Die Haupttätigkeit eines Datenschutz-Auditors besteht darin, die systematische Beurteilung des bestehenden Datenschutzniveaus eines Unternehmens vorzunehmen sowie insbesondere die Angemessenheit der umgesetzten technischen und organisatorischen Maßnahmen zu bewerten.

Weitere Aufgaben, die in die Zuständigkeit eines Datenschutz-Auditors fallen, sind die Entwicklung und Steuerung des Auditprogramms sowie die Erstellung der erforderlichen Audit-Checklisten für die Durchführung von Stichprobenprüfungen und Interviews.

Der Datenschutz-Auditor muss die Audit-Methoden für die Durchführung einer Dokumentenprüfung und für die Begehung von Standorten anwenden können, um die an ein Unternehmen gestellten standort- und branchenspezifischen Anforderungen des Datenschutzes einzubeziehen und die Konformität der Maßnahmenumsetzung zu bewerten.

Des Weiteren ist die Festlegung von Kriterien für die Bewertung der Feststellungen des Datenschutz-Audits sowie für die Erstellung eines Datenschutz-Auditberichts erforderlich, um eine kontinuierliche Aufrechterhaltung des Betriebes des eigenen Datenschutzmanagementsystems (DSMS) sowie die fortlaufende Verbesserung sicherstellen zu können.

Quelle: DGI AG Berlin

Relevante Standards, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27000

ISO 31000, ISO 17021 und ISO 19011

• Informationssicherheit und ihre Bedeutung
• Einschätzen von Sicherheitslücken und -gefährdungen
• Managen von Informationssicherheitsrisiken
• Auswahl von Sicherheitskontrollen

Trainieren von Verfahren zur Erkennung und Bewältigung von Hacker-Angriffen.

• Absicherung von Netzübergängen
• Sichere Interaktion mit dem Internet
• Durchführung von Penetrationstests
• Logdatenerfassung und Auswertung
• Sicherer Umgang mit Cloud-Anwendungen
• Sicherstellung eines aktuellen Informationsstands
• Bewältigung von Sicherheitsvorfällen/Notfällen
• Gewährleistung der Verfügbarkeit notwendiger Ressourcen
• Sensibilisierung und Schulung von Mitarbeitern
• Abwehr von Schadprogrammen

• Erkennung, Reaktion auf und Prävention von Cyberangriffen

• Ganzheitliche und prozessorientierte Befähigung zur schnellen und effektiven Reaktion auf IT-Sicherheitsvorfälle

Der Digitale Ersthelfer hat die Aufgabe, bei IT-Sicherheitsvorfällen eine qualifizierte Einschätzung des Vorfalls zu treffen und dem Betroffenen Erste-Hilfe bei kleineren IT-Störungen und IT-Vorfällen zu leisten sowie erste Handlungsempfehlungen auszusprechen.

- Vorfallbehandlung

- Datenaufbereitung für Vorfall-Experten

für die Bereiche:

• Informationssicherheit
• Technische und organisatorische Maßnahmen
• Rechenzentrums IT-Lösungen

• Aufbau, Begrifflichkeiten und Umsetzung eines (IT-) Risikomanagementsystems (RMS)
• Unterstützende Managementsysteme wie ISMS und BCMS
• Die Risikostrategie
• IT Compliance und IT Governance
• IT-Sicherheitsgesetz
• Betreiber kritischer Infrastrukturen (KRITIS)
• Standards und Normen, wie
  • ISO 31000
  • ONR 4900x-Normenfamilie
  • ISO 270xx-Normenfamilie
  • BSI-Standard „200-3 Risikoanalyse“
• Der Risikomanagementprozess
• Festlegung des Kontexts
• Risiko-Assessment
• Risiko-Analyse
• Risikoidentifikation
• Risikoabschätzung
• Risikobewertung und -priorisierung
• Risikoklassen
• Risikobewältigung / -behandlung (Priorisierung, Kategorisierung und Methoden)
• Restrisiken
• Proaktives und reaktives Risikomanagement
• Risikoakzeptanz
• Risikoorientierte Betrachtung von Geschäftsprozessen
• Kommunikation und Reporting
• Aufrechterhaltung und Verbesserung des RMS
• Schadenshöhe und Eintrittswahrscheinlichkeit
• Praxisbeispiele zur Umsetzung von Maßnahmen in der Informationssicherheit
• Business Continuity Management (BCM)
• Business Impact Analyse (BIA)
• Kontinuitätsstrategien
• IT-Strukturanalyse

• IT-Management und BCM
• Einführung zum BCM
• Die Strategie zum BCM
• Rechtliche Vorgaben zum BCM
• Das IT-Sicherheitsgesetz und KRITIS
• Kennzahlen des BCM
• Die ISO 22301
• Die Normenfamilie 223xx
• Die ISO 27002 und BCMS
• Der BSI-Standard „Notfallmanagement“
• Durchführung einer Business Impact Analyse (BIA)
• RPO, RTO und MTPD
• Wiederanlauf- und Wiederherstellung
• Der Notfallmanagementprozess
• Entwicklung von Kontinuitätsstrategien
• Maßnahmen zur Kontinuität
• Schadensanalyse und Schadensklassen
• Implementierung eines BCMS
• Umsetzung der Notfallvorsorge
• Das Notfallvorsorgekonzept
• Maßnahmen zur Notfallvorsorge
• Umsetzung der Notfallbewältigung
• Das Notfallkonzept
• Maßnahmen zur Notfallbewältigung
• Tests und Übungen im BCM
• Das Notfallhandbuch
• Verantwortlichkeiten im BCM
• Kontinuierliche Verbesserung des BCMS
• Dokumentationen des BCM
• Desaster Recovery
• Awareness / Sensibilisierung der Beschäftigten
• Risikomanagement und BCM
• Risikofrüherkennung
• Risikoanalyse
• Risikobehandlung

