Prüf- und Zertifizierungsordnung Chief Information

TÜV NORD Akademie – Personenzertifizierung
Zertifizierungsprogramm: Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Personenzertifizierung
Große Bahnstraße 31
22525 Hamburg
Telefon: 040 8557-2557
Telefax: 040 8557-1901 5000
E-Mail: [email protected]
TÜV®
Inhalt
1.
Geltungsbereich
4
2.
Prüfer
4
3.
Prüfungsgegenstand und Prüfungshilfsmittel
4
4.
Zulassung und Anmeldung zur Prüfung
4
5.
Prüfungstermin und Prüfungsort
5
6.
Rücktritt, Erkrankung, Versäumnis
5
7.
Täuschung, Unregelmäßigkeiten
5
8.
Bewertung der Prüfungsleistungen
6
9.
Wiederholung der Prüfung
6
10.
Prüfungsunterlagen
7
11.
Feststellung der Prüfungsergebnisse
7
12.
Zertifikaterteilung
7
13.
Prüfungsgebühren
8
14.
Revisionsklausel, Inkrafttreten und Gültigkeit
8
15.
Mitgeltende Unterlagen des Zertifizierungsprogramms
8
Übersicht der Anlagen
8
Anlage 1a:
Themen und Prüfungsmodalitäten für die schriftliche Prüfung Chief
Information Security Officer (TÜV®)
9
Anlage 1b:
Themen und Prüfungsmodalitäten für die praktische Prüfung Chief
Information Security Officer (TÜV®): Erstellung einer Fallstudie
10
Anlage 2:
11
Übersicht über die verwendeten Formblätter gem. Liste PersZ-F
Rev. 01
Stand: 09.06.2015 07:44
Version: 4
Status: freigegeben
Dieses Dokument ist urheberrechtlich geschützt. Die Vervielfältigung, die Verbreitung, der Nachdruck und die Gesamtwiedergabe auf fotomechanischem oder ähnlichem Wege bleiben, auch bei auszugsweiser Verwertung, der vorherigen Zustimmung des Herausgebers vorbehalten.
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 3 von 11 Seiten
Prüf- und Zertifizierungsordnung
1.
Geltungsbereich
Diese Prüf- und Zertifizierungsordnung gilt für alle Zertifizierungsverfahren zur Erlangung des Zertifikats Chief Information Security Officer (TÜV®) im Rahmen von anerkannten Lehrgängen, die mit der Erlangung eines Zertifikats abschließen.
2.
Prüfer
Die Prüfungen werden von benannten Prüfern abgenommen. Die Benennung erfolgt
durch die Personenzertifizierung der TÜV NORD Akademie.
3.
Prüfungsgegenstand und Prüfungshilfsmittel
3.1
In der Prüfung wird festgestellt, ob der Kandidat die in den fachbezogenen Lehrgängen für das Qualifikationsgebiet oder in sonstiger Art und Weise erworbenen Kompetenzen auf konkrete Aufgabenstellungen des jeweiligen Fachgebiets anwenden kann.
3.2
Die Prüfungsmodalitäten (Art der Prüfung, Anzahl der Aufgabenblöcke, angesprochene Themenkreise, Anzahl der Aufgaben, Prüfungsdauer usw.) sind in der Anlage zu
dieser Prüfungsordnung für das Qualifizierungsgebiet festgelegt.
3.3
Schriftliche Prüfung
Bei den schriftlichen Prüfungsaufgaben wird zwischen Multiple-Choice-Aufgaben (MCAufgaben) und offenen Aufgaben unterschieden.
Bei MC-Aufgaben muss unter mehreren vorgegebenen Lösungsvorschlägen durch
Ankreuzen jede richtige Lösung ausgewählt werden.
Bei offenen Aufgaben sind die Lösungen in freier, knapper Form selbst zu formulieren
und niederzuschreiben.
3.4
Praktische Prüfung
Die praktische Prüfung erfolgt in Form der Erstellung einer Fallstudie aus dem Bereich
der Informationssicherheitskonzeption. Für den Beginn der Ausarbeitung werden zwei
Termine vorgegeben. Der Kandidat kann sich entscheiden, die Aufgabe für die praktische Prüfung direkt im Anschluss der schriftlichen Prüfung oder vier Wochen nach der
schriftlichen Prüfung zu beginnen. Die Bearbeitungszeit beträgt 18 Werktage.
3.5
Zur Prüfung gem. 3.3 sind Lehrgangsunterlagen, Lehrbücher, die relevanten normativen Dokumente, eigene Aufzeichnungen und bei Bedarf Taschenrechner als Hilfsmittel zugelassen. Weitere elektronische Hilfsmittel sind nicht zulässig.
4.
Zulassung und Anmeldung zur Prüfung
4.1
Zu einer Prüfung wird zugelassen, wer die erfolgreich abgelegte Prüfung Information
Security Officer (TÜV®) sowie die Teilnahme an den fachbezogenen Lehrveranstaltungen des Qualifikationsgebietes Chief Information Security Officer (TÜV®) nachweisen
kann. Für Inhalt und Dauer gelten die Festlegungen des Merkblatts Chief Information
Security Officer (TÜV®).
4.2
Für den Zugang zur Prüfung ist der Nachweis des Kenntnisstands entsprechend des
Merkblatts Chief Information Security Officer (TÜV®) erforderlich.
4.3
Bei Seiteneinstieg in die Prüfung werden ggf. Lehrgänge anderer Bildungsanbieter
nach Prüfung durch die Personenzertifizierung anerkannt.
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 4 von 11 Seiten
Prüf- und Zertifizierungsordnung
5.
Prüfungstermin und Prüfungsort
5.1
Der Prüfungstermin und der Prüfungsort der schriftlichen Prüfung werden vom Veranstalter festgelegt und den Kandidaten rechtzeitig mitgeteilt.
5.2
Bei Prüfungen, die im Rahmen eines Lehrgangs stattfinden, ist der Prüfungstag in der
Regel der letzte Lehrgangstag oder der Tag nach dem letzten Lehrgangstag. Die Prüfungen finden dann am Ort der Lehrgangsdurchführung statt. Die Vergabe der Themen für die Fallstudie erfolgt zusammen mit der schriftlichen Prüfung.
6.
Rücktritt, Erkrankung, Versäumnis
6.1
Tritt ein Kandidat vor Prüfungsbeginn von der Prüfung zurück, gilt die Prüfung als nicht
