Er du ute etter å implementere ISO 27001 for første gang i din organisasjon? Kanskje du også trenger en uavhengig sertifisering mot den anerkjente informasjonssikkerhetsstandarden for å tilfredsstille dine kunder og eksterne revisorer?
Med mange bevegelige deler og mange vanlige feil knyttet til å bygge en styringssystem for informasjonssikkerhet (ISMS) det er hjelp for hånden. Men med så mye hjelp bare et museklikk unna, er det viktig å finne den riktige ISO 27001-implementeringsløsningen for din læringsstil, karrieremål og organisasjonsbehov.
Når du søker på nettet etter måter å lære om hvordan du implementerer ISO 27001, vil du møte en populær tilnærming kalt Certified Lead Implementer ISO 27001-kurset, og relaterte programmer som implementering av ISO 27001.
Lede implementerkurs for ISO 27001 tilbys av en rekke informasjonssikkerhetstreninger organisasjoner og rådgivningsfirmaer. Noen av disse ledende implementerkursene er tilgjengelige online, og noen leveres i klasserom. Felles for begge er at de generelt er intensive, dyre og vanligvis tilbyr en "kvalifikasjon" fra en eksamen på slutten. Gebyrene varierer fra rundt £1,500-£2,500 per person, og det tar mellom 3-5 dager å fullføre.
Da vi gjorde vår egen ISO 27001-implementering tilbake i 2011, ble det klart at vi kunne bruke mye penger og tid på teorisiden, inkludert å få noen av teamet trent opp. Gebyrene var ikke fullt så høye som de er nå, men vi kunne lett brukt flere tusen pund og tapt mange dager, siden vi ønsket at alle var på samme side for implementeringen. Etter å ha vurdert alternativene på det tidspunktet bestemte vi oss for å "action learning", dvs. lære oss selv mens vi var på jobb og sikre ISMS løsning passet slik vi ønsket å jobbe. Tross alt er vi forretningsfolk som er vant til å implementere prosjekter, og standarden så ut til å være grei, selv om det var mye bak (ca. 140 aktiviteter faktisk!) På det tidspunktet ante ingen av oss at vi ville ende opp med en ny implementering eller ønsker en karriere implementering ISO 27001 styringssystemer for informasjonssikkerhet. Hvor feil vi tok, men mer om det senere!
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
Du vil støte på variasjoner av temaet, men generelt vil et ISO 27001-ledende implementerkurs dekke følgende emner:
Kursene er vanligvis ganske intensive powerpoint-lysbildeorienterte, ledet av veilederen med noe gruppearbeid hvis i et klasserom levert program. Ett 3-dagers kurs vi gjennomgikk hadde rundt 500 svært teksttunge lysbilder, så uttrykket "death by powerpoint" kom rett i forgrunnen i tankene mine! Det er et nytt lysbilde som presenteres hvert 2. minutt. Den har liten sjanse for å bli beholdt på det tidspunktet, enn si å bli tilbakekalt under selve implementeringen en gang i fremtiden!
Selv om denne tilnærmingen ikke reflekterer min foretrukne læringsstil, og vi fant bedre avkastning for vårt begrensede budsjett, fungerer det uten tvil for noen. Så hva er noen av de andre fordelene og ulempene med ISO 27001 ledende implementer- og implementeringskurs?
*Hvis du velger denne tilnærmingen, husk å sjekke at veilederen er en erfaren praktiker og har holdt sin implementeringserfaring oppdatert gitt nye måter å jobbe på.
**Sjekk ISO 27001 ledende implementereksamener, kvalifikasjoner og sertifikater er verdt papiret de er skrevet på også. Noen organisasjoner markerer sine egne lekser og utsteder sertifikater selv eller gjennom selskaper som kanskje ikke er godt anerkjent.
For de som ser på å gjøre flere implementeringer i fremtiden kan det å ha sertifikatet og kvalifikasjonen være en fordel på CV-en ved jobbsøk. For profesjonelle innen informasjonssikkerhet kan det imidlertid være andre sertifiserte kurs for "business as usual"-praksis som gir en bedre avkastning. For andre forretningsfolk som ikke er ute etter en karriere innen ISO 27001-implementeringer, kan ulempene oppveie fordelene.
Bortsett fra døden av powerpoint-kommentaren ovenfor, og uproduktiv tid i klasseromsventing eller på pauser, inkluderer noen av de mer åpenbare ulempene vi fant rundt å utforske hovedimplementeringskurs:
Oppsummert, mens det er noen drar nytte av ISO 27001 lede implementerkurs, kan ulempene gjøre dem til en lite attraktiv og frustrerende investering. Å hente inn spesialistkonsulenter kan også være et alternativ for organisasjoner med begrenset kapasitet, men under ideelle omstendigheter vil du ha læringsmateriell for hånden mens du faktisk går gjennom hvert trinn i implementeringen av ISO 27001.
