ISO 27001:2013 Lead Implementer og Implementeringskurs

Er du ute etter å implementere ISO 27001 for første gang i din organisasjon? Kanskje du også trenger en uavhengig sertifisering mot den anerkjente informasjonssikkerhetsstandarden for å tilfredsstille dine kunder og eksterne revisorer?

Med mange bevegelige deler og mange vanlige feil knyttet til å bygge en styringssystem for informasjonssikkerhet (ISMS) det er hjelp for hånden. Men med så mye hjelp bare et museklikk unna, er det viktig å finne den riktige ISO 27001-implementeringsløsningen for din læringsstil, karrieremål og organisasjonsbehov.

Når du søker på nettet etter måter å lære om hvordan du implementerer ISO 27001, vil du møte en populær tilnærming kalt Certified Lead Implementer ISO 27001-kurset, og relaterte programmer som implementering av ISO 27001.

Lede implementerkurs for ISO 27001 tilbys av en rekke informasjonssikkerhetstreninger organisasjoner og rådgivningsfirmaer. Noen av disse ledende implementerkursene er tilgjengelige online, og noen leveres i klasserom. Felles for begge er at de generelt er intensive, dyre og vanligvis tilbyr en "kvalifikasjon" fra en eksamen på slutten. Gebyrene varierer fra rundt £1,500-£2,500 per person, og det tar mellom 3-5 dager å fullføre.

Da vi gjorde vår egen ISO 27001-implementering tilbake i 2011, ble det klart at vi kunne bruke mye penger og tid på teorisiden, inkludert å få noen av teamet trent opp. Gebyrene var ikke fullt så høye som de er nå, men vi kunne lett brukt flere tusen pund og tapt mange dager, siden vi ønsket at alle var på samme side for implementeringen. Etter å ha vurdert alternativene på det tidspunktet bestemte vi oss for å "action learning", dvs. lære oss selv mens vi var på jobb og sikre ISMS løsning passet slik vi ønsket å jobbe. Tross alt er vi forretningsfolk som er vant til å implementere prosjekter, og standarden så ut til å være grei, selv om det var mye bak (ca. 140 aktiviteter faktisk!) På det tidspunktet ante ingen av oss at vi ville ende opp med en ny implementering eller ønsker en karriere implementering ISO 27001 styringssystemer for informasjonssikkerhet. Hvor feil vi tok, men mer om det senere!

Hva er vanligvis inkludert i et ISO 27001 Lead Implementer-kurs?

Du vil støte på variasjoner av temaet, men generelt vil et ISO 27001-ledende implementerkurs dekke følgende emner:

• Forstå informasjonssikkerhetsstyring
• Forstå styringssystemer for informasjonssikkerhet (ISMS)
• Fordeler og formål med en ISMS
• Nøkkelbegreper og språk, ordliste for ISO 27001
• Krav og Vedlegg A kontrollerer innenfor ISO 27001
• Forstå ISO 27002 og hvordan det passer med ISO 27001
• Implementeringsalternativer for hvordan bygge et ISO 27001-sertifisert ISMS 
• Prosjektplanlegging og arbeidssammenbrudd for ISO 27001 implementeringer
• Forberedelse til ISO 27001 ISMS trinn 1 og trinn 2 revisjoner
• Kontinuerlig forbedring og løpende overvåking av et ISMS
• ISO 27001 lead implementer multiple choice eksamen og CPD-poeng

Kursene er vanligvis ganske intensive powerpoint-lysbildeorienterte, ledet av veilederen med noe gruppearbeid hvis i et klasserom levert program. Ett 3-dagers kurs vi gjennomgikk hadde rundt 500 svært teksttunge lysbilder, så uttrykket "death by powerpoint" kom rett i forgrunnen i tankene mine! Det er et nytt lysbilde som presenteres hvert 2. minutt. Den har liten sjanse for å bli beholdt på det tidspunktet, enn si å bli tilbakekalt under selve implementeringen en gang i fremtiden!

Ser på fordeler og ulemper med ISO 27001 Lead Implementer-kurs

Selv om denne tilnærmingen ikke reflekterer min foretrukne læringsstil, og vi fant bedre avkastning for vårt begrensede budsjett, fungerer det uten tvil for noen. Så hva er noen av de andre fordelene og ulempene med ISO 27001 ledende implementer- og implementeringskurs?

Hva er fordelene med ISO 27001 Lead Implementer-kurs?

• En sjanse til å lære av en erfaren praktiserende veileder*
• Workshop med andre nykommere om vanskelige emner (i klasserommet)
• Motta en studieveiledning eller "manual" for ledende implementer om ISO 27001-implementering (noen av PPT-lysbildene)
• Få en sertifisert ISO 27001 ledende implementer-kvalifikasjon og sertifikat på slutten hvis du består eksamenen**

*Hvis du velger denne tilnærmingen, husk å sjekke at veilederen er en erfaren praktiker og har holdt sin implementeringserfaring oppdatert gitt nye måter å jobbe på.

**Sjekk ISO 27001 ledende implementereksamener, kvalifikasjoner og sertifikater er verdt papiret de er skrevet på også. Noen organisasjoner markerer sine egne lekser og utsteder sertifikater selv eller gjennom selskaper som kanskje ikke er godt anerkjent.

For de som ser på å gjøre flere implementeringer i fremtiden kan det å ha sertifikatet og kvalifikasjonen være en fordel på CV-en ved jobbsøk. For profesjonelle innen informasjonssikkerhet kan det imidlertid være andre sertifiserte kurs for "business as usual"-praksis som gir en bedre avkastning. For andre forretningsfolk som ikke er ute etter en karriere innen ISO 27001-implementeringer, kan ulempene oppveie fordelene.