durchgeführt.
6.2
Tritt ein Kandidat nach Prüfungsbeginn von der Prüfung zurück, gilt die Prüfung als
nicht bestanden. Der Rücktritt wird anerkannt und die Prüfung gilt als nicht durchgeführt, wenn schwerwiegende, vom Kandidaten nicht zu vertretende persönliche Gründe vorliegen, die eine weitere Teilnahme an der Prüfung unzumutbar machen. Der
Kandidat hat die Gründe für seinen Rücktritt unverzüglich nachzuweisen. Die Entscheidung trifft der Prüfer.
6.3
Prüfungsleistungen, die der Kandidat aus von ihm zu vertretenden Gründen versäumt,
werden mit null Punkten bewertet.
7.
Täuschung, Unregelmäßigkeiten
7.1
Täuschungshandlungen werden schriftlich festgehalten.
7.2
Bei Täuschungshandlungen entscheidet der Prüfer, ob der Kandidat die Prüfung fortsetzen darf oder sofort von der weiteren Prüfung auszuschließen ist. Im Falle des
Ausschlusses gilt Abschnitt 6.3 entsprechend.
7.3
Werden Täuschungshandlungen erst nach Abschluss der Prüfung festgestellt, so kann
die Zertifizierungsstelle innerhalb von zwei Jahren die Prüfung für nicht bestanden und
das Zertifikat für ungültig erklären.
7.4
Behindert ein Kandidat durch sein Verhalten die Prüfung so schwerwiegend, dass es
nicht möglich ist, seine Prüfung oder die anderer Kandidaten ordnungsgemäß durchzuführen, so kann er von der weiteren Prüfung ausgeschlossen werden. Die Prüfung
gilt in diesen Fällen als nicht bestanden. Die Entscheidung trifft der Prüfer.
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 5 von 11 Seiten
Prüf- und Zertifizierungsordnung
8.
Bewertung der Prüfungsleistungen
8.1
Die Bewertung der Prüfungsleistungen erfolgt nach einem Punktesystem.
8.2
Schriftliche Prüfungen
Unabhängig vom Aufgabentyp gibt es grundsätzlich für eine nicht oder völlig falsch
beantwortete Aufgabe null Punkte.
Multiple-Choice-Aufgaben
Sind bei einer Aufgabe mehrere Lösungen richtig, so gibt es einen Punkt, wenn alle
richtigen Lösungen angekreuzt wurden. Jede fehlende richtige und jede falsche
Lösung führt zu null Punkten.
Offene Aufgaben
Bei den offenen Aufgaben sind die Lösungen in freier, knapper Form selbst zu formulieren und niederzuschreiben.
Für jede vollständig und richtig gelöste Aufgabe werden vier Punkte vergeben. Eine
nur teilweise richtige Lösung erhält auch nur einen Punktanteil entsprechend ihrem
Verhältnis zur richtigen Gesamtlösung. Hierbei ist eine Punktstückelung von halben
(½) Punkten möglich.
8.3
Praktische Prüfung
In der praktischen Prüfung werden mehrere Kriterien durch den Prüfer mit Punkten
bewertet.
8.4
Feststellung des Gesamtergebnisses der Prüfung Chief Information Security Officer (TÜV®)
Die schriftliche Prüfung ist bestanden, falls mindestens 60 % der maximal möglichen
Punkte erreicht wurden.
Die praktische Prüfung ist bestanden, falls mindestens 60 % der maximal möglichen
Punkte erreicht wurden.
Die gesamte Prüfung gilt als bestanden, falls beide Prüfungsteile bestanden wurden.
9.
Wiederholung der Prüfung
9.1
Im Falle des Nichtbestehens kann der Kandidat die schriftliche Prüfung wiederholen.
9.2
Im Falle des Nichtbestehens der praktischen Prüfung kann der Kandidat die Fallstudie
nachbessern. Zu einem festgelegten Termin erhält der Kandidat die Fallstudie mit den
Erläuterungen zur Nachbesserung des Prüfers. Für die Nachbesserung der Fallstudie
hat der Kandidat sechs Werktage Zeit.
9.3
Eine Teilprüfung kann höchstens zweimal wiederholt werden. Die Wiederholungsprüfungen sind innerhalb von zwölf Monaten nach der Erstprüfung durchzuführen. Ausnahmen bedürfen der Zustimmung der Personenzertifizierung.
9.4
Termine für Wiederholungsprüfungen können bei den Geschäftsstellen der TÜV
NORD Akademie oder beim Veranstalter erfragt werden.
9.5
In Einzelfällen können die Prüfer in Abstimmung mit der Personenzertifizierung zu
gesonderten Regelungen kommen. Diese sind zu dokumentieren.
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 6 von 11 Seiten
Prüf- und Zertifizierungsordnung
10.
Prüfungsunterlagen
10.1 Alle Prüfungsunterlagen werden in der Personenzertifizierung der TÜV NORD Akademie aufbewahrt.
10.2 Die Aufbewahrungsfrist für alle Prüfungsunterlagen beträgt drei Jahre.
11.
Feststellung der Prüfungsergebnisse
11.1 Die Prüfer, beauftragt durch die Personenzertifizierung der TÜV NORD Akademie,
bewerten das Ergebnis der Prüfung; die Personenzertifizierung entscheidet über die
Zertifizierung.
11.2 Die Benachrichtigung der Kandidaten über ihr Prüfungsergebnis erfolgt zeitnah zur
Prüfung, spätestens jedoch sechs Wochen nach der Prüfung durch den Veranstalter.
11.3 Bei bestandener Prüfung ist das Zertifikat der TÜV NORD Akademie der Prüfungsbescheid.
11.4 Es werden die Prüfungsprädikate bestanden oder nicht bestanden vergeben. Dem
Kandidaten kann die von ihm in der Prüfung erzielte Punktzahl mitgeteilt werden. Die
Entscheidung trifft die Personenzertifizierung.
11.5 Dem Kandidaten, der nicht bestanden hat, wird Einsicht in die von ihm abgelegte
Prüfung auf Anfrage und unter Anerkennung folgender Bedingungen erlaubt:







