EXIN Information Security Foundation based on ISO/IEC 27001

EXIN Information Security Foundation (ISFS) based on ISO/IEC 27001 ist die Einstiegs-Zertifizierung in Informationssicherheit — herstellerunabhängig und auf den ISO-27001-Standard ausgerichtet. Themen: 1. Information und Informationssicherheit — Was ist Information (Daten + Kontext), warum schützen? CIA-Triade (Confidentiality Vertraulichkeit, Integrity Integrität, Availability Verfügbarkeit) plus moderne Erweiterungen (Authentizität, Verbindlichkeit Non-Repudiation). 2. Bedrohungen und Risiken — Bedrohungsquellen (Malware, Hacker, Naturkatastrophen, Insider-Threats, menschliche Fehler), Schwachstellen-Typen (technisch, organisatorisch, physisch), Risiko = Bedrohung × Schwachstelle × Auswirkung. Risikomanagement-Lifecycle (Identifizieren, Analysieren, Bewerten, Behandeln, Überwachen). Risk-Treatment-Optionen (Vermeiden, Vermindern, Übertragen, Akzeptieren). 3. ISO/IEC 27001 Übersicht — High Level Structure (HLS) mit 10 Kapiteln. ISMS (Information Security Management System) als kontinuierlicher Verbesserungsprozess (PDCA-Zyklus). Annex A mit 93 Controls in 4 Themen (Organizational, People, Physical, Technological). Statement of Applicability (SoA) als zentrales Dokument. 4. Maßnahmen-Kategorien — Präventiv (verhindern: Firewall, Access Control, Awareness-Schulungen), Detektiv (entdecken: SIEM, IDS, Audit Logs), Korrektiv (beheben: Backup-Restore, Incident Response), Abschreckend (Strafen, Sichtbarkeit von Maßnahmen). 5. Konkrete Maßnahmen — Physische Sicherheit (Zutrittsschutz, Brandschutz, USV unterbrechungsfreie Stromversorgung), Technische Maßnahmen (Authentifizierung mit MFA, Verschlüsselung at Rest/in Transit, Backup-Strategien 3-2-1, Patch Management, Antivirus, Firewalls), Organisatorische Maßnahmen (Richtlinien, Awareness-Schulungen, Notfall-Management, Lieferantenmanagement, Trennung von Aufgaben, Need-to-Know-Prinzip). 6. Gesetze und Standards — DSGVO Grundlagen, NIS2-Richtlinie, ISO 27001-Familie (27000 Vocabulary, 27001 Requirements, 27002 Code of Practice, 27005 Risk Management, 27017 Cloud, 27018 PII in Cloud). 7. Incident Management — Klassifizierung (Event vs. Incident vs. Breach), Lifecycle (Detection, Triage, Containment, Eradication, Recovery, Lessons Learned). Reporting (CSIRT-Aufbau, regulatorische Meldepflichten DSGVO 72h, NIS2 24h Early Warning). 8. Business Continuity — BCM nach ISO 22301, BIA Business Impact Analysis, RTO Recovery Time Objective, RPO Recovery Point Objective, BCP Business Continuity Plan, DRP Disaster Recovery Plan. Examen: 40 Multiple-Choice, 60 Minuten, 65% Pass (26/40). Unbegrenzte Gültigkeit. Idealer Einstieg vor EXIN Information Security Professional oder CISM/CISSP.