Überblick
Dieses Kombinationsprogramm verbindet zwei renommierte Berechtigungsnachweise aus dem Risiko- und Sicherheitsbereich: Der Certified Information Security Manager (CISM) von ISACA legt den Schwerpunkt auf das strategische Management von Informationssicherheitsprogrammen, während der PMI Risk Management Professional (PMI-RMP) des Project Management Institute eine systematische, projektzentrierte Risikomethodik vermittelt. Wer beide Zertifikate anstrebt, erarbeitet ein breites Risikoprofil: Sicherheitsrisiken auf Programm- und Governance-Ebene (CISM) treffen auf strukturiertes Risikomanagement in Projekten und Vorhaben (PMI-RMP). Diese Verbindung ist besonders relevant für Fachleute, die Sicherheitsprojekte steuern oder Risikoentscheidungen in Unternehmens- und Projektkontext gleichermaßen verantworten.
Kursinhalte & Lernziele
Modul CISM – Sicherheitsgovernance und Programmentwicklung Die Stärke des CISM liegt in seinem governance-orientierten Ansatz: Informationssicherheit wird nicht als isolierte IT-Funktion, sondern als strategisches Managementtool verstanden. Dieser Block erarbeitet, wie Sicherheitsprogramme aufgebaut, gesteuert und kontinuierlich verbessert werden.
- Ableitung der Sicherheitsstrategie aus Unternehmenszielen
- Aufbau von Sicherheitsgovernance: Strukturen, Verantwortlichkeiten, Ausschüsse
- Policy-Framework und regulatorische Compliance-Anforderungen
- Ressourcenplanung, Budgetierung und Reifegradmodelle für Sicherheitsprogramme
- Sicherheitsmetriken und KPIs für das Reporting an die Geschäftsführung
Modul CISM – IT-Risikomanagement und Sicherheitsvorfallsteuerung Als zweite Hauptdomäne vermittelt dieser Block die systematische Risikosteuerung in der Informationssicherheit sowie den strukturierten Umgang mit Sicherheitsvorfällen – von der Erkennung über die Eindämmung bis zur Wiederherstellung.
- Risikoidentifikation, Bedrohungsmodellierung und Schwachstellenbewertung
- Risikobehandlungsoptionen: Vermeidung, Minderung, Übertragung, Akzeptanz
- Incident-Klassifikation, -Eskalation und Reaktionspläne
- Forensische Grundlagen und Beweissicherung
- Business Continuity und Wiederherstellungsplanung
Modul PMI-RMP – Risikomanagement-Grundlagen und Planung Der PMI-RMP-Lehrplan basiert auf dem PMBOK Guide und dem PMI Risk Management Standard. Dieser Block legt den konzeptuellen und methodischen Rahmen für ein strukturiertes Risikomanagement in Projekten.
- Risikoplanung: Risikomanagementplan, Rollenverteilung, Werkzeuge
- Risikoidentifikation: Brainstorming, Delphi-Methode, Checklisten, Assumptions Analysis
- Qualitative Risikoanalyse: Wahrscheinlichkeits-Auswirkungs-Matrix, Risikodringlichkeit
- Quantitative Risikoanalyse: EMV, Entscheidungsbäume, Sensitivitätsanalyse
- Risikoreaktionsplanung: Strategien für Bedrohungen und Chancen
Modul PMI-RMP – Risikomonitoring, Kommunikation und Schnittstellen zu Sicherheitsrisiken Der abschließende PMI-Block verbindet Projektrisikomanagement mit dem Unternehmenskontext und behandelt, wie Risikoentscheidungen kommuniziert und über den Projektlebenszyklus hinweg verfolgt werden.
- Risikoregister: Führung, Aktualisierung, Eskalation
- Risikocontrolling: Earned Value-Bezüge, Trendanalysen, Neubewertungen
- Stakeholder-Kommunikation zu Risikoentscheidungen
- Schnittstelle IT-Sicherheitsrisiken und Projektrisiken: gemeinsame Sprache, unterschiedliche Methodik
- Lessons Learned und Risikowissensdatenbank
Praxisblock: CISM und PMI-RMP in der Praxis verbinden
- Entwicklung eines Risikoregisters für ein IT-Sicherheitsprojekt (CISM-Ziele + PMI-Methodik)
- Risikobewertung eines fiktiven Cloud-Migrationsprojekts aus CISM- und PMI-Perspektive
- Stakeholder-Report für ein Sicherheitsprojekt: unterschiedliche Adressaten, unterschiedliche Tiefe
- Qualitative Risikoanalyse für eine CISM-Domäne mit PMI-Werkzeugen
- Fallstudie: Incident Response als Projektrisikoereignis – Verknüpfung beider Methoden
- Entscheidungsbaum-Analyse für IT-Sicherheitsinvestitionen
- Kommunikationssimulation: Risikoberichte an Lenkungsausschuss und technisches Team
- Üben von Prüfungsformaten beider Zertifizierungen mit Fallbeispiel-Aufgaben
Das Nebeneinander von CISM-Sicherheitsgovernance und PMI-Projektrisikomanagement zeigt sehr schnell, dass beide Disziplinen konzeptuell ähnlich arbeiten, aber unterschiedliche Systemgrenzen ziehen: CISM denkt auf Programm- und Unternehmensebene, PMI-RMP auf Projekt- und Lieferebene. Wer beide Logiken kennt, kann Sicherheitsrisiken in Projekten sowohl nach PMI-Methodik dokumentieren als auch nach CISM-Standards in das Unternehmens-Sicherheitsprogramm einbetten.