Hva er ulempene med ISO 27001 Lead Implementer-kurs?

Bortsett fra døden av powerpoint-kommentaren ovenfor, og uproduktiv tid i klasseromsventing eller på pauser, inkluderer noen av de mer åpenbare ulempene vi fant rundt å utforske hovedimplementeringskurs:

• ISO 27001 ledende implementerkurs er dyre for én person (for ikke å snakke om et team) både når det gjelder de direkte kostnadene, tiden utenfor kontoret og utgifter som er involvert hvis klasseromsopplæring utenfor stedet velges.
• ISO 27001 fremhever viktigheten av lederskap og teamarbeid, og det bør være forretningsledet, og påvirke hele organisasjonen. Bare det å trene opp en person som en ledende implementer for deretter å kaste disse 500 lysbildene og 3 intensive dagene til små biter for andre teammedlemmer, er en oppskrift på fiasko eller frustrasjon.
• I ledende implementerkurs lærer du mye god, men generisk informasjon om implementering av ISO 27001. Du trenger et styringssystem som en del av implementeringen, og uten den praktiske vurderingen kan kurset forbli ganske teoretisk.
• Noe av ISO 27001-teknologien er delvis komplett, og dokumentasjonsverktøysett tilpasset ledende implementerkurs kan godt være utdatert eller upassende for organisasjonen din, slik at du risikerer å implementere gammeldagse metoder.
• Forstå begreper som Anvendelseserklæring er veldig viktige. Metodene som brukes til å tilberede og produsere dem har imidlertid endret seg og kan forenkles enormt med teknologi – slik at man unngår å kaste bort dyrebar tid.
• Du må fortsatt gjøre ISO 27001-implementeringen og vil kanskje gå tilbake til læremateriellet. Det er ikke så lett hvis de er adskilt fra måten du implementerer i organisasjonen din.

Oppsummert, mens det er noen drar nytte av ISO 27001 lede implementerkurs, kan ulempene gjøre dem til en lite attraktiv og frustrerende investering. Å hente inn spesialistkonsulenter kan også være et alternativ for organisasjoner med begrenset kapasitet, men under ideelle omstendigheter vil du ha læringsmateriell for hånden mens du faktisk går gjennom hvert trinn i implementeringen av ISO 27001.

Du vil ha noe som kan holde hele teamet på samme side, noe som ikke gjør det koste en formue for en øvelse organisasjonen din håper å gjøre det bare én gang, og lykkes på første forsøk.

Hvorfor skal du straffes for å ha mer personer involvert i gjennomføringen? Tross alt ISO oppmuntrer det og din forretningsrisiko vil redusere fra det i tillegg til å gjøre det mulig for den/de ledende implementeringen/e å dele sine erfaringer. De kan diskutere praktisk implementering med sine arbeidskolleger, ikke akademisk teoretisere med enkeltpersoner fra ulike organisasjoner.

Hvilke alternativer er det til ISO 27001 Lead Implementer-kurs?

Alternativer inkluderer å gjøre det selv og aksjonslæring på den måten vi valgte for 8 år siden. Å ansette konsulenter og fysiske trenere er også et annet alternativ, der kanskje dette er mer egnet enn opplæring av ledere hvis du er begrenset med kapasitet og budsjett er mindre et problem. Selvfølgelig må du fortsatt fullt ut forstå og eie styringssystemet for informasjonssikkerhet for å unngå dyre løpende konsulenthonorarer, og du må vise lederskapet og ånden til ISO 27001-standarden brukes for å lykkes i eksterne revisjoner.

Spol frem 8 år og det er nå et annet alternativ også. Jeg nevnte før at vi ikke forventet å gjøre mer enn én ISO 27001-implementering. Imidlertid endret forretningsstrategien vår der vi utviklet oss ISMS.online med alle sine kraftige funksjoner og utfyllende ISO 27001 dokumentasjon som er lett å ta i bruk, tilpasse og legge til under en implementering. Det utgjør en stor forskjell for ISO 27001-implementering og pågående ledelsessuksess uten noen annen investering. Det som imidlertid ble klart er at vi fortsatt manglet noe for organisasjoner med ansatte som aldri hadde vært involvert i en ISO 27001-implementering før.

I stedet for bare å bygge et leder-implementeringskurs selv og møte ulempene ovenfor, reimaginerte vi målene, som ikke bare handler om implementering, det er bare en del av reisen. Organisasjonens mål er å ha et sertifisert ISMS som organisasjonens interessenter kan stole på, som leverer på sin business case-løfte, ideelt sett til en lavere totalkostnad og risiko enn alternativer.

Så vi så på hvordan vi kunne bidra til å oppnå dette målet og overvinne ulempene med kurs for ledere. Vi ønsket også å sikre at alle fysiske konsulent- eller coachinginvesteringer var i den høye verdiøkende delen, og ikke kaste bort dyrebare budsjetter på ting som kan automatiseres og der det er mulig overføre kunnskap på rimeligere, bærekraftige måter.

Dette ISMS.online-nettstedet inneholder mange gratisressurser for å hjelpe nykommere på reisen, og prøver å avmystifisere mye av det som har vært utenfor rekkevidde tidligere. Med utgangspunkt i det og selve ISMS.online utviklet vi Virtuell coach, en utfyllende støttetjeneste for implementering av ISO 27001 som hjelper organisasjoner med å oppnå målet om et ISO 27001-sertifisert styringssystem for informasjonssikkerhet. Sjekk ut vår virtuelle coach og se om det er et bedre alternativ for det du prøver å oppnå.