Du vil ha noe som kan holde hele teamet på samme side, noe som ikke gjør det koste en formue for en øvelse organisasjonen din håper å gjøre det bare én gang, og lykkes på første forsøk.
Hvorfor skal du straffes for å ha mer personer involvert i gjennomføringen? Tross alt ISO oppmuntrer det og din forretningsrisiko vil redusere fra det i tillegg til å gjøre det mulig for den/de ledende implementeringen/e å dele sine erfaringer. De kan diskutere praktisk implementering med sine arbeidskolleger, ikke akademisk teoretisere med enkeltpersoner fra ulike organisasjoner.
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
Alternativer inkluderer å gjøre det selv og aksjonslæring på den måten vi valgte for 8 år siden. Å ansette konsulenter og fysiske trenere er også et annet alternativ, der kanskje dette er mer egnet enn opplæring av ledere hvis du er begrenset med kapasitet og budsjett er mindre et problem. Selvfølgelig må du fortsatt fullt ut forstå og eie styringssystemet for informasjonssikkerhet for å unngå dyre løpende konsulenthonorarer, og du må vise lederskapet og ånden til ISO 27001-standarden brukes for å lykkes i eksterne revisjoner.
Spol frem 8 år og det er nå et annet alternativ også. Jeg nevnte før at vi ikke forventet å gjøre mer enn én ISO 27001-implementering. Imidlertid endret forretningsstrategien vår der vi utviklet oss ISMS.online med alle sine kraftige funksjoner og utfyllende ISO 27001 dokumentasjon som er lett å ta i bruk, tilpasse og legge til under en implementering. Det utgjør en stor forskjell for ISO 27001-implementering og pågående ledelsessuksess uten noen annen investering. Det som imidlertid ble klart er at vi fortsatt manglet noe for organisasjoner med ansatte som aldri hadde vært involvert i en ISO 27001-implementering før.
I stedet for bare å bygge et leder-implementeringskurs selv og møte ulempene ovenfor, reimaginerte vi målene, som ikke bare handler om implementering, det er bare en del av reisen. Organisasjonens mål er å ha et sertifisert ISMS som organisasjonens interessenter kan stole på, som leverer på sin business case-løfte, ideelt sett til en lavere totalkostnad og risiko enn alternativer.
Så vi så på hvordan vi kunne bidra til å oppnå dette målet og overvinne ulempene med kurs for ledere. Vi ønsket også å sikre at alle fysiske konsulent- eller coachinginvesteringer var i den høye verdiøkende delen, og ikke kaste bort dyrebare budsjetter på ting som kan automatiseres og der det er mulig overføre kunnskap på rimeligere, bærekraftige måter.
Dette ISMS.online-nettstedet inneholder mange gratisressurser for å hjelpe nykommere på reisen, og prøver å avmystifisere mye av det som har vært utenfor rekkevidde tidligere. Med utgangspunkt i det og selve ISMS.online utviklet vi Virtuell coach, en utfyllende støttetjeneste for implementering av ISO 27001 som hjelper organisasjoner med å oppnå målet om et ISO 27001-sertifisert styringssystem for informasjonssikkerhet. Sjekk ut vår virtuelle coach og se om det er et bedre alternativ for det du prøver å oppnå.
Jeg har gjort ISO 27001 på den harde måten, så jeg setter stor pris på hvor mye tid det sparte oss for å oppnå ISO 27001-sertifisering.
Samarbeid, lag og vis at du er på toppen av dokumentasjonen til enhver tid
Finn ut merHåndter trusler og muligheter uanstrengt og rapporter dynamisk om ytelse
Finn ut merTa bedre beslutninger og vis at du har kontroll med dashboards, KPIer og relatert rapportering
Finn ut merGjør lett arbeid med korrigerende handlinger, forbedringer, revisjoner og ledelsesgjennomganger
Finn ut merSkyn et lys på kritiske relasjoner og koble elegant sammen områder som eiendeler, risiko, kontroller og leverandører
Finn ut merVelg eiendeler fra Asset Bank og lag din Asset Inventory med letthet
Finn ut merUt av esken integrasjoner med dine andre viktige forretningssystemer for å forenkle overholdelse
Finn ut merLegg til andre områder av samsvar som påvirker organisasjonen din for å oppnå enda mer
Finn ut merEngasjer ansatte, leverandører og andre med dynamisk ende-til-ende-overholdelse til enhver tid
Finn ut merAdministrer due diligence, kontrakter, kontakter og relasjoner over deres livssyklus
Finn ut merKartlegg og administrer interesserte parter visuelt for å sikre at deres behov blir klart adressert
Finn ut merSterkt design av personvern og sikkerhetskontroller for å matche dine behov og forventninger
Finn ut mer