12.
Die Einsicht erfolgt durch ihn persönlich und nur für die von ihm abgelegte
Prüfung.
Die Einsicht erfolgt ausschließlich im Beisein einer berechtigten Aufsichtsperson.
Während der Einsicht gemachte Notizen oder Aufzeichnungen verbleiben bei den
Prüfungsunterlagen.
Die Einsichtnahme in die Musterlösung ist nicht vorgesehen.
Die Zeit zur Einsichtnahme ist begrenzt auf 20 Minuten.
Unklarheiten sind ausschließlich mit der Aufsichtsperson zu besprechen. Die Aufsichtsperson kann dieses auf dem vorliegenden Formblatt verzeichnen und der
Leitung der Personenzertifizierung der TÜV NORD Akademie zur Entscheidung
zuleiten.
Die Missachtung einer oder mehrerer der o. g. Bedingungen oder sonstiges Verhalten, welches einen ordnungsgemäßen Ablauf der Einsicht behindert, führen
zum sofortigen Abbruch der Einsicht, verbunden mit dem Ausschluss von weiteren
Prüfungen Chief Information Security Officer (TÜV®).
Zertifikaterteilung
12.1 Den Kandidaten wird bei erfolgreicher Prüfung durch die Personenzertifizierung der
TÜV NORD Akademie ein Zertifikat ausgestellt.
12.2 Das Zertifikat enthält folgende Angaben:





