Überblick
Sicherheitsmanager und Enterprise-Architekten arbeiten in vielen Organisationen an parallelen Aufgaben, ohne eine gemeinsame konzeptionelle Sprache zu haben. Das Ergebnis: Sicherheitsanforderungen kommen erst im Nachhinein in Architekturprojekte, und Architekturentscheidungen werden ohne ausreichenden Sicherheitsinput getroffen. Dieser Kurs adressiert genau dieses Strukturproblem, indem er ISACA CISM und TOGAF in einem integrierten Curriculum zusammenführt. CISM gibt das Handwerkszeug für strategisches Sicherheitsmanagement — Governance-Strukturen, Risikomanagement, Sicherheitsprogramm und Incident-Response. TOGAF liefert den architektonischen Rahmen, um Sicherheitsanforderungen methodisch in Unternehmens-IT-Architekturen einzubetten: über den ADM-Zyklus, die Architecture Building Blocks und das Architecture Repository. Wer beide Frameworks beherrscht, denkt Sicherheit und Architektur als Einheit statt als konkurrierende Disziplinen.
Kursinhalte & Lernziele
CISM-Domäne 1 — Governance an der Schnittstelle von Security und Architecture Governance ist sowohl im CISM als auch in TOGAF ein zentrales Konzept — nur aus unterschiedlichen Winkeln. CISM versteht Governance als die strategische Verankerung der Informationssicherheit auf Vorstandsebene; TOGAF versteht Architecture Governance als die strukturierte Kontrolle von Architekturentscheidungen. Dieses Modul beleuchtet beide Perspektiven und zeigt, wie ein Security-Governance-Rahmen mit dem TOGAF Architecture Review Board und dem Architecture Content Framework zusammenwirkt.
- Verantwortlichkeiten in der Sicherheitsgovernance: CISO, Steering Committee, Board-Reporting
- Policy-Hierarchie: Informationssicherheitsrichtlinie, Standards, Prozeduren und Guidelines im Unternehmenskontext
- Sicherheitsstrategie aus Unternehmenszielen ableiten und mit Enterprise-Architekturprinzipien abstimmen
- KPIs und Maturity-Modelle zur Messung der Governance-Wirksamkeit
- Regulatorische Anforderungen (ISO 27001, DSGVO, KRITIS-Regulierung) als Governance-Input
- TOGAF Architecture Principles: Wie fließen Sicherheitsprinzipien in den ADM ein?
CISM-Domäne 2 — Risikomanagement als Architektur-Input Risikoanalyse-Ergebnisse sind im TOGAF-Rahmen wichtige Eingabegrößen für Architekturentscheidungen. Dieses Modul vermittelt die CISM-Risikomanagement-Methodik und zeigt gleichzeitig, wie Risikobefunde in Architecture Decision Records und in den ADM-Iterationsprozess eingespeist werden.
- Asset-Identifikation und Schutzbedarfsfeststellung im Architekturkontext
- Risikoanalyse: Bedrohungsmodellierung, qualitative und quantitative Bewertung, Risikomatrix
- Risikobehandlungsstrategien: Mitigationsmaßnahmen, Akzeptanzentscheid, Risikotransfer
- Drittanbieterrisikomanagement und Supply-Chain-Security als Architekturanforderung
- Kontinuierliches Risikomonitoring: KRI-Metriken, Eskalationsprozesse, Management-Reporting
- TOGAF Risk Management: Compliance Review als strukturierter Risikoprozess im ADM
CISM-Domäne 3 — Sicherheitsprogramm-Management Ein laufendes Sicherheitsprogramm braucht Ressourcenplanung, Schulungsformate und Wirksamkeitsmessung — dieser Block deckt die operative Seite des CISM-Curriculums ab und verbindet sie mit der TOGAF-Architekturplanung, die Sicherheitsprogramm-Ressourcen als Capability-Anforderungen abbildet.
