§ 9 BAProITFPrV
Prüfungsbereich „Informationssicherheit gewährleisten“
Im Prüfungsbereich „Informationssicherheit gewährleisten“ hat die zu prüfende Person nachzuweisen, dass sie in der Lage ist, Bedrohungs- und Risikoszenarien zu analysieren, Sicherheitsmaßnahmen zu planen, einzuleiten und zu dokumentieren sowie den sicheren Betrieb von IT-Systemen zu gewährleisten. In diesem Rahmen wird aus den Inhalten der folgenden Qualifikationsschwerpunkte geprüft:
- 1.
- Qualifikationsschwerpunkt „Bedrohungs- und Risikoszenarien analysieren“:
- a)
- Durchführen von Risiko- und Schwachstellenanalysen in Bezug auf die Informationssicherheit anhand von Vorgaben,
- b)
- Mitwirken bei der Erstellung von Datenschutz-Folgenabschätzungen im Hinblick auf mögliche Datenschutzverletzungen,
- c)
- Analysieren von IT-Infrastrukturen, von Netzwerkkommunikation, von Protokolldaten, von Softwareverhalten und von System- und Softwarekonfigurationen sowie Ableiten von risikominimierenden Schutz- und Gegenmaßnahmen sowie
- d)
- Identifizieren und Analysieren von Schadsoftware und deren Verbreitungswegen sowie Dokumentieren der Analyseergebnisse,
- 2.
- Qualifikationsschwerpunkt „Sicherheitsmaßnahmen planen“:
- a)
- Mitwirken bei der Entwicklung eines Konzepts zur Informationssicherheit,
- b)
- Definieren von Notfallsystemen in Absprache mit den jeweiligen Fachabteilungen und Ansprechpartnern,
- c)
- Erstellen von Rechte- und Rollenkonzepten zur Einhaltung von Datenschutzbestimmungen und zur Gewährleistung der Datensicherheit,
- d)
- fachliches Unterstützen bei der Erstellung datenschutzrelevanter Dokumente,
- e)
- Mitwirken bei der Erstellung und Einführung eines Informationssicherheitsmanagementsystems,
- f)
- fachliches Beraten bei der Entwicklung von Testkonzepten, insbesondere zur Koordination und Durchführung von Schwachstellen- und Penetrationstests,
- g)
- Bereitstellen von aktuellen IT-Sicherheitsinformationen und Aufbereiten sicherheitsrelevanter Erkenntnisse,
- h)
- Informieren von Anwenderinnen und Anwendern über Regularien der Informationssicherheit, insbesondere zur Datenklassifizierung sowie zum Umgang mit IT-Ausstattung und mit Daten sowie
- i)
- Sicherstellen der Einhaltung der Regularien zur Informationssicherheit,
- 3.
- Qualifikationsschwerpunkt „Sicheren Betrieb gewährleisten“:
- a)
- Umsetzen der Vorgaben eines Sicherungs- und Wiederherstellungskonzepts sowie Testen der Funktionalität des Sicherungs- und Wiederherstellungskonzepts,
- b)
- Konfigurieren von Soft- und Hardware der Sicherheitsinfrastruktur zur Gewährleistung der Informationssicherheit anhand definierter Sicherheitsrichtlinien,
- c)
- Durchführen von Notfallübungen und Dokumentieren der Ergebnisse,
- d)
- Erstellen und Umsetzen von Schulungskonzepten zur Sicherstellung des Datenschutzes und der Datensicherheit, insbesondere im Hinblick auf die Sensibilisierung der Mitarbeitenden,
- e)
- Überprüfen der Einhaltung von Sicherheitsvorgaben, auch im Bereich von Kritischen Infrastrukturen,
- f)
- fortlaufendes Bewerten von Sicherheitsrisiken und Ableiten von Sicherheitsmaßnahmen aus den ermittelten Sicherheitsrisiken,
- g)
- fortlaufendes Berichten und Dokumentieren des Status von Maßnahmen zur Sicherstellung der Informationssicherheit,
- h)
- Mitwirken bei der Planung und Durchführung von Sicherheitsaudits sowie bei der Bewertung und Behandlung von Schwachstellen und Sicherheitsvorfällen,
- i)
- Mitwirken bei der Überprüfung und der Analyse von Anwendungssoftware im Hinblick auf die Gefährdung der Informationssicherheit,
- j)
- Gewährleisten der Sicherheit vernetzter Systeme und Geräte durch die Umsetzung von Ende-zu-Ende-Verschlüsselungen sowie durch die Integration sicherer Geräteauthentifizierungen und digitaler Identitäten,
- k)
- Mitwirken beim Einsatz von Lösungen zur Sicherheitsüberwachung unter Berücksichtigung rechtlicher Aspekte,
- l)
- Organisieren und Durchführen von Penetrationstests im laufenden Betrieb sowie
- m)
- Unterstützen bei der Implementierung eines datenbasierten Security-Information-and-Event-Managements sowie Analysieren, Auswerten und Interpretieren von aktuellen und vergangenen sicherheitsrelevanten Ereignissen,
- 4.
