Überblick
Der Certified Information Security Manager (CISM) ist eine der weltweit anerkanntesten Zertifizierungen im Bereich der Informationssicherheit. Der Kurs bereitet Fachkräfte systematisch auf die ISACA CISM-Zertifizierungsprüfung vor und vermittelt das notwendige Wissen, um Informationssicherheit als strategische Managementaufgabe im Unternehmen zu verankern. Teilnehmende lernen, Informationsrisiken zu steuern, Sicherheitsprogramme zu entwickeln und umzusetzen sowie auf Sicherheitsvorfälle professionell zu reagieren. Das Training richtet sich an erfahrene IT-Fachkräfte, die eine Führungsrolle im Bereich Informationssicherheit anstreben oder ihre bestehenden Kenntnisse mit einer international anerkannten Zertifizierung belegen möchten.
Kursinhalte & Lernziele
Das erste Modul behandelt die Verwaltung der Informationssicherheit als strategische Führungsaufgabe. Teilnehmende erarbeiten, wie eine Informationssicherheitsstrategie entwickelt und an der übergeordneten Unternehmensstrategie ausgerichtet wird. Governance-Strukturen, regulatorische Anforderungen und das Engagement der Geschäftsleitung stehen im Mittelpunkt.
- Entwicklung einer Informationssicherheitsstrategie mit messbaren Zielen
- Ausrichtung der Sicherheitsstrategie an Corporate Governance und Unternehmenszielen
- Identifizierung rechtlicher und regulatorischer Anforderungen (z. B. DSGVO, ISO 27001)
- Begründung von Investitionen in Informationssicherheit gegenüber der Geschäftsleitung
- Definition von Rollen, Verantwortlichkeiten und Berichtswegen
- Einrichten von Kommunikationskanälen für Sicherheitsthemen
Das zweite Modul widmet sich dem Informationsrisikomanagement. Teilnehmende lernen, wie Risikobewertungsprozesse implementiert werden, Informationsressourcen klassifiziert werden und Business Impact Analysen durchgeführt werden. Die Integration des Risikomanagements in Geschäftsprozesse und -lebenszyklen wird praxisnah erarbeitet.
- Implementieren eines Informationsrisiko-Bewertungsprozesses
- Klassifizierung und Eigentümerzuordnung von Informationsressourcen
- Kontinuierliche Bewertung von Bedrohungen und Schwachstellen
- Durchführen regelmäßiger Business Impact Analysen (BIA)
- Entwicklung und Bewertung von Risikominderungsstrategien
- Berichten von Risikoveränderungen an Stakeholder und Management
Das dritte Modul befasst sich mit der Entwicklung und Implementierung von Informationssicherheitsprogrammen. Hier lernen Teilnehmende, Sicherheitsarchitekturen zu gestalten, Richtlinien zu entwickeln und Awareness-Programme aufzubauen. Die Koordination mit anderen Unternehmensfunktionen wie Revision und Compliance wird besonders betont.
- Planung und Entwicklung einer Informationssicherheitsarchitektur
- Sicherheitsrichtlinien, -standards und -verfahren ausarbeiten
- Programme zur Sensibilisierung und Schulung für Informationssicherheit aufbauen
- Sicherheitstechnologien und -kontrollen auswählen und spezifizieren
- Koordination des Sicherheitsprogramms mit Business Assurance-Funktionen
- Metriken zur Messung der Programmeffektivität definieren
Das vierte Modul schließt mit Incident Management und Response. Teilnehmende trainieren, wie Vorfallreaktion geplant, getestet und durchgeführt wird. Forensische Untersuchungen, Eskalationsprozesse und Post-Incident-Reviews runden das Programm ab.
- Reaktionspläne für Informationssicherheitsvorfälle entwickeln
- Eskalationsprozesse und Kommunikationswege im Vorfall einrichten
- Incident Response Teams (IRTs) aufbauen und koordinieren
- Testen und Validieren von Incident Response Plans (IRP)
- Forensische Untersuchungen von Sicherheitsvorfällen durchführen
- Post-Incident-Reviews zur kontinuierlichen Verbesserung durchführen
Im integrierten Praxisteil wenden Teilnehmende alle vier Themenbereiche in realen CISM-Szenarien und Prüfungssimulationen an.
