Awareness-Konzepts für unterschiedliche Zielgruppen im Unternehmen
- Entwicklung von Kennzahlen zur Steuerung eines Sicherheitsprogramms
- Diskussion von Fallstudien zu Compliance- und Governance-Fragestellungen
- Bewertung von Drittanbieter- und Vertragsrisiken anhand vorgegebener Kriterien
- Bearbeitung von CISM-Beispielfragen mit gemeinsamer Lösungsbesprechung
Der Kurs verbindet damit strategisches Managementwissen mit konkreten Werkzeugen für den Sicherheitsalltag. Anders als rein technische Sicherheitskurse liegt der Fokus konsequent auf der Frage, wie Informationssicherheit als Führungsaufgabe organisiert, kommuniziert und gesteuert wird — von der ersten Strategieentscheidung bis zur Reaktion auf einen konkreten Vorfall.
Lernziele:
Nach Abschluss des Kurses sind die Teilnehmenden in der Lage, Informationssicherheit als Managementdisziplin zu verstehen und aktiv zu gestalten, statt sie rein technisch zu betrachten. Sie können Sicherheitsstrategien entwickeln, die zu den Unternehmenszielen passen, und wissen, wie ein Sicherheitsprogramm nachhaltig aufgebaut, gesteuert und im Ernstfall wirksam eingesetzt wird. Konkret werden folgende Fähigkeiten aufgebaut
- Entwicklung einer Informationssicherheitsstrategie, die an der Unternehmensführung ausgerichtet ist
- Identifikation rechtlicher und regulatorischer Anforderungen an die Informationssicherheit
- Begründung und Kommunikation von Sicherheitsinvestitionen gegenüber der Geschäftsleitung
- Definition von Rollen, Verantwortlichkeiten und Berichtswegen für die Informationssicherheit
- Aufbau eines Prozesses zur systematischen Bewertung von Informationsrisiken
- Durchführung von Bedrohungs-, Schwachstellen- und Business-Impact-Analysen
- Ableitung und Bewertung geeigneter Strategien zur Risikominderung
- Entwicklung von Sicherheitsarchitekturen, -richtlinien und Awareness-Programmen
- Integration von Sicherheitsanforderungen in Geschäftsprozesse und Verträge
- Aufbau von Metriken zur Bewertung der Wirksamkeit eines Sicherheitsprogramms
- Entwicklung eines Reaktionsplans für Sicherheitsvorfälle inklusive Eskalations- und Kommunikationsprozessen
- Vorbereitung auf die ISACA-Zertifizierungsprüfung CISM
Zielgruppe & Voraussetzungen
Diese Weiterbildung richtet sich an Personen mit Berufserfahrung im Sicherheits- oder IT-Umfeld, die Verantwortung auf strategischer und organisatorischer Ebene übernehmen oder ausbauen möchten. Sie unterscheidet sich damit bewusst von technisch-operativ ausgerichteten Sicherheitsweiterbildungen.
- (Angehende) Information Security Manager mit Führungsverantwortung
- IT-Sicherheitsberaterinnen und -berater, die Kunden auf strategischer Ebene begleiten
- IT-Leitungen und Führungskräfte, die Sicherheitsverantwortung übernehmen
- Compliance- und Risikomanagement-Fachkräfte mit Bezug zur Informationssicherheit
- Erfahrene IT-Sicherheitsfachkräfte, die von der technischen in eine Managementrolle wechseln möchten
Für die Teilnahme am Kurs werden Grundkenntnisse der Informationssicherheit sowie ein Verständnis für organisatorische und geschäftliche Zusammenhänge vorausgesetzt. Für die offizielle CISM-Zertifizierung durch ISACA ist zudem mehrjährige nachgewiesene Berufserfahrung im Informationssicherheitsmanagement erforderlich, die unabhängig vom Kurs bei der Zertifizierungsstelle eingereicht wird. Ein sicherer Umgang mit der englischen Fachterminologie ist hilfreich, da zentrale Begriffe und Prüfungsunterlagen international einheitlich auf Englisch verwendet werden.
Ablauf & Abschluss
Der Kurs wird im Combined-Learning-Format durchgeführt und verbindet Präsenz- oder Onlinephasen mit begleitendem eigenständiges Lernen. Die vier Domänen werden nacheinander erarbeitet, wobei Theorieinputs stets mit Fallstudien und Diskussionen aus dem Managementalltag verknüpft werden. Da CISM stark auf Entscheidungslogik statt auf reines Faktenwissen abzielt, nehmen Diskussionen über Handlungsalternativen und deren Begründung breiten Raum ein. Der Kurs wird sowohl in Vollzeit als auch in Teilzeit angeboten.