Personalien des Kandidaten (Titel, Vorname, Name, Geburtsdatum,
Geburtsort, mit Länderangabe falls nicht in Deutschland)
Bezeichnung der Qualifikation,
Prüfungsinhalte
Unterschrift der Personenzertifizierung der TÜV NORD Akademie
Ausstellungsdatum (Prüfungsdatum)
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 7 von 11 Seiten
Prüf- und Zertifizierungsordnung
Jedes Zertifikat ist mit einer eindeutigen Nummer, dem Beispiel folgend, zu versehen:
CISO/A36/032567/2013
Die Nummer setzt sich wie folgt zusammen:
CISO
A36
032567
2013
Chief Information Security Officer (TÜV®)
Kostenstellenbezeichnung der verantwortlichen Einheit der Akademie
Anmeldenummer des Kandidaten (ORBIS)
Jahr der Prüfung
12.3 Das Zertifikat darf nur in der von der TÜV NORD Akademie zur Verfügung gestellten
Form verwendet werden. Es darf nicht nur teil- oder auszugsweise benutzt werden.
Der Auftraggeber ist nicht befugt, Änderungen des Zertifikats vorzunehmen.
Das Zertifikat darf nicht irreführend verwendet werden.
13.
Prüfungsgebühren
13.1 Jede Prüfung ist gebührenpflichtig.
13.2 Die Höhe der Prüfungsgebühren ist den aktuellen Unterlagen zu entnehmen.
14.
Revisionsklausel, Inkrafttreten und Gültigkeit
14.1 Die Prüf- und Zertifizierungsordnung wird von der Personenzertifizierung der TÜV
NORD Akademie in Kraft gesetzt, ebenso wie alle Änderungen.
14.2 Diese Prüf- und Zertifizierungsordnung ist öffentlich und für jedermann zugänglich.
15.
Mitgeltende Unterlagen des Zertifizierungsprogramms
15.1 Merkblatt Chief Information Security Officer (TÜV®)
15.2 Aufgabensammlung zur schriftlichen Prüfung Chief Information Security Officer (TÜV®)
Übersicht der Anlagen
Anlage 1a:
Themen und Prüfungsmodalitäten für die schriftliche Prüfung
Chief Information Security Officer (TÜV®)
Anlage 1b:
Themen und Prüfungsmodalitäten für die praktische Prüfung
Chief Information Security Officer (TÜV®): Erstellung einer Fallstudie
Anlage 2:
Übersicht über die verwendeten Formblätter
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 8 von 11 Seiten
Prüf- und Zertifizierungsordnung
Anlage 1a:
Themen und Prüfungsmodalitäten für die schriftliche Prüfung
Chief Information Security Officer (TÜV®)
Anzahl der
1)
Aufgaben
Dauer
Thema
1. Steuerung der Informationssicherheit (SIS)
5 MC
2. Risikomanagement (RM)
4 MC
3. Personelle Aspekte der Informationssicherheit (PA)
3 MC
4. Auslagerung von Prozessen und Diensten (APD)
3 MC
5. Informationssicherheit im Kontext weiterer, relevanter
Standards (RS)
2 MC
6. Business Continuity Management (BCM)
4 MC
7. Auditierung (AUD)
4 MC
8. Compliance Aspekte der Informationssicherheit (CIS)
5 MC
9. Themenübergreifendes Verständnis (TV)
2o
Anzahl der Aufgaben/Dauer der Prüfung
30 MC/2 o
75 Min.
MC: Multiple Choice Aufgaben (1 Punkt); o: offene Aufgaben (4 Punkte)
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 9 von 11 Seiten
Prüf- und Zertifizierungsordnung
Anlage 1b:
Themen und Prüfungsmodalitäten für die praktische Prüfung
Chief Information Security Officer (TÜV®): Erstellung einer Fallstudie
In der praktischen Prüfung stellt der Kandidat sein Fachwissen und seine Methodik in
Form einer schriftlichen Fallstudie dar. Hierbei sind konkrete Aufgabestellungen aus
dem Arbeitsumfeld des Kandidaten zu bearbeiten. Die Bearbeitungszeit beträgt drei
Wochen (18 Werktage). Der Umfang der eingereichten Arbeit sollte ca. 15 Seiten umfassen, jedoch 20 Seiten nicht überschreiten.
Dem Kandidaten werden Aufgabestellungen zu den Themen

