Überblick
Die Weiterbildung zum Information Security Officer vermittelt vertieftes Fachwissen für den Aufbau, die Implementierung und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) auf Basis der international anerkannten Norm ISO/IEC 27001. Im Mittelpunkt stehen die normativen Anforderungen der ISO 27001, die praktische Anwendung der 93 Sicherheitsmaßnahmen (Controls) aus ISO 27002 sowie bewährte Methoden des Risikomanagements nach ISO 27005. Darüber hinaus wird die Umsetzung gesetzlicher Anforderungen aus der NIS2-Richtlinie behandelt, die für eine wachsende Zahl von Unternehmen und Behörden verbindlich ist. Absolventen sind nach Kursabschluss in der Lage, ein ISMS eigenständig aufzubauen, einen Zertifizierungsprozess vorzubereiten und ihre Organisation dauerhaft auf einem hohen Informationssicherheitsniveau zu halten.
Kursinhalte & Lernziele
Das erste Modul legt die normativen und konzeptionellen Grundlagen der Informationssicherheit. Teilnehmer erhalten einen strukturierten Überblick über die ISO-27000-Normenfamilie, die Harmonized Structure (HLS/Annex SL) und die wesentlichen Begriffe und Definitionen. Besonders wichtig ist das Verständnis des Anwendungsbereichs (Scope) und des organisatorischen Kontexts als Ausgangspunkt für jedes ISMS.
- Grundlagen der Informationssicherheit und Abgrenzung zu IT-Sicherheit und Cybersecurity
- Überblick über die ISO-27000-Normenfamilie und verwandte Rahmenwerke (BSI-Grundschutz, COBIT)
- Harmonized Structure (HLS) und ihre Bedeutung für integrierte Managementsysteme
- Normativer Teil der ISO 27001: Kapitel 4 bis 10 im Überblick
- Scope-Definition: Geltungsbereich des ISMS festlegen und dokumentieren
- Interne und externe Kontextanalyse: relevante Stakeholder und Anforderungen identifizieren
Das zweite Modul behandelt Risikomanagement als Herzstück des ISMS. Nach ISO 27001 muss jede Organisation einen strukturierten Risikomanagementprozess betreiben. Dieses Modul vermittelt die methodische Vorgehensweise von der Risikoidentifikation über die Bewertung bis zur Behandlung und Dokumentation.
- Risikomanagement nach ISO 27001 und ISO 27005: Methodik und Prozessschritte
- Asset-Inventarisierung und Schutzbedarfsanalyse
- Bedrohungs- und Schwachstellenanalyse
- Risikobewertung nach Eintrittswahrscheinlichkeit und Auswirkung
- Risikobehandlungsoptionen: Vermeidung, Reduktion, Transfer, Akzeptanz
- Risikobehandlungsplan erstellen und dokumentieren
Das dritte Modul vertieft die ISO 27002 Controls und deren praktische Umsetzung. Die 93 Sicherheitsmaßnahmen des Anhangs A sind das operative Herzstück des ISMS. Dieses Modul vermittelt, wie Controls bedarfsgerecht ausgewählt, angepasst und implementiert werden.
- Überblick über die vier Kontrollkategorien der ISO 27002 (organisatorisch, personenbezogen, physisch, technologisch)
- Auswahl und Anpassung von Controls auf Basis der Risikobehandlungsentscheidungen
- Statement of Applicability (SoA): Aufbau, Inhalt und Begründungspflichten
- Beispiel-Controls und Implementierungspläne für typische Unternehmensszenarien
- Steuerungstechnische Auswahl und Priorisierung von Maßnahmen
- Dokumentation der Umsetzung für Audit- und Zertifizierungszwecke
Praxisblock: ISMS-Aufbau, Audit und Zertifizierungsvorbereitung Dieser praxisorientierte Block verbindet alle gelernten Konzepte und führt Teilnehmer durch den vollständigen ISMS-Aufbauprozess — von der ersten Kontextanalyse bis zur Zertifizierungsreife. Begleitend werden Musterdokumente erarbeitet und an realen Unternehmensszenarien erprobt.