BSI IT-Grundschutz

• Inhalt, Ziel, Begrifflichkeiten, Vorgehensweise, Umsetzung
• BSI IT-Grundschutz-Kompendium
  • Bausteinstruktur und -inhalte (APP, CON, DER, IND, INF, ISMS, NET, OPS, ORP, SYS)
  • IT-Sicherheitskonzept und IT-Sicherheitsrichtlinien
  • Empfehlungen zu Maßnahmen in den Bereichen Infrastruktur, Organisation, Personal und Technik
• Technische Richtlinien des BSI
• Vergleich BSI IT-Grundschutz und ISO 27001 / 27002
• Rechtsvorschriften, Standards und Normen in der Informationssicherheit
• IT Compliance / IT Governance
• ITIL / COBIT
• Lebenszyklusmodell und PDCA
• IT-Sicherheitsgesetz
  • Betreiber kritischer Infrastrukturen (KRITIS)
  • BSI-Kritisverordnung (BSI-KritisV)
• Tools und Hilfsmittel zur Umsetzung eines ISMS

BSI-Standards

200-1 „Managementsysteme für Informationssicherheit“

• Einführung in Informationssicherheit in Abgrenzung zu Datenschutz und IT-Sicherheit
• ISMS-Definition und Prozessbeschreibung
• IT-Sicherheitsorganisation
• Umsetzung eines ISMS als integriertes Managementsystem
• BSI IT-Grundschutz-Zertifizierung

200-2 „IT-Grundschutz-Methodik“

• Basis-, Standard- und Kernabsicherung
• Geltungsbereich / Informationsverbund
• IT-Sicherheitsprozess, ?strategie und -konzeption
• Strukturanalyse
  • Erhebung von Assets, Anwendungen, IT-Komponenten, Räumlichkeiten und Kommunikationsverbindungen
• Definition von Schutzbedarfskategorien
• Schutzbedarfsfeststellung
  • Maximumprinzip, Verteilungs- und Kumulationseffekt
• Modellierung
• IT-Grundschutz-Check
• Konsolidierung und Realisierung
• Aufrechterhaltung und Verbesserung

200-3 „Risikoanalyse auf Basis von IT-Grundschutz“

• Elementare Gefährdungen
• Gefährdungsübersicht und Ermittlung zusätzlicher Gefährdungen
• Risikomanagement
  • ISO 31000 und ONR 4900x
• Risk Assessment
  • Risikoidentifikation
  • Risikoanalyse
  • Risikobewertung
• Risikobewältigung
• Risikoakzeptanz
• Restrisikoerklärung
• Konsolidierung des IT?Sicherheitskonzepts
• Rückführung in den IT?Sicherheitsprozess

100-4 „Notfallmanagement”

• Notfallmanagement / Business Continuity Management (BCM) 
  
  • ISO 22301
• Business Impact Analyse (BIA)
• IT-Notfallleitlinie
• IT-Notfallvorsorge
• IT-Notfallbewältigung
• IT-Notfallhandbuch
• Desaster Recovery
• Kontinuitätsstrategien
• Krisenmanagement
• Krisenkommunikation

• Datenschutzrechtliche Anforderungen und Informationssicherheit
• Grundsätze der Informationssicherheit
• ISMS
  • Planung, Initiierung, Betrieb, Kontrolle und Aufrechterhaltung
  • Ressourcen und Fähigkeiten
  • Verantwortlichkeiten und Rollen
• IT-Sicherheitsgesetz
  • Betreiber kritischer Infrastrukturen (KRITIS)
  • BSI-KritisV
• ISO 27001 und 27002
• IT Compliance und IT Governance
• Informationssicherheitsleitlinie
• Sicherheitsstrategie / -ziele
• Überblick ITIL und COBIT
• Aufgaben des ITSiBe (Planung, Kontrolle und Steuerung)
• IT Controlling / IT Scorecard
• Sicherungsoptimierung und Sicherheitsrisiken
• Sicherheitsmanagement in der Praxis
• Übersicht BSI IT-Grundschutz und IT-Grundschutz-Kompendium
• Entwicklung eines Maßnahmenplans für organisatorische, technische sowie infrastrukturelle und personelle Maßnahmen
• Schutzbedarfsdefinition und Schutzbedarfsfeststellung
• Aufbau und Bedeutung des IT?Sicherheitsmanagements
• Umsetzung des Informationssicherheitsprozesses
• Risikomanagement gemäß ISO 31000
  • Risk Assessment
  • Risikobehandlung
• IT-Sicherheitszertifizierungen und Auditierung
• Business Continuity Management (BCM) gemäß ISO 22301
• Business Impact Analyse (BIA)
• Erstellung eines IT-Notfallkonzeptes
• Erstellung eines IT-Sicherheitskonzeptes
• Netzwerksicherheit - Bedrohungen und Maßnahmen

BDSG und DSGVO