EXIN Information Security Professional Zertifizierung basierend auf ISO/IEC 27001 — ISMS, Risikomanagement, Annex A Controls, Implementierung und Audit.
Geprüft von Admin Kursweg · Stand 25. Mai 2026
Was wird in diesem Kurs vermittelt
EXIN Information Security Professional based on ISO/IEC 27001 ist eine herstellerunabhängige Zertifizierung für IS-Spezialisten, die im Einklang mit dem ISO-27001-Framework arbeiten — gut etabliert in Europa und weniger US-zentriert als CISM/CISSP. Themen: 1. Informationssicherheits-Grundlagen — CIA-Triade (Confidentiality, Integrity, Availability) erweitert um Authentizität, Verbindlichkeit (Non-Repudiation), Verfügbarkeit-Klassifizierung. Bedrohungen, Schwachstellen, Risiken, Maßnahmen-Kategorien (präventiv, detektiv, korrektiv, abschreckend). 2. ISO/IEC 27001:2022 vertieft — High Level Structure (HLS) mit 10 Kapiteln, alle Klauseln im Detail. Kontext der Organisation, Führungs-Commitment, Risikomanagement-Prozess, Statement of Applicability (SoA), Annex A (93 Controls in 4 Themen: Organizational 37, People 8, Physical 14, Technological 34 — Vergleich zur alten Version mit 114 Controls in 14 Domains). 3. ISO/IEC 27002:2022 — Implementierungsleitfaden für Annex-A-Controls mit Best Practices. 4. ISO/IEC 27005:2022 — Risikomanagement-Methodik (Identifikation, Analyse, Bewertung, Behandlung, Monitoring). Risk-Treatment-Strategien (avoid, modify/mitigate, share/transfer, retain/accept). Quantitative (ALE Annual Loss Expectancy = SLE Single Loss Expectancy × ARO Annual Rate of Occurrence) vs. qualitative Risikobewertung (Heat Maps). 5. ISO/IEC 27017 und 27018 — Cloud-spezifische Erweiterungen. 6. Implementierung eines ISMS — PDCA-Zyklus (Plan-Do-Check-Act), 5-Phasen-Implementierung (Initiation, Scoping, Risk Assessment, Risk Treatment, ISMS Operation). Stakeholder-Buy-in, Dokumentationsmanagement (Information Security Policy, Statement of Applicability, Risk Treatment Plan, Information Security Objectives). 7. Operation — Asset Management (Inventarisierung, Klassifizierung, Ownership), Access Control (User Lifecycle, Privileged Access Management PAM, MFA), Cryptography (Algorithmen, Key Management, PKI), Operations Security (Patch Management, Capacity Management, Backup, Logging), Communications Security (Network Segmentation, Email Security), Acquisition/Development (SDLC mit Security, OWASP), Supplier Relationships (Third-Party Risk Management, Cloud Service Provider Audits), Information Security Incident Management (CSIRT, NIST 800-61 Lifecycle). 8. Audit — Internes Audit, externes Zertifizierungsaudit (Stage 1 Documentation Review, Stage 2 Implementation Audit), Überwachungsaudits jährlich, Rezertifizierung alle 3 Jahre, Audit Findings (Nonconformity Major/Minor, Observation, Opportunity for Improvement). 9. Aktuelle Themen — NIS2-Compliance via ISO 27001, DORA Digital Operational Resilience Act für Finanzdienstleister, AI Act-Compliance für High-Risk AI. Examen: 40 Multiple-Choice-Fragen, 90 Minuten, 65% Pass (26/40).
Marktdaten zu Verdienst, offenen Stellen und Zukunftsaussicht im Bereich IT & Informatik
Einstieg
38.000–48.000 €
0–2 Jahre Erfahrung
Mittel
52.000–68.000 €
3–7 Jahre Erfahrung
Senior
70.000–95.000 €
8+ Jahre / Lead-Rolle
124.000+
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Bei AZAV-zertifizierten Trägern ist die Kursgebühr regelmäßig zu 100 % förderbar.
EXIN europäisch, ISO-fokussiert, weniger Berufserfahrung gefordert. CISM/CISSP US-getrieben, anspruchsvoller, Management-Pfad. EXIN als Einstieg.
Nicht zwingend, aber hilfreich für Begriffsklärung. Professional baut auf Foundation auf.
Aktuell: 2022. Wer noch 2013-Zertifikat hat, muss bis Oktober 2025 auf 2022 migrieren.
Inhaltliche Vorbereitung ja. Für PECB Lead Implementer Examen separate Buchung nötig.
Vorbereitung auf die Microsoft-Zertifizierung SC-200: Microsoft 365 Defender, Azure Sentinel, Defender for Endpoint, KQL-Abfragen. Für SOC-Analysten und IT-Security-Einsteiger.
Einstieg in den betrieblichen Datenschutz: BDSG, DSGVO, technisch-organisatorischer Datenschutz. Für angehende Datenschutzbeauftragte und Compliance-Manager.
Vorbereitung auf SC-300: Microsoft Entra ID Administration, Identity Governance, Conditional Access, Microsoft Identity Manager. Für Cloud-Identity-Administratoren.
Einsteiger-Zertifizierung für Microsoft-Security: SC-900 vermittelt Grundlagen zu Microsoft Defender, Compliance Center, Entra ID, Microsoft Security. Für IT-Quereinsteiger ins Cloud-Security-Feld.
Sag uns einmal Region, Format (online/präsenz), Zeit-Modell und Förderstatus — wir vergleichen für dich und melden uns mit 1–3 passenden Trägern. Kostenlos, unverbindlich.
Typischer Verlauf nach dem Kurs
Quellen: Bundesagentur für Arbeit · Engpassanalyse 2024/25 · StepStone Gehaltsreport 2025 · Bitkom Studie Fachkräftemangel 2024. Brutto-Jahresgehälter aus Erhebungen 2024/25, abweichend nach Region und Tarifgebundenheit.