- Scope-Statement für das eigene ISMS formulieren
- RACI-Tabelle und Rollenmatrix für die Informationssicherheit entwickeln
- Erste Version der Informationssicherheitsleitlinie (IS-Policy) verfassen
- Awareness- und Kommunikationsplan für interne Schulungen erstellen
- Interne Auditplanung: Checklisten, Auditplan und Beispiel-Fragen entwickeln
- Durchführung eines simulierten internen Audits mit Auswertung und Korrekturmaßnahmen
- Nichtkonformitäten nach ISO 10002/27001 systematisch bearbeiten
- Managementreview: Agenda vorbereiten und ISMS-Selbstbewertung durchführen
- Zertifizierungsvorbereitung: Anforderungen an Dokumentation und Nachweisführung
- Externer Auditprozess: Ablauf Stage 1 und Stage 2 verstehen und vorbereiten
- NIS2-Anforderungen im ISMS abbilden: Mindestanforderungen und Meldepflichten
- Kontinuierliche Verbesserung: KPIs und Kennzahlen für das ISMS definieren
Das abschließende Prüfungsvorbereitungsmodul fasst alle prüfungsrelevanten Inhalte zusammen, analysiert typische Prüfungsformate und schließt mit Probeklausuren, deren Ergebnisse gemeinsam besprochen werden. Der Kurs zeichnet sich durch einen hohen Anteil an praktischen Übungen und Musterdokumenten aus, die Teilnehmer direkt in ihr eigenes Unternehmen übernehmen können. Die Verbindung normativer Anforderungen mit konkreten Umsetzungsbeispielen macht diesen Kurs besonders wertvoll für Personen, die im Berufsalltag unmittelbar mit dem Aufbau oder der Weiterentwicklung eines ISMS befasst sind.
Lernziele:
- Normative Anforderungen der ISO/IEC 27001 vollständig verstehen und auf die eigene Organisation anwenden
- Ein ISMS (Informationssicherheits-Managementsystem) nach dem PDCA-Zyklus planen, aufbauen und betreiben
- Risikomanagement nach ISO 27005 durchführen: Risiken identifizieren, bewerten, behandeln und dokumentieren
- Alle 93 Controls des Anhangs A der ISO 27001 (gemäß ISO 27002) kennen und bedarfsgerecht auswählen
- Ein Statement of Applicability (SoA) erstellen und begründen
- Eine Informationssicherheitsleitlinie sowie Verfahrensanweisungen und Rollenbeschreibungen entwickeln
- Interne Audits planen, durchführen und Nichtkonformitäten systematisch bearbeiten
- Einen Managementreview vorbereiten und durchführen
- Zertifizierungsprozesse nach ISO/IEC 27001 begleiten und koordinieren
- Gesetzliche und regulatorische Anforderungen (insbesondere NIS2) mit ISMS-Maßnahmen abdecken
- Awareness-Kampagnen und Schulungskonzepte für die Informationssicherheit entwickeln
- Kontinuierliche Verbesserungsprozesse im ISMS steuern und nachweisen
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an Fach- und Führungskräfte, die Verantwortung für Informationssicherheit, IT-Compliance oder IT-Risikomanagement tragen. Er ist besonders geeignet für Personen, die ein ISMS nach ISO/IEC 27001 einführen, weiterentwickeln oder auditieren sollen, sowie für Verantwortliche, die die Anforderungen der NIS2-Richtlinie in ihrer Organisation umsetzen müssen.
- Informationssicherheitsbeauftragte (ISB) in Unternehmen und Behörden
- Chief Information Security Officer (CISO) und IT-Sicherheitsverantwortliche
- IT-Leitung und IT-Projektverantwortliche mit ISMS-Auftrag
- Compliance-Manager und Datenschutzbeauftragte mit Bezug zur IT-Sicherheit
- Interne Auditoren, die ISMS-Audits planen oder durchführen
Ein grundlegendes Interesse an Managementsystemen und Informationssicherheit ist die wichtigste Voraussetzung. Praktische Erfahrungen im IT-Umfeld — etwa in der Systemadministration, im IT-Projektmanagement oder in der Compliance — erleichtern den Einstieg, sind aber keine formale Bedingung. Vorkenntnisse in ISO-Managementsystemen (z. B. ISO 9001 oder ISO 14001) sind von Vorteil, da die Harmonized Structure eine gemeinsame Grundlage bildet. Im Beratungsgespräch vor Kursbeginn wird ein individuell zugeschnittener Lernplan erstellt.
Ablauf & Abschluss
Der Kurs wird hauptsächlich im Combined-Learning-Format durchgeführt, das Präsenzphasen mit Online-Unterrichtseinheiten verbindet. Erfahrene Trainer mit ISO-27001-Auditorenhintergrund vermitteln die Inhalte anhand von Fallstudien, Musterdokumenten und simulierten Auditübungen. Gruppenarbeiten fördern den Erfahrungsaustausch unter den Teilnehmern. Alle erarbeiteten Dokumente — Scope-Statement, RACI, SoA, Auditchecklisten — sind sofort praxisreif und können direkt im eigenen Unternehmen weiterverwendet werden.
Die Weiterbildung dauert typischerweise zwischen mehr als einer Woche und bis zu einem Monat, je nach gewähltem Intensitätsmodell und Vorkenntnissen. Vollzeit- und Teilzeitoptionen stehen zur Verfügung. Im Beratungsgespräch werden Kursdauer und Startzeitpunkt individuell abgestimmt.
