Ønsker du at implementere ISO 27001 for første gang i din organisation? Måske har du også brug for en uafhængig certificering mod den anerkendte informationssikkerhedsstandard for at tilfredsstille dine kunder og eksterne revisorer?
Med mange bevægelige dele og masser af almindelige fejl forbundet med at bygge en informationssikkerhedsstyringssystem (ISMS) der er hjælp lige ved hånden. Men med så meget hjælp kun et museklik væk, er det vigtigt at finde den rigtige ISO 27001 implementeringsløsning til din læringsstil, karrieremål og organisatoriske leveringsbehov.
Når du søger online efter måder at lære om, hvordan du implementerer ISO 27001, vil du støde på en populær tilgang kaldet Certified Lead Implementer ISO 27001-kurset og relaterede programmer såsom Implementering af ISO 27001.
Lede implementer kurser for ISO 27001 tilbydes af talrige informationssikkerhedsuddannelser organisationer og rådgivningsvirksomheder. Nogle af disse ledende implementerkurser er tilgængelige online, og nogle leveres i klasseværelset. Fælles for dem begge er, at de generelt er intensive, dyre og typisk tilbyder en 'kvalifikation' fra en eksamen til sidst. Gebyrer varierer fra omkring £1,500-£2,500 per person, hvilket tager mellem 3-5 dage at gennemføre.
Da vi lavede vores egen ISO 27001-implementering tilbage i 2011, blev det klart, at vi kunne bruge mange penge og tid på teorisiden, herunder at få nogle af holdet oplært. Gebyrerne var ikke helt så høje, som de er nu, men vi kunne nemt have brugt flere tusinde pund og tabt mange dage ude, da vi ville have alle på samme side for implementeringen. Efter at have overvejet mulighederne på det tidspunkt besluttede vi at 'action learning', dvs. lære os selv, mens vi var på jobbet og sikre ISMS løsning passer til den måde, vi gerne ville arbejde på. Når alt kommer til alt, er vi forretningsfolk, der er vant til at implementere projekter, og standarden så ud til at være ligetil, selvom der var masser af den (ca. 140 aktiviteter faktisk!) På det tidspunkt havde ingen af os forventet, at vi ville ende med at lave en ny implementering eller ønsker en karriere implementering ISO 27001 informationssikkerhedsstyringssystemer. Hvor tog vi fejl, men mere om det senere!
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
Du vil støde på variationer af temaet, men generelt vil et ISO 27001 lead implementer-kursus dække følgende emner:
Kurserne er normalt ret intensive powerpoint-slide-orienterede, ledet af vejlederen med noget gruppearbejde, hvis i et klasseværelse leveret program. Et 3-dages kursus, vi gennemgik, havde omkring 500 meget teksttunge slides, så sætningen 'død ved powerpoint' kom lige i højsædet i mit sind! Det er et nyt dias, der præsenteres hvert 2. minut. Den har ringe chance for at blive bibeholdt på det tidspunkt, endsige at blive tilbagekaldt under selve implementeringen engang i fremtiden!
Selvom denne tilgang ikke afspejler min foretrukne læringsstil, og vi fandt bedre udbytte for vores begrænsede budget, virker det uden tvivl for nogle. Så hvad er nogle af de andre fordele og ulemper ved ISO 27001 lead implementer og implementeringskurser?
*Hvis du vælger denne tilgang, husk at kontrollere, at vejlederen er en erfaren praktiker og har holdt deres implementeringserfaring opdateret givet nye måder at arbejde på.
**Tjek ISO 27001 lead implementer-eksamener, kvalifikationer og certifikater er også det papir værd, de er skrevet på. Nogle organisationer markerer deres egne lektier og udsteder certifikater selv eller gennem virksomheder, der måske ikke er velkendte.
For dem, der ser på at lave flere implementeringer i fremtiden, kan det være en fordel at have certifikatet og kvalifikationen på CV'et ved jobsøgning. For fagfolk inden for informationssikkerhed kan der dog være andre certificerede kurser for 'business as usual'-praksis, der giver et bedre investeringsafkast. For andre erhvervsfolk, der ikke leder efter en karriere i ISO 27001-implementeringer, kan ulemperne opveje fordelene.
Bortset fra døden af powerpoint-kommentaren ovenfor og uproduktiv tid i klasseværelset med at vente eller i pauser, er nogle af de mere åbenlyse ulemper, vi fandt ved at udforske leadimplementeringskurser:
Sammenfattende, mens der er nogle drager fordel af ISO 27001 lede implementer-kurser, kan ulemperne gøre dem til en uattraktiv og frustrerende investering. At inddrage specialistkonsulenter kan også være en mulighed for kapacitetsbegrænsede organisationer, men under ideelle omstændigheder vil du have læringsmaterialerne ved hånden, mens du rent faktisk gennemgår hvert trin i din ISO 27001-implementering.
