Überblick
CISA und CISM sind die beiden renommiertesten Zertifizierungen von ISACA und adressieren zwei Seiten derselben Medaille: die Prüfung von Informationssicherheit und die Führung von Informationssicherheit. Der CISA-Certified Information Systems Auditor qualifiziert für die systematische Prüfung von IT-Systemen, -Kontrollen und -Governance-Strukturen. Der CISM-Certified Information Security Manager qualifiziert für den Aufbau, die Führung und die strategische Einbettung von Informationssicherheitsprogrammen. Diese Weiterbildung vermittelt beide Curricula in einem zusammenhängenden Lehrgang und schafft so ein Kompetenzprofil, das in der Informationssicherheits-Community als Goldstandard gilt.
Kursinhalte & Lernziele
Das Training gliedert sich in zwei vollständige Ausbildungsblöcke — CISA und CISM — die inhaltlich sorgfältig aufeinander abgestimmt sind, um Redundanzen zu minimieren und Synergien zu nutzen. Domäne 1 — Informationssystem-Auditprozess (CISA) — die erste CISA-Domäne legt das methodische Handwerkszeug für alle Prüfungsaufgaben.
- Berufsnormen, Ethik und gesetzliche Grundlagen für IT-Auditoren
- Risikobasierte Prüfungsplanung und Prüffeld-Priorisierung
- Sammlung und Bewertung von Prüfungsnachweisen
- Dokumentation, Berichtsstruktur und Empfehlungsformulierung
- Follow-up-Prozesse und Management-Responses
Domäne 2 — Governance und Management von IT: Diese Domäne prüft die strategische Steuerungsebene.
- Bewertung von IT-Governance-Frameworks (COBIT, ISO/IEC 38500)
- IT-Strategie, -Organisationsstruktur und Entscheidungsverantwortung prüfen
- IT-Richtlinien und Verfahren auf Aktualität und Vollständigkeit prüfen
- Drittparteienmanagement und Outsourcing aus Audit-Sicht
Domäne 3 — Informationssystembeschaffung, -entwicklung und -implementierung: Der Projektzyklus als Prüfgegenstand.
- Governance in IT-Projekten: Methodenwahl, Meilensteine, Ressourcen
- SDLC und seine inhärenten Kontrollpunkte von Anforderung bis Go-live
- Systemimplementierungskontrollen: Tests, Datenmigration, Anwenderabnahme
- Change Management, Konfigurationsmanagement und Release-Steuerung
Domäne 4 — IT-Betrieb und Ausfallsicherheit: Der laufende Betrieb und seine Vulnerabilitäten.
- IT-Service-Management-Prozesse nach ITIL-Kriterien prüfen
- Kapazitäts- und Verfügbarkeitsmanagement bewerten
- Backup- und Wiederherstellungsprozesse auf Vollständigkeit testen
- Datenbankbetrieb, Netzwerksicherheit und physische Sicherheit prüfen
Domäne 5 — Schutz von Informationswerten: Sicherheitsprüfung auf operativer Ebene.
- Bedrohungslandschaft und Schwachstellenmanagement im Prüfungskontext
- Logische und physische Zugriffskontrollsysteme prüfen
- Kryptografische Maßnahmen und Schlüsselmanagement evaluieren
- Incident-Management und Forensik-Bereitschaft beurteilen
Domäne 1 — Informationssicherheits-Governance (CISM) — die erste CISM-Domäne baut die strategische Grundlage.
- Informationssicherheitsstrategie: Entwicklung, Kommunikation, Alignment
- Governance-Rahmen: Rollen, Verantwortlichkeiten, Eskalationsstrukturen
- Richtlinien-, Standard- und Verfahrenswerk entwickeln und pflegen
- Sicherheits-Governance in der Praxis: Reporting an Board und Senior Management
- Reifegradmodelle und KPIs zur Governance-Bewertung
Domäne 2 — Informationsrisikomanagement: Risikosteuerung als Kernkompetenz des Sicherheitsmanagers.
- Risikoidentifikation, -klassifizierung und -analyse nach ISACA
- Risikobewertung: quantitativ, qualitativ und hybrid
- Risikobehandlungsstrategien und deren Dokumentation
- Risikoregister führen, aktualisieren und an Entscheidungsträger berichten
- Integration in unternehmensweite GRC-Prozesse
Domäne 3 — Informationssicherheitsprogramm-Management: Von der Strategie zur operativen Umsetzung.