- Entwicklung einer vollständigen Informationssicherheitsstrategie für ein fiktives Unternehmen
- Durchführung einer Business Impact Analyse auf Basis eines vorgegebenen Szenarios
- Erstellung einer Risikominderungsstrategie mit Priorisierung nach Risikowert
- Ausarbeitung eines Informationssicherheits-Richtlinienpakets
- Entwicklung eines Sensibilisierungsprogramms für verschiedene Mitarbeitergruppen
- Simulation eines Sicherheitsvorfalls mit strukturiertem Incident-Response-Ablauf
- Durchführung einer forensischen Analyse-Übung anhand eines Fallbeispiels
- Messung der Effektivität von Sicherheitskontrollen anhand definierter Metriken
- Erstellung eines Berichts über Informationsrisiken für die Geschäftsleitung
- Analyse einer CISM-Prüfungsfrage zum Thema Governance mit Fehlerdiskussion
- Entwicklung eines Audit-Plans für ein Informationssicherheitsprogramm
- Erarbeitung eines Übergabe-Szenarios für den Wechsel des Information Security Managers
Lernziele:
Nach Abschluss des Kurses können Teilnehmende eine Informationssicherheitsstrategie entwickeln und mit der Corporate Governance des Unternehmens in Einklang bringen. Sie sind in der Lage, rechtliche und regulatorische Anforderungen an die Informationssicherheit zu identifizieren und deren Einhaltung sicherzustellen. Teilnehmende wissen, wie Investitionen in die Informationssicherheit gegenüber der Geschäftsleitung begründet und kommuniziert werden. Sie können Rollen und Verantwortlichkeiten für Informationssicherheit klar definieren und Berichtswege einrichten. Sie beherrschen Methoden zur Bewertung von Informationsrisiken, einschließlich Business Impact Analysen und Schwachstellenbewertungen. Teilnehmende sind fähig, Risikominderungsstrategien zu entwickeln und in Geschäftsprozesse zu integrieren. Sie können Informationssicherheitsprogramme von der Planung bis zur Implementierung vollständig steuern. Sie wissen, wie Sicherheitsarchitekturen, Richtlinien und Sensibilisierungsprogramme aufgebaut werden. Teilnehmende können die Wirksamkeit von Sicherheitskontrollen messen und bei Nichtkonformität gezielte Maßnahmen einleiten. Sie beherrschen die Planung und Durchführung von Incident-Response-Prozessen, einschließlich forensischer Untersuchungen und Post-Incident-Reviews. Sie sind gut auf die ISACA CISM-Prüfung vorbereitet und kennen die prüfungsrelevanten Aufgabenformate. Sie können die CISM-Inhalte direkt auf den Arbeitsalltag im Information Security Management anwenden.
Zielgruppe & Voraussetzungen
Der CISM-Kurs richtet sich an erfahrene IT-Fachkräfte und Sicherheitsspezialisten, die eine Führungs- oder Managementrolle im Bereich Informationssicherheit anstreben oder bereits innehaben. Besonders angesprochen sind Fachkräfte, die Verantwortung für Informationssicherheitsprogramme in mittleren bis großen Organisationen tragen.
- Information Security Manager und IT-Sicherheitsverantwortliche
- Chief Information Security Officer (CISO) oder angehende CISOs
- IT-Risk-Manager und Compliance-Verantwortliche
- IT-Revisoren und Auditoren mit Fokus auf Informationssicherheit
- Fachkräfte, die die CISM-Zertifizierung als Karriereschritt anstreben
Für die CISM-Prüfung empfiehlt ISACA in der Regel fünf Jahre Berufserfahrung im Bereich Informationssicherheitsmanagement. Mindestens drei Jahre davon sollten in mindestens zwei der vier CISM-Domänen geleistet worden sein. Grundlegende Kenntnisse in IT-Sicherheit, Risikomanagement und Compliance sind für eine erfolgreiche Kursteilnahme vorausgesetzt. Vor Seminarbeginn findet ein Beratungsgespräch statt, in dem ein individueller Lernplan erstellt wird.
Ablauf & Abschluss
Der Kurs wird überwiegend als Combined Learning angeboten und verbindet strukturierte Online-Phasen mit betreuten Unterrichtseinheiten. Reine Online-Seminarformate sind ebenfalls verfügbar. Die Lerninhalte werden durch Fallstudien, Szenarien und prüfungsnahe Übungsaufgaben vertieft. Ein besonderer Schwerpunkt liegt auf der direkten Vorbereitung auf die ISACA-Prüfungsstruktur und das Zeitmanagement im Examen. Vollzeit- und Teilzeitvarianten sind möglich.