Du vil have noget, der kan holde hele holdet på samme side, noget der ikke gør koste en formue for en øvelse din organisation håber kun at gøre én gang, lykkes i første forsøg.
Hvorfor skal du straffes for at have mere personer involveret i implementeringen? Trods alt ISO opmuntrer til det og din forretningsrisiko vil reducere fra det samt gøre det muligt for den/de ledende implementer/er at dele deres erfaringer. De kan diskutere praktisk implementering med deres arbejdskolleger, ikke akademisk teoretisere med personer fra forskellige organisationer.
Book en skræddersyet hands-on session baseret på dine behov og mål.
Alternativerne omfatter at gøre det selv og aktionslæring på den måde, vi valgte for 8 år siden. Ansættelse af konsulenter og fysiske trænere er også en anden mulighed, hvor dette måske er mere velegnet end leder-implementer-uddannelse, hvis du er kapacitetsbegrænset og budgettet er mindre af et problem. Selvfølgelig skal du stadig fuldt ud forstå og eje informationssikkerhedsstyringssystemet for at undgå dyre løbende konsulenthonorarer, og du skal vise, at ledelsen og ånden i ISO 27001-standarden anvendes for succes i eksterne revisioner.
Spol 8 år frem, og der er nu også et andet alternativ. Jeg nævnte før, at vi ikke forventede at lave mere end én ISO 27001-implementering. Men vores forretningsstrategi ændrede sig, hvor vi udviklede os ISMS.online med alle dets kraftfulde funktioner og supplerende ISO 27001 dokumentation som er let at adoptere, tilpasse og tilføje under en implementering. Det gør en stor forskel for ISO 27001-implementeringen og den løbende ledelsessucces uden andre investeringer. Det, der dog blev klart, er, at vi stadig manglede noget for organisationer med medarbejdere, der aldrig før havde været involveret i en ISO 27001-implementering.
I stedet for blot at bygge et leadimplementer-kursus selv og støde på ulemperne ovenfor, gentænkte vi målene, som ikke kun handler om implementering, det er blot en del af rejsen. Organisationens mål er at have et certificeret ISMS, som din organisations interessenter kan stole på, og som leverer på sit business case løfte, ideelt set til lavere samlede omkostninger og risiko end alternativer.
Så vi kiggede på, hvordan vi kunne hjælpe med at nå dette mål og overvinde ulemperne ved leadimplementer-kurser. Vi ønskede også at sikre, at enhver fysisk rådgivnings- eller coachinginvestering var i den høje værditilvækst ende, uden at spilde dyrebare budgetter på ting, der kan automatiseres og hvor det er muligt få viden overført på billigere, bæredygtige måder.
Dette ISMS.online-websted indeholder en masse gratis ressourcer til at hjælpe nytilkomne på rejsen, idet de forsøger at afmystificere meget af det, der tidligere har været uden for rækkevidde. Med udgangspunkt i det og selve ISMS.online udviklede vi Virtuel coach, en supplerende ISO 27001 implementeringssupporttjeneste, der hjælper organisationer med at nå målet om et ISO 27001 certificeret informationssikkerhedsstyringssystem. Tjek vores virtuelle coach og se, om det er et bedre alternativ til det, du forsøger at opnå.
Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.
Samarbejd nemt, skab og vis, at du til enhver tid er på toppen af din dokumentation
Find ud af mereHåndter ubesværet trusler og muligheder og rapporter dynamisk om ydeevne
Find ud af mereTræf bedre beslutninger og vis, at du har kontrol med dashboards, KPI'er og relateret rapportering
Find ud af mereGør let arbejde med korrigerende handlinger, forbedringer, revisioner og ledelsesgennemgange
Find ud af mereGiv et lys over kritiske relationer og sammenkæde områder som aktiver, risici, kontroller og leverandører elegant
Find ud af mereVælg aktiver fra Asset Bank og opret dit Asset Inventory med lethed
Find ud af mereUd af boksen integrationer med dine andre vigtige forretningssystemer for at forenkle din overholdelse
Find ud af mereTilføj pænt andre områder af overholdelse, der påvirker din organisation for at opnå endnu mere
Find ud af mereEngager personale, leverandører og andre med dynamisk end-to-end compliance til enhver tid
Find ud af mereAdministrer due diligence, kontrakter, kontakter og relationer i løbet af deres livscyklus
Find ud af mereVisuelt kortlægge og administrere interesserede parter for at sikre, at deres behov bliver klart tilgodeset
Find ud af mereStærkt privatliv ved design og sikkerhedskontrol, der matcher dine behov og forventninger
Find ud af mere