- Programm-Design: Kontrollen, Ressourcen, Lieferantenmanagement
- Security Awareness und Schulungskonzepte entwickeln und betreiben
- Sicherheitsprogramm-Metriken und Reifegradbewertung
- Third-Party-Risk-Management und Auditsupport für externe Prüfungen
Domäne 4 — Incident Management: Reaktionsfähigkeit im Ernstfall.
- Incident-Management-Plan aufbauen, testen und kontinuierlich verbessern
- Incident-Klassifizierung, Triage und Eskalationsketten
- Koordination mit Legal, HR und externen Behörden im Krisenfall
- Post-Incident-Review als Lernprozess für Programmverbesserung
Praxisblock — integrierte Übungen für beide Zertifizierungen.
- CISA-Prüfungsszenarien aus allen fünf Domänen mit detaillierter Besprechung
- CISM-Prüfungsübungen aus allen vier Domänen
- Fallstudie: CISA-Audit eines Sicherheitsprogramms, das nach CISM-Standard aufgebaut wurde
- Rollenübung: Prüfer befragt Sicherheitsmanager zu Incident-Management-Prozessen
- Dokumentenübung: Sicherheitsrichtlinie nach CISM erstellen, dann nach CISA-Kriterien prüfen
- Risikobewertungs-Übung aus beiden Perspektiven — Prüfer und Manager
- Diskussion: Wo sind CISA- und CISM-Perspektive kongruent, wo in produktiver Spannung?
- Vorbereitung auf die Prüfungsformate beider ISACA-Zertifizierungen
Lernziele:
Nach Abschluss dieses Trainings beherrschen die Teilnehmenden die fünf CISA-Domänen vollständig und können IT-Audits von der Planung bis zum Abschlussbericht durchführen. Sie sind in der Lage, IT-Governance-Strukturen systematisch zu prüfen und Kontrollmängel zu dokumentieren. Sie können Systembeschaffungs-, Entwicklungs- und Implementierungsprozesse auf Angemessenheit ihrer Kontrollen bewerten. Sie verstehen, wie IT-Betrieb und Ausfallsicherheit aus Prüfperspektive bewertet werden. Sie können Schutzmaßnahmen für Informationswerte auf Angemessenheit und Wirksamkeit prüfen. Sie beherrschen die vier CISM-Domänen und können Informationssicherheits-Governance auf Unternehmensebene gestalten. Sie sind in der Lage, Informationsrisiken nach ISACA-Methodik systematisch zu identifizieren, zu bewerten und zu steuern. Sie können ein vollständiges Informationssicherheitsprogramm konzipieren, implementieren und messen. Sie verstehen den Aufbau eines CISM-konformen Incident-Management-Systems und können es in Krisenszenarien aktivieren. Sie sind auf beide ISACA-Prüfungen inhaltlich vorbereitet. Sie können CISA-Prüfungsbefunde in CISM-konforme Sicherheitsprogramm-Empfehlungen übersetzen. Sie erkennen, wie Prüfer- und Manager-Perspektive in der Praxis zusammenwirken und wo sie konstruktiv in Spannung stehen.
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an erfahrene IT-Sicherheitsfachkräfte, die beide führenden ISACA-Zertifizierungen in einem Ausbildungsgang erwerben wollen.
- IT-Sicherheitsmanager/innen, die ihre Prüfungskompetenz formell zertifizieren lassen wollen
- IT-Auditoren, die in eine Sicherheitsmanagement-Rolle wechseln wollen
- Compliance-Fachkräfte, die CISO-Qualifikationen anstreben
- Head-of-Security-Kandidaten/innen in Unternehmen aller Größen
Für beide Zertifizierungen setzt ISACA mehrjährige Berufserfahrung in der Informationssicherheit voraus — fünf Jahre für beide Titel, wobei drei Jahre in Kernfunktionen nachgewiesen werden müssen. Diese Erfahrung ist für die offizielle Zertifizierungsantragstellung relevant; für die Kursteilnahme selbst genügen fundierte Kenntnisse in IT-Sicherheit und IT-Prozessen. Der Kurs ist nicht für Berufseinsteiger konzipiert.