Die Weiterbildung dauert mehr als einen Monat bis zu drei Monaten, abhängig vom gewählten Format. Sowohl Vollzeit- als auch Teilzeitoptionen stehen zur Verfügung. Individuelle Starttermine können nach Abstimmung vereinbart werden.
Nach erfolgreichem Bestehen der ISACA CISM-Prüfung erhalten Teilnehmende das international anerkannte Certified Information Security Manager-Zertifikat. Das CISM-Zertifikat ist eine der angesehensten Qualifikationen im Information Security Management und wird von Arbeitgebern weltweit geschätzt. Bildungsträger wie New Horizons stellen zusätzlich ein trägerinternes Lehrgangszertifikat aus.
Nutzen & Perspektiven
Die CISM-Zertifizierung positioniert ihre Inhaber als anerkannte Experten im Management von Informationssicherheit. In einer Welt, in der Cyberangriffe und Datenschutzverletzungen regelmäßig für Schlagzeilen sorgen, sind qualifizierte Information Security Manager gefragter denn je. Das CISM-Zertifikat belegt nicht nur technisches Wissen, sondern auch die Fähigkeit, Sicherheit strategisch und managementtauglich zu denken — eine Kombination, die für Arbeitgeber besonders wertvoll ist. Als international anerkannte ISACA-Zertifizierung ist CISM auf allen wichtigen Arbeitsmärkten bekannt. Zertifizierte Fachkräfte können in Unternehmen jeder Größe und Branche tätig sein, von internationalen Konzernen über mittelständische Betriebe bis zu Behörden und öffentlichen Institutionen. Das Zertifikat ist zudem Grundlage für weitere Karriereschritte wie den CISO-Posten. Bei AZAV-zertifizierten Bildungsträgern kann der Kurs über einen Bildungsgutschein der Bundesagentur für Arbeit oder des Jobcenters gefördert werden. Auch Leistungen nach dem Qualifizierungschancengesetz, Förderungen der Deutschen Rentenversicherung, die Berufsförderung der Bundeswehr (BFD) oder Maßnahmen zur Rehabilitation und Teilhabe am Arbeitsleben kommen je nach persönlicher Situation als Förderung in Frage.
Häufig gestellte Fragen (FAQ)
Welche Berufserfahrung brauche ich für die CISM-Zertifizierung?
ISACA empfiehlt fünf Jahre Berufserfahrung im Bereich Informationssicherheitsmanagement, davon mindestens drei Jahre in mindestens zwei der vier CISM-Domänen. Bestimmte Ausnahmen und Anrechnungen sind möglich. Die genauen Anforderungen sollten direkt bei ISACA geprüft werden.
Unterscheidet sich CISM von CISSP?
CISM und CISSP sind beide renommierte Zertifizierungen im Informationssicherheitsbereich. CISM ist stärker auf Managementaufgaben und Unternehmensgovernance ausgerichtet, während CISSP einen breiteren technisch-konzeptionellen Fokus hat. CISM richtet sich typischerweise an Personen in Managementverantwortung.
Ist der Kurs auch in Teilzeit möglich?
Ja, der Kurs wird sowohl in Vollzeit als auch in Teilzeit angeboten. Individuelle Starttermine können mit dem Anbieter abgestimmt werden. Die Gesamtdauer beträgt je nach Format mehr als einen Monat bis zu drei Monate.
Kann der CISM-Kurs über einen Bildungsgutschein finanziert werden?
Bei AZAV-zertifizierten Anbietern ist eine Förderung über den Bildungsgutschein der Bundesagentur für Arbeit oder des Jobcenters möglich. Auch Leistungen nach dem Qualifizierungschancengesetz oder der Deutschen Rentenversicherung kommen je nach Situation infrage. Eine individuelle Förderberatung wird empfohlen.
Muss die CISM-Zertifizierung regelmäßig erneuert werden?
Ja, die CISM-Zertifizierung muss alle drei Jahre erneuert werden. ISACA fordert dazu den Nachweis von jährlich mindestens 20 Continuing Professional Education (CPE)-Stunden sowie eine Gesamtanzahl von 120 CPE-Stunden über drei Jahre. Damit bleibt das Wissen aktuell und praxisrelevant.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheit (grundständig)926 Stellen
- Informationssicherheitsbeauftragter201 Stellen
- Information Security Manager106 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT Security Manager81 Stellen
- Informationsmanager/Informationsmanagerin46 Stellen