ISO 27001:2013 Lead Implementer og Implementeringskurser

Ønsker du at implementere ISO 27001 for første gang i din organisation? Måske har du også brug for en uafhængig certificering mod den anerkendte informationssikkerhedsstandard for at tilfredsstille dine kunder og eksterne revisorer?

Med mange bevægelige dele og masser af almindelige fejl forbundet med at bygge en informationssikkerhedsstyringssystem (ISMS) der er hjælp lige ved hånden. Men med så meget hjælp kun et museklik væk, er det vigtigt at finde den rigtige ISO 27001 implementeringsløsning til din læringsstil, karrieremål og organisatoriske leveringsbehov.

Når du søger online efter måder at lære om, hvordan du implementerer ISO 27001, vil du støde på en populær tilgang kaldet Certified Lead Implementer ISO 27001-kurset og relaterede programmer såsom Implementering af ISO 27001.

Lede implementer kurser for ISO 27001 tilbydes af talrige informationssikkerhedsuddannelser organisationer og rådgivningsvirksomheder. Nogle af disse ledende implementerkurser er tilgængelige online, og nogle leveres i klasseværelset. Fælles for dem begge er, at de generelt er intensive, dyre og typisk tilbyder en 'kvalifikation' fra en eksamen til sidst. Gebyrer varierer fra omkring £1,500-£2,500 per person, hvilket tager mellem 3-5 dage at gennemføre.

Da vi lavede vores egen ISO 27001-implementering tilbage i 2011, blev det klart, at vi kunne bruge mange penge og tid på teorisiden, herunder at få nogle af holdet oplært. Gebyrerne var ikke helt så høje, som de er nu, men vi kunne nemt have brugt flere tusinde pund og tabt mange dage ude, da vi ville have alle på samme side for implementeringen. Efter at have overvejet mulighederne på det tidspunkt besluttede vi at 'action learning', dvs. lære os selv, mens vi var på jobbet og sikre ISMS løsning passer til den måde, vi gerne ville arbejde på. Når alt kommer til alt, er vi forretningsfolk, der er vant til at implementere projekter, og standarden så ud til at være ligetil, selvom der var masser af den (ca. 140 aktiviteter faktisk!) På det tidspunkt havde ingen af ​​os forventet, at vi ville ende med at lave en ny implementering eller ønsker en karriere implementering ISO 27001 informationssikkerhedsstyringssystemer. Hvor tog vi fejl, men mere om det senere!

Hvad er typisk inkluderet i et ISO 27001 Lead Implementer kursus?

Du vil støde på variationer af temaet, men generelt vil et ISO 27001 lead implementer-kursus dække følgende emner:

• Forståelse af informationssikkerhedsstyring
• Forståelse af informationssikkerhedsstyringssystemer (ISMS)
• Fordele og formål med en ISMS
• Nøglebegreber og sprog, ordliste for ISO 27001
• Krav og Bilag A kontrollerer inden for ISO 27001
• Forstå ISO 27002 og hvordan det passer med ISO 27001
• Implementeringsmuligheder for, hvordan man opbygger et ISO 27001 certificeret ISMS 
• Projektplanlægning og arbejdsnedbrydning for ISO 27001 implementeringer
• Forberedelse til ISO 27001 ISMS trin 1 og trin 2 revisioner
• Løbende forbedring og løbende overvågning af et ISMS
• ISO 27001 lead implementer multiple choice eksamen og CPD point

Kurserne er normalt ret intensive powerpoint-slide-orienterede, ledet af vejlederen med noget gruppearbejde, hvis i et klasseværelse leveret program. Et 3-dages kursus, vi gennemgik, havde omkring 500 meget teksttunge slides, så sætningen 'død ved powerpoint' kom lige i højsædet i mit sind! Det er et nyt dias, der præsenteres hvert 2. minut. Den har ringe chance for at blive bibeholdt på det tidspunkt, endsige at blive tilbagekaldt under selve implementeringen engang i fremtiden!

Ser på fordele og ulemper ved ISO 27001 Lead Implementer-kurser

Selvom denne tilgang ikke afspejler min foretrukne læringsstil, og vi fandt bedre udbytte for vores begrænsede budget, virker det uden tvivl for nogle. Så hvad er nogle af de andre fordele og ulemper ved ISO 27001 lead implementer og implementeringskurser?

Hvad er fordelene ved ISO 27001 Lead Implementer-kurser?

• En chance for at lære af en erfaren praktiserende vejleder*
• Workshop med andre nytilkomne om vanskelige emner (i klasseværelset)
• Modtag en ledende implementer-studievejledning eller 'manual' om ISO 27001-implementering (nogle af PPT-slides)
• Få en certificeret ISO 27001 ledende implementer-kvalifikation og certifikat i slutningen, hvis du består eksamenen**

*Hvis du vælger denne tilgang, husk at kontrollere, at vejlederen er en erfaren praktiker og har holdt deres implementeringserfaring opdateret givet nye måder at arbejde på.

**Tjek ISO 27001 lead implementer-eksamener, kvalifikationer og certifikater er også det papir værd, de er skrevet på. Nogle organisationer markerer deres egne lektier og udsteder certifikater selv eller gennem virksomheder, der måske ikke er velkendte.

For dem, der ser på at lave flere implementeringer i fremtiden, kan det være en fordel at have certifikatet og kvalifikationen på CV'et ved jobsøgning. For fagfolk inden for informationssikkerhed kan der dog være andre certificerede kurser for 'business as usual'-praksis, der giver et bedre investeringsafkast. For andre erhvervsfolk, der ikke leder efter en karriere i ISO 27001-implementeringer, kan ulemperne opveje fordelene.