- Programm-Scope, Budgetierung und Ressourcenallokation
- Security-Awareness-Konzepte für unterschiedliche Stakeholder-Gruppen im Unternehmen
- Vulnerability-Management und Patch-Governance in Enterprise-Architekturen
- Sicherheitsmetriken und Reporting-Formate für verschiedene Adressatenkreise
CISM-Domäne 4 — Incident Management und Resilienz Sicherheitsvorfälle erfordern vorbereitete Reaktionsprozesse. Dieser Block deckt den vollständigen Incident-Lifecycle ab und verbindet ihn mit TOGAF-Konzepten für Business Continuity und Architecture Change Management.
- Incident-Response-Phasen: Vorbereitung, Erkennung, Eindämmung, Beseitigung, Nachbereitung
- Forensische Grundlagen und Beweissicherung
- Business Continuity Planning und Disaster Recovery in der Enterprise-Architektur
- Krisenkommunikation und regulatorische Meldepflichten nach DSGVO und NIS2
TOGAF — Enterprise Architecture mit Security-Fokus TOGAF ist das meistgenutzte Enterprise-Architecture-Framework weltweit. In diesem Kursblock steht die Anwendung des TOGAF Standard (Version 10) mit explizitem Sicherheitsfokus im Vordergrund. Foundation- und Certified-Inhalte werden gemeinsam erarbeitet; der Certified-Teil schärft die Szenario-Kompetenz für komplexe Architekturaufgaben.
- TOGAF-Überblick: Framework-Struktur, Kernkomponenten, Abgrenzung zu anderen EA-Frameworks
- ADM Preliminary Phase: Architektur-Capability einrichten, Architecture Principles definieren
- Phase A — Architecture Vision: Stakeholder identifizieren, Concerns aufnehmen, Architecture Vision Statement entwickeln
- Phasen B bis D — Business, Data, Application und Technology Architecture: Security Architecture als Querschnitt einbetten
- Phasen E bis H — Opportunities, Migration Planning, Implementation Governance, Architecture Change Management
- Architecture Building Blocks (ABBs) und Solution Building Blocks (SBBs) für Sicherheitsdomänen: IAM, Netzwerksegmentierung, Kryptographie, Monitoring
- TOGAF Enterprise Continuum: Foundation Architecture, Common Systems Architecture, organisationsspezifische Architekturen
- Architecture Repository: Governance Log, Standards Information Base, Architecture Landscape
- Architecture Governance: Compliance Reviews, Architecture Contracts, Architecture Dispensation-Prozesse
- Stakeholder-Management nach TOGAF: Viewpoints, Views und Concerns für Sicherheitsthemen
- Szenarienanalyse für TOGAF Certified: Architekturentscheidungen in komplexen Fallbeispielen treffen
- Security-Architecture-Patterns: Zero Trust, Defence in Depth, Netzwerksegmentierung im TOGAF-Kontext
Der gemeinsame Nenner beider Frameworks wird im Kurs immer wieder explizit herausgearbeitet: Wer CISM-Risikobewertungen erstellt, kann diese direkt als Input für TOGAF-Architekturentscheidungen nutzen. Wer TOGAF-Compliance-Reviews durchführt, kann darin CISM-Governance-Kriterien systematisch berücksichtigen.
