CAS Information Security Management und Resilienz

Unternehmen stehen heute unter Druck, Sicherheit, Compliance und Resilienz ganzheitlich und ohne unnötige Komplexität zu steuern.

Der CAS Information Security Management und Resilienz zeigt Ihnen, wie Sie regulatorische Anforderungen (NIS2, DSG/DSGVO) pragmatisch umsetzen, Cyber- und Lieferkettenrisiken wirksam steuern und BCM nach ISO 22301 praxisnah verankern. In diesem Kurs entwickeln Sie konkrete Managementansätze und stärken Ihre Position für CISO- und Security-Lead-Rollen. Darüber hinaus erwerben Sie die Fähigkeit, ein ISMS zielgerichtet zu gestalten und auf Audit-Bereitschaft auszurichten. Sie vertiefen Ihre Kompetenzen im Risiko- und Compliance-Management – von der strukturierten Zuordnung regulatorischer Anforderungen bis hin zum Einsatz etablierter Frameworks wie dem NIST Cybersecurity Framework. Ergänzend lernen Sie, organisationale Resilienz systematisch aufzubauen, etwa durch fundierte Business-Impact-Analysen, die Entwicklung tragfähiger BCM-Strategien sowie die wirksame Führung in Krisensituationen gemäss ISO 22301.

Mit diesem Know-how qualifizieren Sie sich für Führungspositionen wie CISO oder Head of Security sowie für die Verantwortung in den Bereichen ISMS und BCM. Gleichzeitig eröffnen sich Ihnen Perspektiven in strategischen Funktionen der IT-Governance sowie im Risk- und Compliance-Leadership. Der CAS ist zudem kombinierbar mit weiteren CAS aus dem Bereich Informatik der OST im Rahmen eines MAS Cybersecurity. 

Der CAS gliedert sich in fünf aufeinander aufbauende Fachmodule und eine integrative Abschlussphase:

Modul 1 – ISMS-Grundlagen (ISO 27001)

• Aufbau und Scope eines Informationssicherheits-Managementsystems
• Policy-Architektur
• Rollen und Verantwortlichkeiten
• Statement of Applicability
• Audit-Readiness und Zertifizierungsvorbereitung

Modul 2 – Risikomanagement

• Systematische Risikoidentifikation und -bewertung
• Risiko-Workshops moderieren
• Control-Design und -Ownership
• Mapping auf das NIST Cybersecurity Framework 2.0
• Erstellung eines Risk Treatment Plans

Modul 3 – IT-Governance (COBIT)

• Governance-Strukturen für Informationssicherheit
• Security-Leadership und Board-Reporting
• Aufbau einer Security-Roadmap
• Executive-KPIs und -Dashboards
• Verankerung einer Security Culture in der Organisation

Modul 4 – Compliance (DSG/DSGVO/NIS2)

• Regulatorisches Mapping und Gap-Analyse
• Aufbau einer Compliance-Matrix
• Third-Party Risk Management und Lieferantenbewertung
• Vertragliche Controls und Nachweisführung

Modul 5 – Resilienz und BCM (ISO 22301)

• Business Impact Analysis (BIA)
• BCM- und Disaster-Recovery-Strategien
• Aufbau einer Krisenorganisation
• Tabletop-Krisenübung mit realistischem Szenario
• Wiederanlaufplanung

Capstone – Integrierter ISMS/BCM-Blueprint

• Zusammenführung aller Modulergebnisse zu einem ganzheitlichen Sicherheits- und Resilienzkonzept für die eigene Organisation, inklusive Executive Summary
• Umsetzungsfahrplan und Abschlusspräsentation mit Fachdisputation

Dieser CAS kann als in sich geschlossene Weiterbildung oder als Teil des MAS Cybersecurity absolviert werden. 

Praxis-Workshops
Sie erarbeiten konkrete Artefakte wie ISMS-Scope, Risiko-Workshop-Design, Control-Set, Governance-Roadmap, Compliance-Mapping oder BCM-Elemente.