Nach erfolgreichem Kursabschluss erhalten Teilnehmer ein international anerkanntes Herstellerzertifikat sowie ein Lehrgangszertifikat des Anbieters. Das Zertifikat weist die erworbenen Kompetenzen als Information Security Officer formal nach und ist auf dem Arbeitsmarkt anerkannt. Kursinhalt ist außerdem die Vorbereitung auf eine externe Zertifizierung des ISMS nach ISO/IEC 27001, wobei das persönliche Zertifikat und die Organisationszertifizierung zwei unterschiedliche Verfahren sind.
Nutzen & Perspektiven
Die Informationssicherheit hat sich in den vergangenen Jahren zu einem der zentralen strategischen Themen für Unternehmen und öffentliche Einrichtungen entwickelt. Cyberangriffe nehmen in Zahl und Schwere zu, regulatorische Anforderungen — allen voran die NIS2-Richtlinie — verschärfen den Druck auf Organisationen, ein nachweisbares und funktionsfähiges ISMS zu betreiben. Fachkräfte, die ein solches System nach ISO 27001 aufbauen und managen können, sind auf dem Arbeitsmarkt stark gefragt und können in Unternehmen aller Branchen und Größen tätig werden. Der Kurs verbindet systematisches Normenwissen mit unmittelbar einsetzbaren Werkzeugen: Musterdokumente, Checklisten und simulierte Audits stellen sicher, dass Absolventen nach Kursabschluss nicht nur theoretische Kenntnisse besitzen, sondern das ISMS in ihrer eigenen Organisation von Tag eins an voranbringen können. Die Verknüpfung von ISO 27001 mit NIS2 macht die Weiterbildung besonders zukunftssicher, da regulatorische Anforderungen weiter steigen werden. Bei AZAV-zertifizierten Bildungsträgern ist der Kurs in der Regel über einen Bildungsgutschein förderbar. Weitere Fördermöglichkeiten bestehen über das Qualifizierungschancengesetz für Beschäftigte, Leistungen der Deutschen Rentenversicherung zur beruflichen Rehabilitation sowie die Berufsförderung der Bundeswehr. Eine frühzeitige Kontaktaufnahme mit der zuständigen Förderstelle — Agentur für Arbeit, Jobcenter oder Rentenversicherungsträger — ist empfehlenswert.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen ISO 27001 und ISO 27002?
ISO 27001 ist die normative Grundlage für den Aufbau und die Zertifizierung eines Informationssicherheits-Managementsystems (ISMS). ISO 27002 liefert dazu ergänzende Umsetzungshinweise für die 93 Sicherheitsmaßnahmen (Controls) des Anhangs A der ISO 27001. Im Kurs werden beide Normen ausführlich behandelt und ihre Zusammenwirkung praktisch geübt.
Bereitet der Kurs auf eine externe ISO-27001-Zertifizierung vor?
Ja, die Zertifizierungsvorbereitung nach ISO/IEC 27001 sowie der externe Auditprozess sind explizite Kursinhalte. Teilnehmer lernen, wie eine Zertifizierungsaudit abläuft, welche Dokumentationen erforderlich sind und wie Nichtkonformitäten behandelt werden. Das Herstellerzertifikat nach Kursabschluss bestätigt die persönlichen Kompetenzen als Security Officer.
Welche Bedeutung hat NIS2 für den Kursinhalt?
Die NIS2-Richtlinie verschärft die gesetzlichen Anforderungen an die Cybersicherheit für zahlreiche Unternehmen und öffentliche Einrichtungen in der EU. Der Kurs behandelt, wie ein ISMS nach ISO 27001 genutzt werden kann, um die NIS2-Anforderungen systematisch zu erfüllen, und zeigt konkrete Umsetzungsoptionen auf.
Kann die Weiterbildung gefördert werden?
Bei AZAV-zertifizierten Anbietern ist eine Förderung über Bildungsgutschein möglich. Weitere Förderwege sind das Qualifizierungschancengesetz sowie Leistungen der Deutschen Rentenversicherung. Eine individuelle Förderberatung wird empfohlen.
Was ist ein Statement of Applicability (SoA)?
Das Statement of Applicability ist ein zentrales Dokument im ISMS nach ISO 27001. Es listet alle Controls des Anhangs A auf und begründet, welche davon im eigenen ISMS angewendet werden und warum bestimmte Controls ggf. ausgeschlossen wurden. Die Erstellung des SoA ist ein wesentlicher Bestandteil der praktischen Kursübungen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Informationssicherheitsbeauftragter/Informationssicherheitsbeauftragte241 Stellen
- Information Security Officer200 Stellen
- Chief-Information-Security-Officer103 Stellen
- CISO55 Stellen
- IT-Organisator/IT-Organisatorin30 Stellen