- Qualifikationsschwerpunkt „Sicherheitsmaßnahmen einleiten, dokumentieren und evaluieren“:
- a)
- Erkennen und Dokumentieren von IT-Sicherheitsvorfällen sowie Informieren der verantwortlichen Stellen über IT-Sicherheitsvorfälle,
- b)
- Auswählen, Durchführen und Evaluieren von Tests der Sicherheitsinfrastruktur, Dokumentieren der Evaluationsergebnisse, einschließlich Hinweisen auf Schwachstellen in der Sicherheitsinfrastruktur sowie Einleiten von Maßnahmen zur Verbesserung der Sicherheitsinfrastruktur,
- c)
- Gewährleisten der Qualitätssicherung, insbesondere durch Dokumentieren der IT-Sicherheitsmaßnahmen,
- d)
- Archivieren datenschutzrelevanter und IT-sicherheitsrelevanter Unterlagen nach betrieblichen und rechtlichen Vorgaben, insbesondere von Verträgen, Richtlinien und Dokumentationen,
- e)
- Einleiten von Notfallmaßnahmen bei akuten Bedrohungssituationen sowie
- f)
- Einleiten von Prozeduren zum Wiederanlauf von Systemen gemäß Notfallhandbuch sowie Testen und Sicherstellen der Funktionalität der wiederangelaufenen Systeme,
- 5.
- Qualifikationsschwerpunkt „Organisatorische und rechtliche Vorgaben“:
- a)
- Ermitteln von Anforderungen an Datensicherheitskonzepte,
- b)
- Mitwirken bei der Entwicklung von Datensicherheitskonzepten,
- c)
- Berücksichtigen und Umsetzen von Datensicherheitskonzepten,
- d)
- Identifizieren und Bewerten von Risiken sowie Einleiten von Maßnahmen zur Minimierung von Risiken sowie
- e)
- Sicherstellen der Einhaltung organisatorischer und rechtlicher Vorgaben sowie
- 6.
- Qualifikationsschwerpunkt „Projektunterstützung und -koordination“:
- a)
- Unterstützen der Projektleitung durch Übernehmen und Umsetzen von Teilprojekten,
- b)
- organisatorisches Begleiten von Projekten, insbesondere Erstellen von Projektplänen und Planen des Mitarbeitendeneinsatzes,
- c)
- Mitwirken bei der Aufwandsanalyse und -kalkulation von Projekten,
- d)
- projektbegleitendes Beraten von Kunden sowie Unterstützen und Beraten von Kunden in der Roll-out-Phase,
- e)
- Mitwirken beim Projektcontrolling, bei der Nachverfolgung von Aufgaben und beim Aufbereiten von Statusberichten sowie
- f)
- Planen und Umsetzen von projektbezogenen Schulungs- und Trainingsmaßnahmen.
Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.