ISO 27001:2013 Lead Implementer und Implementierungskurse

Möchten Sie umsetzen? ISO 27001  zum ersten Mal in Ihrer Organisation? Vielleicht brauchen Sie auch eine unabhängige Zertifizierung gegen den anerkannten Informationssicherheitsstandard, um Ihre Kunden und externen Prüfer zufrieden zu stellen?

Mit vielen beweglichen Teilen und vielen häufigen Fehlern beim Bau eines Informationssicherheits-Managementsystem (ISMS) es gibt Hilfe zur Hand. Aber da so viel Hilfe nur einen Mausklick entfernt ist, ist es wichtig, die richtige ISO 27001-Implementierungslösung für Ihren Lernstil, Ihre Karriereziele und Ihre organisatorischen Anforderungen an die Umsetzung zu finden.

Wenn Sie online nach Möglichkeiten suchen, mehr über die Implementierung von ISO 27001 zu erfahren, werden Sie auf einen beliebten Ansatz namens „Certified Lead Implementer ISO 27001“-Kurs und verwandte Programme wie „Implementierung von ISO 27001“ stoßen.

Lead-Implementierer-Kurse für ISO 27001 werden durch zahlreiche Informationssicherheitsschulungen angeboten Organisationen und Beratungsunternehmen. Einige dieser Lead-Implementer-Kurse sind online verfügbar, andere finden im Klassenzimmer statt. Beiden gemeinsam ist, dass sie in der Regel intensiv und teuer sind und am Ende in der Regel eine „Qualifikation“ durch eine Prüfung bieten. Die Gebühren liegen zwischen etwa 1,500 und 2,500 £ pro Person und die Durchführung dauert zwischen 3 und 5 Tagen.

Als wir 27001 unsere eigene ISO 2011-Implementierung durchführten, wurde klar, dass wir viel Geld und Zeit in die Theorie investieren konnten, einschließlich der Schulung einiger Teammitglieder. Die Gebühren waren nicht ganz so hoch wie jetzt, aber wir hätten problemlos mehrere tausend Pfund ausgeben und viele Tage Zeit verlieren können, da wir bei der Implementierung alle auf dem gleichen Stand haben wollten. Nachdem wir damals die Optionen geprüft hatten, entschieden wir uns für „Aktionslernen“, d ISMS-Lösung passte zu der Art und Weise, wie wir arbeiten wollten. Schließlich sind wir Geschäftsleute, die es gewohnt sind, Projekte umzusetzen, und der Standard schien einfach zu sein, auch wenn es viel zu tun gab (eigentlich etwa 140 Aktivitäten!). Damals hatte keiner von uns damit gerechnet, dass wir am Ende eine weitere Implementierung durchführen würden oder eine Karriere in der Umsetzung anstreben Informationssicherheitsmanagementsysteme nach ISO 27001. Wie falsch wir lagen, aber dazu später mehr!

Was ist normalerweise in einem ISO 27001 Lead Implementer-Kurs enthalten?

Sie werden auf Variationen des Themas stoßen, aber im Allgemeinen deckt ein ISO 27001-Kurs für leitende Implementierer die folgenden Themen ab:

• Informationssicherheitsmanagement verstehen
• Informationssicherheitsmanagementsysteme (ISMS) verstehen
• Vorteile und Zweck eines ISMS
• Schlüsselkonzepte und Sprache, Glossar von ISO 27001
• Anforderungen u Anhang A-Kontrollen innerhalb der ISO 27001
• Verstehen ISO 27002 und wie es mit ISO 27001 zusammenpasst
• Umsetzungsmöglichkeiten zum Aufbau eines ISO 27001 zertifizierten ISMS 
• Projektplanung und Arbeitsaufteilung für ISO 27001-Implementierungen
• Vorbereiten für ISO 27001 ISMS Stufe 1 und Stufe 2 Audits
• Kontinuierliche Verbesserung und laufende Überwachung eines ISMS
• ISO 27001 Lead Implementer Multiple-Choice-Prüfung und CPD-Punkte

Die Kurse sind in der Regel ziemlich intensiv auf PowerPoint-Folien ausgerichtet und werden vom Tutor geleitet, mit etwas Gruppenarbeit, wenn es sich um ein im Klassenzimmer gehaltenes Programm handelt. Ein dreitägiger Kurs, den wir besprochen haben, hatte etwa 3 sehr textlastige Folien, sodass mir der Begriff „Tod durch Powerpoint“ sofort in den Sinn kam! Das bedeutet, dass alle 500 Minuten eine neue Folie präsentiert wird. Es besteht kaum eine Chance, dass es zu diesem Zeitpunkt beibehalten wird, geschweige denn, dass es bei der tatsächlichen Implementierung irgendwann in der Zukunft wieder zurückgerufen wird!

Schauen Sie sich die Vor- und Nachteile von ISO 27001 Lead Implementer-Kursen an

Obwohl dieser Ansatz nicht meinen bevorzugten Lernstil widerspiegelt und wir für unser begrenztes Budget eine bessere Rendite erzielt haben, funktioniert er zweifellos für einige. Was sind also einige der anderen Vor- und Nachteile von Kursen für leitende Implementierer und Implementierungen nach ISO 27001?

Welche Vorteile bieten ISO 27001 Lead Implementer-Kurse?