Lernziele:
- Sie entwickeln ein Informationssicherheitsprogramm nach den vier CISM-Domänen und können es in Unternehmensstrukturen integrieren
- Sie steuern Informationssicherheitsrisiken von der Identifikation bis zur Risikoreaktion nach dem CISM-Rahmenwerk
- Sie koordinieren Sicherheitsvorfälle und führen Post-Incident-Analysen durch
- Sie bauen Governance-Strukturen auf, die Sicherheitsverantwortung klar zuweisen und messbar machen
- Sie kennen den PMI-Risikomanagementprozess nach dem PMBOK Guide und können ihn auf Projekte anwenden
- Sie führen qualitative und quantitative Risikoanalysen für Projekte durch (Wahrscheinlichkeits-Auswirkungs-Matrizen, Monte-Carlo-Simulationen als Konzept, Expected Monetary Value)
- Sie entwickeln Risikoreaktionsstrategien für Bedrohungen und Chancen in Projektumgebungen
- Sie dokumentieren Risiken im Risikoregister und monitoren sie über den Projektlebenszyklus
- Sie verstehen die Schnittstelle zwischen Informationssicherheitsrisiken (CISM) und projektbezogenen Risiken (PMI-RMP)
- Sie kommunizieren Risikoeinschätzungen adressatengerecht an Projektteams und Führungsebenen
- Sie bereiten sich auf beide Zertifizierungsprüfungen strukturiert vor
Zielgruppe & Voraussetzungen
Dieses Programm spricht Fachleute an, die in der Schnittmenge von IT-Sicherheitsmanagement und Projektrisikomanagement tätig sind oder dort hineinwachsen wollen.
- IT-Sicherheitsmanager, die häufig Sicherheitsprojekte steuern
- Projektmanager in IT-Sicherheits- oder Compliance-Projekten
- Risikomanager, die CISM als Sicherheits-Credential ergänzen wollen
- Compliance-Verantwortliche mit Projektverantwortung
- IT-Berater, die Risikoberatung auf Programm- und Projektebene anbieten
Für CISM sind IT-Sicherheitsgrundkenntnisse sinnvoll; ISACA verlangt für die Designation fünf Jahre Berufserfahrung in der Informationssicherheit. Für PMI-RMP empfiehlt das PMI mindestens eine Sekundarstufe II-Ausbildung plus 4.500 Stunden Berufserfahrung im Risikomanagement von Projekten und 40 Stunden Ausbildung im Risikomanagement; mit Bachelor- oder höherem Abschluss reduziert sich die Erfahrungsanforderung. Für die Kursteilnahme selbst sind Grundkenntnisse im Projektmanagement und in der IT nützlich.
Ablauf & Abschluss
Der Kurs findet im virtuellen Klassenzimmer statt, wahlweise mit Präsenz im Trainingszentrum oder aus dem Homeoffice. Lehreinheiten zu CISM und PMI-RMP werden abwechselnd gestaltet, um die konzeptionellen Verbindungen zwischen beiden Rahmenwerken sichtbar zu machen. Praxisblöcke mit Fallstudien aus dem IT-Sicherheits- und Projektrisikomanagement ergänzen die Theorie. Dozenten mit Erfahrung in beiden Disziplinen begleiten den Kurs.
Im Vollzeitformat dauert das Programm ein bis drei Monate, abhängig vom gewählten Modulumfang. Beide Zertifizierungsbereiche sind inhaltlich substanziell; das Vollzeitformat ermöglicht eine intensive und zusammenhängende Vorbereitung.
Sie erhalten eine qualifizierte Teilnahmebescheinigung. Das Curriculum bereitet Sie auf die CISM-Prüfung (ISACA) und die PMI-RMP-Prüfung (Project Management Institute) vor. Beide Zertifikate werden nach bestandener Prüfung und Nachweis der jeweiligen Zulassungsvoraussetzungen von den Organisationen ausgestellt; sie sind nicht Bestandteil der Kursteilnahme selbst.