Ablauf & Abschluss
Das Training kombiniert strukturierte Lehreinheiten, Prüfungsübungen und integrierte Fallstudienarbeit. Für beide ISACA-Zertifizierungen ist eine tiefe Beschäftigung mit den Prüfungsformaten unerlässlich — der Kurs enthält deshalb umfangreiche Prüfungssimulationen für beide Titel. Gleichzeitig wird der konzeptionelle Unterschied zwischen Prüfer- und Manager-Perspektive immer wieder explizit gemacht, damit beide Qualifikationen als eigenständige Kompetenzen internalisiert werden. Der Live-Unterricht findet im virtuellen Klassenzimmer statt.
Das Training erstreckt sich in Vollzeit über mehr als einen Monat. Zwei vollständige ISACA-Zertifizierungsausbildungen parallel zu absolvieren erfordert diesen Umfang — der Zeitgewinn gegenüber zwei separaten Kursen ist trotzdem erheblich, weil inhaltliche Überschneidungen zusammengelegt werden.
Der Kurs bereitet auf die ISACA-Prüfungen CISA und CISM vor. Beide Zertifikate werden von ISACA ausgestellt, erfordern den Nachweis von Berufserfahrung und sind zeitlich unbegrenzt gültig (mit Rezertifizierungs-CPE-Anforderungen). Ergänzend wird ein Lehrgangszertifikat als Nachweis der absolvierten Ausbildung ausgestellt.
Nutzen & Perspektiven
In der Praxis der Informationssicherheit treffen Prüfer und Sicherheitsmanager täglich aufeinander — und verstehen sich oft zu wenig. Wer beide Perspektiven aus eigener Ausbildung kennt, arbeitet produktiver: als Auditor, der weiß, welche Entscheidungslogik hinter einem Sicherheitsprogramm steckt; als Sicherheitsmanager, der versteht, wonach Prüfer suchen und wie man Audit-sicher dokumentiert. Die CISA-CISM-Doppelzertifizierung ist in der ISACA-Community ein etabliertes Signal für Fachtiefe. Personalentscheider in CISO-Auswahl, Big-Four-Prüfungsgesellschaften und Regulierungsbehörden erkennen dieses Profil sofort. Es signalisiert: Diese Person kann nicht nur in einem Modus denken, sondern versteht das gesamte Ökosystem der Informationssicherheits-Governance. Die Effizienz des kombinierten Lernens ist ein weiterer Vorteil. Wer CISA und CISM separat und zeitversetzt absolviert, baut Wissen zweimal auf und verliert die Synergie der inhaltlichen Verzahnung. Wer beide Curricula in einem Durchgang durcharbeitet, lernt die Konzepte aus beiden Blickwinkeln gleichzeitig und behält sie dadurch stabiler.
Häufig gestellte Fragen (FAQ)
Kann ich CISA und CISM gleichzeitig lernen?
Ja. Dieser Kurs verbindet beide ISACA-Curricula in einem Lehrgang und nutzt inhaltliche Synergien gezielt. Der Zeitaufwand ist geringer als bei zwei separaten Kursen, das resultierende Kompetenzprofil ist breiter.
Welche Berufserfahrung brauche ich für die ISACA-Zertifizierungen?
Für CISA und CISM setzt ISACA jeweils fünf Jahre einschlägige Berufserfahrung voraus, davon drei Jahre in Kernfunktionen der jeweiligen Domäne. Diese Anforderung gilt für die Zertifizierungsantragstellung, nicht für die Kursteilnahme.
Für welche Karrierestufe ist dieser Kurs geeignet?
Der Kurs richtet sich an erfahrene Fachkräfte der IT-Sicherheit — nicht an Berufseinsteiger. Typische Teilnehmende sind IT-Sicherheitsmanager, Auditoren oder Compliance-Experten mit mehrjähriger Praxis.
Wie findet der Unterricht statt?
Das Training wird im Virtual-Classroom-Format als Vollzeit-Intensivkurs durchgeführt. Synchrone Live-Einheiten, Fallstudienarbeit und Prüfungsübungen wechseln sich ab.
Was ist der Unterschied zwischen CISA und CISM?
CISA (Certified Information Systems Auditor) qualifiziert für die unabhängige Prüfung von IT-Systemen und Kontrollen. CISM (Certified Information Security Manager) qualifiziert für den Aufbau und die strategische Führung von Informationssicherheitsprogrammen. Beide Zertifizierungen werden von ISACA vergeben.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Cyber-Security-Consultant528 Stellen
- Compliance Manager287 Stellen
- Chief-Information-Security-Officer103 Stellen
- Assistent/Assistentin für Informatik (allgemeine Informatik)74 Stellen
- IT-Auditor0 Stellen
- IT-Sicherheitsmanager0 Stellen