Die Weiterbildung ist als kompaktes, aber inhaltlich dichtes Managementtraining konzipiert und lässt sich je nach gewähltem Zeitmodell in Vollzeit zügiger oder in Teilzeit berufsbegleitend über einen längeren Zeitraum absolvieren. Der Umfang orientiert sich an den vier CISM-Domänen und enthält neben den Präsenz- beziehungsweise Onlineeinheiten strukturierte Phasen zur Vertiefung und Prüfungsvorbereitung.
Der Kurs bereitet auf die offizielle Zertifizierungsprüfung Certified Information Security Manager (CISM) der ISACA vor. Nach erfolgreichem Bestehen der Prüfung sowie Nachweis der erforderlichen Berufserfahrung erhalten Teilnehmende die international anerkannte CISM-Zertifizierung, ergänzt um ein trägerinternes Lehrgangszertifikat über die absolvierte Weiterbildung. Die CISM-Zertifizierung erfordert eine regelmäßige Rezertifizierung durch Continuing-Professional-Education-Nachweise sowie die Einhaltung des ISACA-Verhaltenskodexes.
Nutzen & Perspektiven
CISM zählt zu den weltweit anerkanntesten Zertifizierungen für Führungskräfte im Bereich Informationssicherheit und wird von ISACA seit Jahrzehnten als Managementpendant zu stärker technisch ausgerichteten Sicherheitszertifizierungen positioniert. Wer CISM erwirbt, weist damit nach, Sicherheitsprogramme nicht nur operativ umsetzen, sondern strategisch entwickeln, steuern und gegenüber der Geschäftsleitung vertreten zu können. Für Organisationen ist eine CISM-zertifizierte Führungskraft ein wichtiger Baustein, um Informationssicherheit systematisch mit Unternehmenszielen, regulatorischen Anforderungen und Risikomanagement zu verknüpfen. Für Teilnehmende selbst öffnet die Zertifizierung Türen zu Positionen wie Information Security Manager, IT-Sicherheitsberater oder anderen Führungsrollen mit Sicherheitsverantwortung, in denen strategisches Denken ebenso gefragt ist wie fachliche Tiefe. Im Unterschied zu breiter angelegten, praxisorientierten Cybersecurity-Weiterbildungen liegt der Wert von CISM gerade in seiner Fokussierung auf Governance, Risikomanagement und Programmsteuerung — ein Profil, das in Unternehmen mit wachsender regulatorischer Komplexität zunehmend gefragt ist.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CISM von anderen Cybersecurity-Zertifizierungen?
CISM ist eine Managementzertifizierung der ISACA und fokussiert auf Sicherheitsstrategie, Risikomanagement und Governance statt auf technische Umsetzung. Sie richtet sich an Personen, die Informationssicherheit auf Führungsebene verantworten, nicht primär an operativ-technische Sicherheitsrollen.
Welche Berufserfahrung wird für die CISM-Zertifizierung benötigt?
Für die offizielle Zertifizierung durch ISACA ist neben dem Bestehen der Prüfung mehrjährige nachgewiesene Berufserfahrung im Informationssicherheitsmanagement erforderlich. Diese wird unabhängig vom Kurs direkt bei der Zertifizierungsstelle eingereicht.
Welche vier Themenbereiche deckt der CISM-Lehrplan ab?
Der Lehrplan gliedert sich in die Verwaltung der Informationssicherheit, das Management von Informationsrisiken, die Entwicklung und Implementierung eines Sicherheitsprogramms sowie die Verwaltung und Reaktion auf Sicherheitsvorfälle.
Ist CISM auch für technisch ausgerichtete IT-Sicherheitsfachkräfte geeignet?
Ja, insbesondere für erfahrene technische Fachkräfte, die den Schritt in eine Management- oder Führungsrolle planen. CISM ergänzt technisches Wissen um strategische Kompetenzen in Governance, Risikosteuerung und Kommunikation mit der Geschäftsleitung.
Wie läuft die Weiterbildung organisatorisch ab?
Der Kurs wird im Combined-Learning-Format angeboten und kombiniert Präsenz- oder Onlinephasen mit Selbststudium. Er ist sowohl in Vollzeit als auch in Teilzeit buchbar und schließt mit der Vorbereitung auf die offizielle ISACA-Prüfung ab.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Chief-Information-Security-Officer103 Stellen
- Informationsmanager/Informationsmanagerin46 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen