Informationssicherheits-Fortbildungsprüfungsverordnung

Verordnung über die Prüfung zum anerkannten Fortbildungsabschluss mit der Bezeichnung Geprüfter Berufsspezialist für Informationssicherheit oder Geprüfte Berufsspezialistin für Informationssicherheit

<p>(1) Mit der erfolgreich abgelegten Prüfung nach dieser Verordnung wird die auf einen beruflichen Aufstieg abzielende Ergänzung der beruflichen Handlungsfähigkeit auf der ersten beruflichen Fortbildungsstufe der höherqualifizierenden Berufsbildung nachgewiesen.</p><p>(2) Die Prüfung wird von der nach dem Berufsbildungsgesetz zuständigen Stelle durchgeführt.</p><p>(3) Durch die Prüfung ist festzustellen, ob die zu prüfende Person nach § 53b Absatz 2 Satz 1 des Berufsbildungsgesetzes die erforderlichen Fertigkeiten, Kenntnisse und Fähigkeiten, die sie in der Regel im Rahmen der Berufsausbildung erworben hat, vertieft hat und die in der Regel im Rahmen der Berufsausbildung erworbene berufliche Handlungsfähigkeit um neue Fertigkeiten, Kenntnisse und Fähigkeiten ergänzt hat. Insbesondere ist festzustellen, ob die zu prüfende Person in der Lage ist, eigenständig und verantwortlich Maßnahmen zur Gewährleistung der Informationssicherheit unter Einhaltung des Datenschutzes und Gewährleistung der Datensicherheit zu entwickeln, Gefährdungen zu identifizieren, Risiken zu analysieren und Maßnahmen zu deren Vermeidung zu implementieren sowie dabei die Dimensionen des nachhaltigen Wirtschaftens und auch deren ethische Aspekte zu berücksichtigen. Im Einzelnen umfasst dies insbesondere folgende Tätigkeiten: <dl><dt style="float: left;">1.</dt><dd><div>Analysieren von Bedrohungs- und Risikoszenarien,</div></dd><dt style="float: left;">2.</dt><dd><div>Planen von Sicherheitsmaßnahmen,</div></dd><dt style="float: left;">3.</dt><dd><div>Gewährleisten des sicheren Betriebs von IT-Systemen,</div></dd><dt style="float: left;">4.</dt><dd><div>Dokumentieren und Evaluieren von Sicherheitsmaßnahmen sowie</div></dd><dt style="float: left;">5.</dt><dd><div>Unterstützen der Projektleitung bei der Vorbereitung, der Planung, der Durchführung und dem Abschluss von Projekten.</div></dd></dl></p><p>(4) Für den Erwerb der in Absatz 3 bezeichneten Fertigkeiten, Kenntnisse und Fähigkeiten bedarf es in der Regel eines Lernumfangs von insgesamt mindestens 400 Stunden. Der Lerninhalt bestimmt sich nach den Anforderungen des in <a href="/bund/insifprv/3" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Inhalt der Prüfung" data-lli="1" target="_blank">§ 3</a> in Verbindung mit <a href="/bund/insifprv/4" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Prüfungsbereich „Informationssicherheit gewährleisten“" data-lli="0" target="_blank">§ 4</a> genannten Prüfungsbereichs.</p><p>(5) Die erfolgreich abgelegte Prüfung führt zum anerkannten Fortbildungsabschluss mit der Bezeichnung „Geprüfter Berufsspezialist für Informationssicherheit“ oder „Geprüfte Berufsspezialistin für Informationssicherheit“.</p>

Ziel der Prüfung und Bezeichnung des Fortbildungsabschlusses

<p>Im Prüfungsbereich „Informationssicherheit gewährleisten“ hat die zu prüfende Person nachzuweisen, dass sie in der Lage ist, Bedrohungs- und Risikoszenarien zu analysieren, Sicherheitsmaßnahmen zu planen, einzuleiten und zu dokumentieren sowie den sicheren Betrieb von IT-Systemen zu gewährleisten. In diesem Rahmen wird aus den Inhalten der folgenden Qualifikationsschwerpunkte geprüft: <dl><dt style="float: left;">1.</dt><dd><div>Qualifikationsschwerpunkt „Bedrohungs- und Risikoszenarien analysieren“: <dl><dt style="float: left;">a)</dt><dd><div>Durchführen von Risiko- und Schwachstellenanalysen in Bezug auf die Informationssicherheit anhand von Vorgaben,</div></dd><dt style="float: left;">b)</dt><dd><div>Mitwirken bei der Erstellung von Datenschutz-Folgenabschätzungen im Hinblick auf mögliche Datenschutzverletzungen,</div></dd><dt style="float: left;">c)</dt><dd><div>Analysieren von IT-Infrastrukturen, von Netzwerkkommunikation, von Protokolldaten, von Softwareverhalten und von System- und Softwarekonfigurationen sowie Ableiten von risikominimierenden Schutz- und Gegenmaßnahmen sowie</div></dd><dt style="float: left;">d)</dt><dd><div>Identifizieren und Analysieren von Schadsoftware und deren Verbreitungswegen sowie Dokumentieren der Analyseergebnisse,</div></dd></dl></div></dd><dt style="float: left;">2.</dt><dd><div>Qualifikationsschwerpunkt „Sicherheitsmaßnahmen planen“: <dl><dt style="float: left;">a)</dt><dd><div>Mitwirken bei der Entwicklung eines Konzepts zur Informationssicherheit,</div></dd><dt style="float: left;">b)</dt><dd><div>Definieren von Notfallsystemen in Absprache mit den jeweiligen Fachabteilungen und Ansprechpartnern,</div></dd><dt style="float: left;">c)</dt><dd><div>Erstellen von Rechte- und Rollenkonzepten zur Einhaltung von Datenschutzbestimmungen und zur Gewährleistung der Datensicherheit,</div></dd><dt style="float: left;">d)</dt><dd><div>fachliches Unterstützen bei der Erstellung datenschutzrelevanter Dokumente,</div></dd><dt style="float: left;">e)</dt><dd><div>Mitwirken bei der Erstellung und Einführung eines Informationssicherheitsmanagementsystems,</div></dd><dt style="float: left;">f)</dt><dd><div>fachliches Beraten bei der Entwicklung von Testkonzepten, insbesondere zur Koordination und Durchführung von Schwachstellen- und Penetrationstests,</div></dd><dt style="float: left;">g)</dt><dd><div>Bereitstellen von aktuellen IT-Sicherheitsinformationen und Aufbereiten sicherheitsrelevanter Erkenntnisse,</div></dd><dt style="float: left;">h)</dt><dd><div>Informieren von Anwenderinnen und Anwendern über Regularien der Informationssicherheit, insbesondere zur Datenklassifizierung sowie zum Umgang mit IT-Ausstattung und mit Daten sowie</div></dd><dt style="float: left;">i)</dt><dd><div>Sicherstellen der Einhaltung der Regularien zur Informationssicherheit,</div></dd></dl></div></dd><dt style="float: left;">3.</dt><dd><div>Qualifikationsschwerpunkt „Sicheren Betrieb gewährleisten“: <dl><dt style="float: left;">a)</dt><dd><div>Umsetzen der Vorgaben eines Sicherungs- und Wiederherstellungskonzepts sowie Testen der Funktionalität des Sicherungs- und Wiederherstellungskonzepts,</div></dd><dt style="float: left;">b)</dt><dd><div>Konfigurieren von Soft- und Hardware der Sicherheitsinfrastruktur zur Gewährleistung der Informationssicherheit anhand definierter Sicherheitsrichtlinien,</div></dd><dt style="float: left;">c)</dt><dd><div>Durchführen von Notfallübungen und Dokumentieren der Ergebnisse,</div></dd><dt style="float: left;">d)</dt><dd><div>Erstellen und Umsetzen von Schulungskonzepten zur Sicherstellung des Datenschutzes und der Datensicherheit, insbesondere im Hinblick auf die Sensibilisierung der Mitarbeitenden,</div></dd><dt style="float: left;">e)</dt><dd><div>Überprüfen der Einhaltung von Sicherheitsvorgaben, auch im Bereich von Kritischen Infrastrukturen,</div></dd><dt style="float: left;">f)</dt><dd><div>fortlaufendes Bewerten von Sicherheitsrisiken und Ableiten von Sicherheitsmaßnahmen aus den ermittelten Sicherheitsrisiken,</div></dd><dt style="float: left;">g)</dt><dd><div>fortlaufendes Berichten und Dokumentieren des Status von Maßnahmen zur Sicherstellung der Informationssicherheit,</div></dd><dt style="float: left;">h)</dt><dd><div>Mitwirken bei der Planung und Durchführung von Sicherheitsaudits sowie bei der Bewertung und Behandlung von Schwachstellen und Sicherheitsvorfällen,</div></dd><dt style="float: left;">i)</dt><dd><div>Mitwirken bei der Überprüfung und der Analyse von Anwendungssoftware im Hinblick auf die Gefährdung der Informationssicherheit,</div></dd><dt style="float: left;">j)</dt><dd><div>Gewährleisten der Sicherheit vernetzter Systeme und Geräte durch die Umsetzung von Ende-zu-Ende-Verschlüsselungen sowie durch die Integration sicherer Geräteauthentifizierungen und digitaler Identitäten,</div></dd><dt style="float: left;">k)</dt><dd><div>Mitwirken beim Einsatz von Lösungen zur Sicherheitsüberwachung unter Berücksichtigung rechtlicher Aspekte,</div></dd><dt style="float: left;">l)</dt><dd><div>Organisieren und Durchführen von Penetrationstests im laufenden Betrieb sowie</div></dd><dt style="float: left;">m)</dt><dd><div>Unterstützen bei der Implementierung eines datenbasierten Security-Information-and-Event-Managements sowie Analysieren, Auswerten und Interpretieren von aktuellen und vergangenen sicherheitsrelevanten Ereignissen,</div></dd></dl></div></dd><dt style="float: left;">4.</dt><dd><div>Qualifikationsschwerpunkt „Sicherheitsmaßnahmen einleiten, dokumentieren und evaluieren“: <dl><dt style="float: left;">a)</dt><dd><div>Erkennen und Dokumentieren von IT-Sicherheitsvorfällen sowie Informieren der verantwortlichen Stellen über IT-Sicherheitsvorfälle,</div></dd><dt style="float: left;">b)</dt><dd><div>Auswählen, Durchführen und Evaluieren von Tests der Sicherheitsinfrastruktur, Dokumentieren der Evaluationsergebnisse, einschließlich Hinweisen auf Schwachstellen in der Sicherheitsinfrastruktur sowie Einleiten von Maßnahmen zur Verbesserung der Sicherheitsinfrastruktur,</div></dd><dt style="float: left;">c)</dt><dd><div>Gewährleisten der Qualitätssicherung, insbesondere durch Dokumentieren der IT-Sicherheitsmaßnahmen,</div></dd><dt style="float: left;">d)</dt><dd><div>Archivieren datenschutzrelevanter und IT-sicherheitsrelevanter Unterlagen nach betrieblichen und rechtlichen Vorgaben, insbesondere von Verträgen, Richtlinien und Dokumentationen,</div></dd><dt style="float: left;">e)</dt><dd><div>Einleiten von Notfallmaßnahmen bei akuten Bedrohungssituationen sowie</div></dd><dt style="float: left;">f)</dt><dd><div>Einleiten von Prozeduren zum Wiederanlauf von Systemen gemäß Notfallhandbuch sowie Testen und Sicherstellen der Funktionalität der wiederangelaufenen Systeme,</div></dd></dl></div></dd><dt style="float: left;">5.</dt><dd><div>Qualifikationsschwerpunkt „Organisatorische und rechtliche Vorgaben“: <dl><dt style="float: left;">a)</dt><dd><div>Ermitteln von Anforderungen an Datensicherheitskonzepte,</div></dd><dt style="float: left;">b)</dt><dd><div>Mitwirken bei der Entwicklung von Datensicherheitskonzepten,</div></dd><dt style="float: left;">c)</dt><dd><div>Berücksichtigen und Umsetzen von Datensicherheitskonzepten,</div></dd><dt style="float: left;">d)</dt><dd><div>Identifizieren und Bewerten von Risiken sowie Einleiten von Maßnahmen zur Minimierung von Risiken sowie</div></dd><dt style="float: left;">e)</dt><dd><div>Sicherstellen der Einhaltung organisatorischer und rechtlicher Vorgaben sowie</div></dd></dl></div></dd><dt style="float: left;">6.</dt><dd><div>Qualifikationsschwerpunkt „Projektunterstützung und -koordination“: <dl><dt style="float: left;">a)</dt><dd><div>Unterstützen der Projektleitung durch Übernehmen und Umsetzen von Teilprojekten,</div></dd><dt style="float: left;">b)</dt><dd><div>organisatorisches Begleiten von Projekten, insbesondere Erstellen von Projektplänen und Planen des Mitarbeitendeneinsatzes,</div></dd><dt style="float: left;">c)</dt><dd><div>Mitwirken bei der Aufwandsanalyse und -kalkulation von Projekten,</div></dd><dt style="float: left;">d)</dt><dd><div>projektbegleitendes Beraten von Kunden sowie Unterstützen und Beraten von Kunden in der Roll-out-Phase,</div></dd><dt style="float: left;">e)</dt><dd><div>Mitwirken beim Projektcontrolling, bei der Nachverfolgung von Aufgaben und beim Aufbereiten von Statusberichten sowie</div></dd><dt style="float: left;">f)</dt><dd><div>Planen und Umsetzen von projektbezogenen Schulungs- und Trainingsmaßnahmen.</div></dd></dl></div></dd></dl></p>

Prüfungsbereich „Informationssicherheit gewährleisten“

<p>Die Prüfung findet im Prüfungsbereich „Informationssicherheit gewährleisten“ nach <a href="/bund/insifprv/4" data-href="/[lawProviderSlug]/[lawAbbreviation]/[lawNormAbbreviation]" data-tooltip="Prüfungsbereich „Informationssicherheit gewährleisten“" data-lli="0" target="_blank">§ 4</a> statt.</p>

§ 1 InSiFPrV

Ziel der Prüfung und Bezeichnung des Fortbildungsabschlusses