Transferaufgaben zwischen den Unterrichtstagen
Sie übertragen Inhalte schrittweise auf die eigene oder eine realitätsnahe Organisation und bauen so kontinuierlich Ihre Capstone-Arbeit auf.

Online-Sprechstunden und Debriefings
Zwischen den Präsenztagen gibt es kurze Online-Formate zur Klärung offener Fragen, zur Reflexion der Transferaufgaben und zur Begleitung der Leistungsnachweise.

Peer-Review und Erfahrungsaustausch: 
Sie spiegeln Ihre Lösungsansätze in der Gruppe, vergleichen unterschiedliche Organisationskontexte und erhalten Feedback von Peers und Dozierenden.

Simulationen und Tabletop-Übungen
Resilienz- und Krisenmanagement werden anhand realitätsnaher Szenarien trainiert, etwa bei Cybervorfällen, Lieferkettenproblemen oder Ausfällen geschäftskritischer Prozesse.

Capstone-Blueprint
Als verbindendes Element erstellen Sie einen integrierten ISMS-/BCM-Blueprint mit Executive Summary. Dadurch entsteht ein direkt nutzbares Ergebnis für Ihre berufliche Praxis.

Zielgruppe

Dieser Kurs richtet sich an

• Angehende CISO, Information Security Officer und ISMS Owner
• IT- und Digital Leadership sowie Enterprise Architects mit Managementverantwortung
• Verantwortliche für Risk, Compliance, Datenschutz und Internal Audit
• Verantwortliche für Third-Party Risk und Supplier Management
• Verantwortliche für Business Continuity Management (BCM) und Krisenmanagement
• Security Program und Project Manager

Zulassung

Zugelassen sind Personen

• mit einem anerkannten Tertiärabschluss (Universität, Fachhochschule, Höhere Fachschule sowie Technikerschule oder Höhere Fachprüfung);
• mit mehrjähriger qualifizierter Berufserfahrung in einem IT-Betrieb, in der Informationssicherheit oder im Management;
• mit einer Tätigkeit in einem Arbeitsfeld, in dem sie das Gelernte umsetzen können (Prinzip Transferorientierung);
• mit einem Grundverständnis für organisatorische Prozesse (z.B. Risikomanagement, Compliance). 

Bewerberinnen und Bewerber, die über vergleichbare Abschlüsse und entsprechende Berufserfahrung verfügen, können auf Basis einer individuellen Prüfung des Dossiers aufgenommen werden. 

Nach Abschluss dieses Kurses

• sind Sie in der Lage, ein Information Security Management System (ISMS) zu konzipieren und Audit-Readiness sicherzustellen (Scope, Policy-Set, Controls entlang ISO 27001);
• beherrschen Sie praxisnahes Risiko- und Compliance-Management, einschliesslich Mapping von Anforderungen (z. B. NIS2, DSG) und Profiling nach dem NIST Cybersecurity Framework;
• können Sie Resilienz gezielt aufbauen und steuern, inklusive Business Impact Analyse (BIA), Entwicklung von BCM-Strategien und Führung im Krisenstab gemäss ISO 22301;
• können Sie Informationssicherheit, Compliance und Business Continuity zu einem integrierten Managementansatz verbinden und daraus eine umsetzbare Sicherheits- und Resilienz-Roadmap ableiten;
• können Sie Sicherheits- und Resilienzthemen adressatengerecht für Geschäftsleitung, Fachbereiche, Audit, Datenschutz, IT und externe Partner aufbereiten und in Entscheidungs-, Reporting- und Governance-Strukturen verankern;
• können Sie regulatorische und normative Anforderungen in konkrete organisatorische Massnahmen, Verantwortlichkeiten, Nachweise und priorisierte Umsetzungsschritte;
• sind Sie in der Lage, Krisen- und Resilienzszenarien strukturiert vorzubereiten, zu moderieren und auszuwerten, beispielsweise in Form von Tabletop-Übungen, Business-Impact-Analysen und Wiederanlaufplanungen;
• können Sie ein praxisnahes ISMS-/BCM-Zielbild für die eigene Organisation entwickeln und dieses gegenüber Management und Stakeholdern begründen.