Nutzen & Perspektiven
PMI-RMP ist eine der wenigen Zertifizierungen, die explizit auf die Fähigkeit zugeschnitten ist, Risiken in Projekten systematisch zu managen – nicht nur als Teil einer breiteren PM-Qualifikation. In Kombination mit CISM entsteht ein Profil, das in sicherheitskritischen Projekten – IT-Transformationen, Cloud-Migrationen, regulatorische Compliance-Vorhaben – sehr gefragt ist. In der Praxis laufen IT-Sicherheitsrisiken oft durch Projektstrukturen: Eine neue Infrastruktur wird als Projekt eingeführt, und dabei entstehen Sicherheitsrisiken, die weder im traditionellen Risikomanagement noch im traditionellen Sicherheitsmanagement allein vollständig erfasst werden. Wer mit CISM die Governance- und Sicherheitsperspektive und mit PMI-RMP die Projektrisikoperspektive beherrscht, schließt diese Lücke. Zudem stärkt die Kombination die Kommunikationsfähigkeit in gemischten Teams: Sicherheitsverantwortliche sprechen oft eine andere Sprache als Projektmanager. Wer beide Methoden kennt, fungiert als Übersetzer – eine Rolle, die in zunehmend interdisziplinär aufgestellten IT-Organisationen erheblichen strategischen Wert hat. Der Nutzen zeigt sich auch in der Dokumentationsqualität: CISM-Risikomanagement liefert den inhaltlichen Rahmen, PMI-RMP die Werkzeuge für transparente Risikoregister und nachvollziehbare Risikoentscheidungen in Projekten. Wer beides kombiniert, erstellt Risikoberichte, die sowohl für technische Projektteams als auch für Vorstandsebenen verständlich und verwertbar sind – ein Kompetenzprofil, das in Ausschreibungen für Sicherheits- und Transformationsprojekte immer öfter explizit gefordert wird.
Häufig gestellte Fragen (FAQ)
Was ist der PMI-RMP und für wen ist er geeignet?
Der PMI Risk Management Professional (PMI-RMP) ist eine Zertifizierung des Project Management Institute, die sich auf Risikomanagement in Projekten spezialisiert. Er eignet sich für Projektmanager und Risikospezialisten, die Risiken im Projektkontext systematisch identifizieren, analysieren und steuern wollen – über das Grundrüstzeug allgemeiner PM-Zertifikate (wie PMP) hinaus.
Wie unterscheiden sich CISM-Risikomanagement und PMI-RMP-Risikomanagement?
CISM betrachtet Informationssicherheitsrisiken auf Programm- und Unternehmensebene: Welche Bedrohungen existieren für das Sicherheitsprogramm? Wie werden Risiken in Governance-Entscheidungen eingebettet? PMI-RMP hingegen fokussiert auf Projektrisiken: Wie werden Risiken in einem zeitlich begrenzten Vorhaben identifiziert, dokumentiert und kontrolliert? Beide verwenden ähnliche Werkzeuge (Risikoregister, Wahrscheinlichkeitsmatrizen), aber innerhalb unterschiedlicher Systemgrenzen.
Kann ich PMI-RMP ohne PMP-Zertifikat ablegen?
Ja. PMI-RMP ist eine eigenständige Zertifizierung und setzt kein PMP voraus. PMI verlangt jedoch Berufserfahrung im Projektrisikomanagement (4.500 Stunden mit Sekundarschulabschluss oder 3.000 Stunden mit Bachelor) sowie 40 Stunden Ausbildung im Risikomanagement.
Welche Branchen profitieren besonders von dieser Kombination?
Branchen mit umfangreichem Projektgeschäft in sicherheitskritischen Bereichen – Finanzwesen, öffentliche Verwaltung, Gesundheitswesen, Rüstungs- und Kritische-Infrastruktur-Projekte – profitieren am stärksten. In diesen Umgebungen laufen IT-Sicherheitsveränderungen oft durch Projektstrukturen, sodass CISM-Programm-Governance und PMI-Projektrisikomethodik direkt zusammenkommen.
Wie lange ist der PMI-RMP gültig?
Der PMI-RMP muss alle drei Jahre durch Nachweis von 30 PDUs (Professional Development Units) in den Bereichen Risikomanagement erneuert werden. PMI stellt klare Anforderungen, welche Aktivitäten als PDU-fähig gelten – unter anderem Weiterbildungen, Selbststudium und ehrenamtliches Engagement in der PM-Community.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Risk Manager220 Stellen
- Information Security Manager106 Stellen
- Chief-Information-Security-Officer103 Stellen
- Informationsmanager/Informationsmanagerin46 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen
- Sicherheitsmanager/Sicherheitsmanagerin12 Stellen