Informationssicherheit im Unternehmen

Übergreifende IT-Sicherheitskonzeption,

Sicherheit von IT-Systemen und Anwendungen
vorgelegt, die von ihm eigenständig zu bearbeiten sind.
Es werden bei der Prüfung der Fallstudie die Kriterien

Beantwortung der Aufgabestellung und Erreichung der sicherheitstechnischen
Zielstellung mit maximal 15 Punkten (30 %),

Inhaltliche Richtigkeit der Aussagen bezüglich formaler Regelungen, Themenbezug und logische Stringenz, Darstellung des Sachverhalts mit maximal
15 Punkten (30 %),

Fachliche Schlüssigkeit und Struktur mit maximal 10 Punkten (20 %) und

Niveau und Anschaulichkeit der Darstellung (Grammatik, Grafiken, Tabellen,
Verweise, Zitate) mit maximal 10 Punkten (20 %)
bewertet.
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 10 von 11 Seiten
Prüf- und Zertifizierungsordnung
Anlage 2:
Übersicht über die verwendeten Formblätter gem. Liste PersZ-F
Formblatt Nr.
Fassung
Titel/Inhalt
CISO-F01
05.13
Nachweis der fachlichen Eignung zum Prüfer
CISO-F02
05.13
Benennungsurkunde zum Prüfer/Zertifizierungspersonal
CISO-F03
05.13
Verlängerungsbescheinigung zur Benennung Prüfer
CISO-F04
05.13
Liste der benannten Prüfer (Datenbank im MOSS)
CISO-F07E
05.13
Entgeltordnung für die Prüfung und Zertifizierung
CISO-F07H
05.13
Honorarregelung für Prüfer
CISO-F07U
05.13
Umbuchung
CISO-F10-VerlPrüfer
05.13
Verlängerung der Benennung als Prüfer (Antrag)
CISO-F12
05.13
Zertifikat Chief Information Security Officer (TÜV®)
CISO-F17
05.13
Checkliste für die Einweisung vor Beginn einer
Prüfung
CISO-F18
05.13
Checkliste für die Begutachtung der Prüfungsräume
CISO-F19
05.13
Liste der Prüfungsorte
CISO-F20 s Frg
05.13
Leerformular Prüfungsaufgabenheft
CISO F20 p Aufg
05.13
Prüfungsaufgaben-Heft praktische Prüfung
CISO F20 p
05.13
Bewertungsbogen der praktischen Prüfung/schriftlichen
Fallstudie
CISO-F20.AufP1
05.13
Auftrag zur Prüfung, 1. Prüfer
CISO-F20.AufP2
05.13
Auftrag zur Prüfung, 2. Prüfer (Fallstudie)
CISO-F20
05.13
Einzelbericht einer Prüfung
Chief Information Security Officer (TÜV®)
CISO-F21SB
05.13
Sammelbericht einer Prüfung
Chief Information Security Officer (TÜV®)
CISO-F22
05.13
Einsichtnahme in die Prüfungsunterlagen
CISO-F25
05.13
Teilnehmerliste (aus Orbis)
CISO -F28
05.13
Monitoring eines Prüfers
CISO-F30
05.13
Bearbeitungsbogen für Beschwerden
Prüf- und Zertifizierungsordnung
Chief Information Security Officer (TÜV®)
Seite 11 von 11 Seiten

Download Report