Lernziele:
- Eine unternehmensweite Informationssicherheits-Governance nach ISACA-Methodik aufbauen und steuern
- Informationssicherheitsrisiken systematisch identifizieren, auf Architekturebene einordnen und behandeln
- Ein CISM-konformes Sicherheitsprogramm konzipieren, ressourcenseitig planen und kontinuierlich verbessern
- Incident-Response-Prozesse mit klaren Eskalationspfaden und Business-Continuity-Bezug aufsetzen
- Den TOGAF ADM-Zyklus in allen Phasen von Preliminary bis Phase H anwenden
- Business-, Data-, Application- und Technology-Architektur unter Sicherheitsaspekten entwickeln
- Architecture Building Blocks (ABBs) und Solution Building Blocks (SBBs) für Sicherheitsdomänen definieren
- Sicherheitsarchitektur als eigenständige TOGAF-Querschnittsdisziplin gestalten
- Das Architecture Repository und den Enterprise Continuum für Sicherheitsartefakte nutzen
- Architecture Governance-Mechanismen anwenden: Compliance Reviews, Architecture Contracts, Architecture Dispensation
- Risikoanalyse-Ergebnisse aus dem CISM-Managementprozess als Eingabegrößen für Architekturentscheidungen verwenden
- Auf CISM (ISACA), TOGAF Foundation (Level 1) und TOGAF Certified (Level 2) systematisch vorbereitet sein
Zielgruppe & Voraussetzungen
Der Kurs adressiert IT-Fachkräfte in strategischen Rollen an der Schnittstelle von Sicherheitsmanagement und IT-Architektur.
- IT-Architekten, die Sicherheitsanforderungen strukturiert in Enterprise-Architekturen einbetten müssen
- Security-Manager und CISO-Kandidaten, die Architekturdisziplinen methodisch durchdringen wollen
- IT-Governance-Verantwortliche in größeren Organisationen mit Architecture Board-Strukturen
- Berater für Sicherheitsstrategie und digitale Transformation, die beide Frameworks beherrschen müssen
- IT-Führungskräfte, die Sicherheits- und Architekturentscheidungen auf der Grundlage beider Frameworks treffen
Berufserfahrung in IT-Management, Sicherheit oder IT-Architektur ist eine sinnvolle Ausgangsbasis. Für die CISM-Prüfungszulassung durch ISACA sind fünf Jahre Berufserfahrung in der Informationssicherheit notwendig; der Kurs schafft das fachliche Fundament unabhängig vom aktuellen Erfahrungsstand. TOGAF Foundation-Inhalte werden vollständig im Kurs aufgebaut; Vorkenntnisse in Enterprise Architecture sind hilfreich, aber keine formale Voraussetzung.
Ablauf & Abschluss
Der Unterricht läuft als strukturiertes Live-Training im virtuellen Klassenzimmer. Dozenten mit praktischer Erfahrung in Enterprise Architecture und Sicherheitsmanagement führen durch die Inhalte. Konzeptphasen wechseln mit moderierter Fallarbeit und eigenen Architekturübungen, bei denen CISM- und TOGAF-Inhalte bewusst verzahnt werden. An den Schulungsstandorten stehen Dual-Monitor-Arbeitsplätze bereit; Home-Office-Teilnahme ist möglich. Die individuelle Kombinierbarkeit der Module erlaubt eine Schwerpunktsetzung je nach Vorwissen in einem der beiden Bereiche.
Die Kursdauer ergibt sich aus der Modulauswahl. CISM-Vorbereitung über alle vier Domänen ist zeitintensiv und umfasst erfahrungsgemäß mehrere Monate; TOGAF-Vorbereitung bis Level 2 ist kompakter, erfordert aber das Durchdringen des ADM-Zyklus in der Tiefe. Beide Zertifizierungspfade führen zu externen Prüfungen, die nach eigenem Zeitplan abgelegt werden: CISM bei ISACA, TOGAF Foundation und Certified bei The Open Group über Pearson VUE.
Der Kurs bereitet auf insgesamt drei externe Prüfungen vor: die CISM-Prüfung von ISACA sowie TOGAF Foundation (OG0-091) und TOGAF Certified (OG0-092) von The Open Group. Das CISM-Zertifikat setzt neben dem Prüfungsbestehen einen von ISACA geprüften Berufserfahrungsnachweis voraus. Alle drei Zertifikate sind global anerkannte Qualifikationsnachweise ihrer Herausgeberorganisationen. Ergänzend erhalten Teilnehmende eine qualifizierte Teilnahmebescheinigung des Bildungsträgers.