Hvad er ulemperne ved ISO 27001 Lead Implementer-kurser?

Bortset fra døden af ​​powerpoint-kommentaren ovenfor og uproduktiv tid i klasseværelset med at vente eller i pauser, er nogle af de mere åbenlyse ulemper, vi fandt ved at udforske leadimplementeringskurser:

• ISO 27001 lead implementer-kurser er dyre for én person (endsige et team) både med hensyn til de direkte omkostninger, timeout fra kontoret og udgifter, der er involveret, hvis der vælges ekstern undervisning i klasseværelset.
• ISO 27001 fremhæver vigtigheden af ​​ledelse og teamarbejde, og det bør være forretningsledet, hvilket påvirker hele organisationen. Blot at oplære én person som en ledende implementer for derefter at kaskade de 500 dias og 3 intensive dage til små bidder for andre teammedlemmer er en opskrift på fiasko eller frustration.
• I lead implementer-kurser lærer du masser af god, men generisk information om implementering af ISO 27001. Du skal bruge et ledelsessystem som en del af implementeringen, og uden den praktiske overvejelse kan kurset forblive ret teoretisk.
• Noget af ISO 27001-teknologien er delvist komplet, og den dokumentationsværktøjssæt afstemt med lead implementer-kurser kan meget vel være forældede eller upassende for din organisation, så du risikerer at implementere gammeldags metoder.
• Forstå begreber som Anvendelseserklæring er meget vigtige. Men de metoder, der bruges til at forberede og producere dem, har ændret sig og kan forenkles massivt med teknologi - og undgår behovet for at spilde kostbar tid.
• Du skal stadig udføre ISO 27001-implementeringen og vil måske henvise tilbage til undervisningsmaterialerne. Det er ikke så let, hvis de er adskilt fra den måde, du implementerer i din organisation.

Sammenfattende, mens der er nogle drager fordel af ISO 27001 lede implementer-kurser, kan ulemperne gøre dem til en uattraktiv og frustrerende investering. At inddrage specialistkonsulenter kan også være en mulighed for kapacitetsbegrænsede organisationer, men under ideelle omstændigheder vil du have læringsmaterialerne ved hånden, mens du rent faktisk gennemgår hvert trin i din ISO 27001-implementering.

Du vil have noget, der kan holde hele holdet på samme side, noget der ikke gør koste en formue for en øvelse din organisation håber kun at gøre én gang, lykkes i første forsøg.

Hvorfor skal du straffes for at have mere personer involveret i implementeringen? Trods alt ISO opmuntrer til det og din forretningsrisiko vil reducere fra det samt gøre det muligt for den/de ledende implementer/er at dele deres erfaringer. De kan diskutere praktisk implementering med deres arbejdskolleger, ikke akademisk teoretisere med personer fra forskellige organisationer.

Hvilke alternativer er der til ISO 27001 Lead Implementer-kurser?

Alternativerne omfatter at gøre det selv og aktionslæring på den måde, vi valgte for 8 år siden. Ansættelse af konsulenter og fysiske trænere er også en anden mulighed, hvor dette måske er mere velegnet end leder-implementer-uddannelse, hvis du er kapacitetsbegrænset og budgettet er mindre af et problem. Selvfølgelig skal du stadig fuldt ud forstå og eje informationssikkerhedsstyringssystemet for at undgå dyre løbende konsulenthonorarer, og du skal vise, at ledelsen og ånden i ISO 27001-standarden anvendes for succes i eksterne revisioner.

Spol 8 år frem, og der er nu også et andet alternativ. Jeg nævnte før, at vi ikke forventede at lave mere end én ISO 27001-implementering. Men vores forretningsstrategi ændrede sig, hvor vi udviklede os ISMS.online med alle dets kraftfulde funktioner og supplerende ISO 27001 dokumentation som er let at adoptere, tilpasse og tilføje under en implementering. Det gør en stor forskel for ISO 27001-implementeringen og den løbende ledelsessucces uden andre investeringer. Det, der dog blev klart, er, at vi stadig manglede noget for organisationer med medarbejdere, der aldrig før havde været involveret i en ISO 27001-implementering.

I stedet for blot at bygge et leadimplementer-kursus selv og støde på ulemperne ovenfor, gentænkte vi målene, som ikke kun handler om implementering, det er blot en del af rejsen. Organisationens mål er at have et certificeret ISMS, som din organisations interessenter kan stole på, og som leverer på sit business case løfte, ideelt set til lavere samlede omkostninger og risiko end alternativer.

Så vi kiggede på, hvordan vi kunne hjælpe med at nå dette mål og overvinde ulemperne ved leadimplementer-kurser. Vi ønskede også at sikre, at enhver fysisk rådgivnings- eller coachinginvestering var i den høje værditilvækst ende, uden at spilde dyrebare budgetter på ting, der kan automatiseres og hvor det er muligt få viden overført på billigere, bæredygtige måder.

Dette ISMS.online-websted indeholder en masse gratis ressourcer til at hjælpe nytilkomne på rejsen, idet de forsøger at afmystificere meget af det, der tidligere har været uden for rækkevidde. Med udgangspunkt i det og selve ISMS.online udviklede vi Virtuel coach, en supplerende ISO 27001 implementeringssupporttjeneste, der hjælper organisationer med at nå målet om et ISO 27001 certificeret informationssikkerhedsstyringssystem. Tjek vores virtuelle coach og se, om det er et bedre alternativ til det, du forsøger at opnå.