Nutzen & Perspektiven
Die Lücke zwischen Sicherheitsmanagement und Enterprise Architecture ist in vielen Organisationen ein strukturelles Problem: Sicherheitsmanager formulieren Anforderungen, die keine direkte Entsprechung in Architekturentscheidungen finden; Architekten treffen Entwurfsentscheidungen, ohne deren Sicherheitsimplikationen vollständig zu überblicken. Wer beide Frameworks beherrscht, kann diese Übersetzungsleistung selbst erbringen — und in Organisationen, die beides professionell betreiben, als Brücke zwischen den Disziplinen wirken. Für CISO-Kandidaten ist TOGAF eine häufig unterschätzte Ergänzung: Große Unternehmen erwarten von Sicherheitsführungskräften nicht nur Risikomanagement-Kompetenz, sondern die Fähigkeit, Sicherheitsarchitektur im Kontext der Gesamtunternehmens-IT zu positionieren und zu kommunizieren. Der TOGAF-ADM-Zyklus und das Architecture Governance-Instrumentarium liefern dafür einen anerkannten methodischen Rahmen. Beide Zertifizierungen sind in Stellenanzeigen für Senior-Positionen in der IT-Sicherheit und in der Enterprise Architecture häufig explizit genannt. In Branchen mit hohen Governance-Anforderungen — Finanzwesen, öffentliche Verwaltung, Gesundheitswesen, kritische Infrastrukturen — ist die kombinierte Qualifikation ein deutlicher Differentiator auf dem Arbeitsmarkt.
Häufig gestellte Fragen (FAQ)
Welche TOGAF-Prüfungsstufen bereitet der Kurs vor?
Der Kurs bereitet auf TOGAF Foundation (Level 1, Prüfung OG0-091) und TOGAF Certified (Level 2, Prüfung OG0-092) vor. Level 1 ist Closed Book und prüft konzeptionelles TOGAF-Wissen; Level 2 ist Open Book mit Szenariofragen, die die Anwendung des ADM auf komplexe Architekturaufgaben prüfen. Level 1 muss vor Level 2 bestanden werden.
Was unterscheidet diesen Kurs von einem reinen CISM-Kurs?
Ein reiner CISM-Kurs liefert Sicherheitsmanagement-Methodik, bietet aber keinen strukturierten Entwurfsrahmen für unternehmensweite IT-Architekturen. TOGAF ergänzt CISM mit dem ADM-Zyklus, Architecture Building Blocks und dem Enterprise Continuum. Wer beides beherrscht, kann Sicherheitsanforderungen nicht nur als Richtlinie formulieren, sondern architektonisch verankern.
Wie lange gelten TOGAF-Zertifizierungen?
TOGAF Foundation und TOGAF Certified sind unbefristet gültig. The Open Group empfiehlt, sich über Versionsupdates zu informieren; aktuell gilt TOGAF Standard Version 10. Eine formale Rezertifizierungspflicht besteht nicht.
Für welche Unternehmensgrößen ist CISM plus TOGAF relevant?
Die Kombination adressiert vor allem mittlere und große Organisationen, in denen Sicherheitsgovernance und Enterprise Architecture eigenständige Disziplinen mit dedizierten Rollen sind. Konzerne, Bundesbehörden und regulierte Branchen wie Finanzwesen oder kritische Infrastrukturen setzen für Führungspositionen häufig beide Kompetenzen voraus.
Muss ich CISM vor TOGAF ablegen oder umgekehrt?
Es gibt keine verbindliche Reihenfolge zwischen den beiden Zertifizierungen. Im Kursaufbau werden beide parallel entwickelt. Empfehlenswert ist, TOGAF Foundation als erstes abzulegen, da diese Closed-Book-Prüfung das Fundament für die anspruchsvolleren Level-2-Szenariofragen legt.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Enterprise Architect481 Stellen
- Information Security Manager106 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT-Lizenzmanager/IT-Lizenzmanagerin38 Stellen
- Sicherheitsmanager/Sicherheitsmanagerin15 Stellen