• Eine Chance, von einem erfahrenen Tutor aus der Praxis zu lernen*
• Workshop mit andere Neulinge zu heiklen Themen (im Klassenzimmer)
• Erhalten Sie einen Studienleitfaden oder ein „Handbuch“ für den leitenden Implementierer zur ISO 27001-Implementierung (einige der PPT-Folien).
• Erhalten Sie am Ende eine zertifizierte ISO 27001-Qualifikation und ein Zertifikat als leitender Implementierer, wenn Sie die Prüfung bestehen**

*Wenn Sie sich für diesen Ansatz entscheiden, denken Sie daran, zu prüfen, ob der Tutor ein erfahrener Praktiker ist und seine Erfahrungen bei der Umsetzung neuer Arbeitsweisen auf dem neuesten Stand gehalten hat.

**Überprüfen Sie, ob Prüfungen, Qualifikationen und Zertifikate für ISO 27001-Leiterimplementierer das Papier wert sind, auf dem sie geschrieben sind. Einige Organisationen benoten ihre Hausaufgaben selbst und stellen Zertifikate selbst oder über Unternehmen aus, die möglicherweise nicht gut anerkannt sind.

Für diejenigen, die in Zukunft mehrere Implementierungen durchführen möchten, kann das Vorhandensein des Zertifikats und der Qualifikation im Lebenslauf bei der Jobsuche von Vorteil sein. Für Informationssicherheitsexperten gibt es jedoch möglicherweise andere zertifizierte Kurse für „Business-as-usual“-Praktiken, die einen besseren ROI bieten. Für andere Geschäftsleute, die keine Karriere im Bereich ISO 27001-Implementierungen anstreben, überwiegen möglicherweise die Nachteile.

Was sind die Nachteile von ISO 27001 Lead Implementer-Kursen?

Abgesehen von dem obigen Powerpoint-Kommentar zum Tod und der unproduktiven Zeit beim Warten im Klassenzimmer oder in den Pausen gehören zu den offensichtlicheren Nachteilen, die wir bei der Erkundung von Kursen für Lead-Implementierer festgestellt haben:

• Kurse für leitende ISO 27001-Implementierer sind für eine Person (geschweige denn für ein Team) teuer, sowohl im Hinblick auf die direkten Kosten, die Zeit außerhalb des Büros als auch auf die Kosten, die entstehen, wenn eine externe Schulung im Klassenzimmer gewählt wird.
• ISO 27001 betont die Bedeutung von Führung und Teamarbeit und sollte geschäftsorientiert sein und Auswirkungen auf die gesamte Organisation haben. Allein die Ausbildung einer Einzelperson zum leitenden Umsetzer, um diese 500 Folien und drei intensiven Tage dann in mundgerechte Häppchen für andere Teammitglieder zu übertragen, ist ein Rezept für Misserfolg oder Frustration.
• In Kursen für leitende Implementierer erfahren Sie viele gute, aber allgemeine Informationen zur Implementierung von ISO 27001. Als Teil der Implementierung benötigen Sie ein Managementsystem, und ohne diese praktische Betrachtung bleibt der Kurs möglicherweise recht theoretisch.
• Ein Teil der ISO 27001-Technologie ist teilweise abgeschlossen und die Dokumentations-Toolkits Kurse, die auf Lead-Implementer-Kurse ausgerichtet sind, sind möglicherweise veraltet oder für Ihr Unternehmen ungeeignet, sodass Sie Gefahr laufen, altmodische Methoden einzuführen.
• Konzepte verstehen wie Erklärung zur Anwendbarkeit sind sehr wichtig. Allerdings haben sich die Methoden zur Zubereitung und Herstellung geändert und können durch die Technologie erheblich vereinfacht werden – ohne dass wertvolle Zeit verschwendet werden muss.
• Sie müssen noch die ISO 27001-Implementierung durchführen und möchten möglicherweise noch einmal auf die Lernmaterialien zurückgreifen. Das ist nicht so einfach, wenn sie unabhängig von der Art und Weise sind, wie Sie sie in Ihrer Organisation umsetzen.

Zusammenfassend lässt sich sagen, dass es zwar einige gibt profitiert von ISO 27001 Lead-Implementer-Kurse können aufgrund ihrer Nachteile eine unattraktive und frustrierende Investition darstellen. Auch die Hinzuziehung spezialisierter Berater kann für Organisationen mit eingeschränkten Kapazitäten eine Option sein, aber im Idealfall haben Sie die Lernmaterialien zur Hand, während Sie tatsächlich jeden Schritt Ihrer ISO 27001-Implementierung durchlaufen.

Sie möchten etwas, das das gesamte Team auf dem gleichen Stand hält, etwas, das dies nicht tut Eine Übung in Ihrer Organisation kostet ein Vermögen hofft, es nur einmal zu schaffen, und es gelingt ihm gleich beim ersten Versuch.

Warum sollten Sie dafür bestraft werden, dass Sie mehr haben? Personen, die an der Umsetzung beteiligt sind? Schließlich ISO fördert dies und Ihr Geschäftsrisiko wird dies reduzieren und es den leitenden Implementierern ermöglichen, ihre Erfahrungen auszutauschen. Sie können mit ihren Arbeitskollegen über die praktische Umsetzung diskutieren und müssen nicht mit Einzelpersonen aus verschiedenen Organisationen akademisch theoretisieren.

Welche Alternativen gibt es zu ISO 27001 Lead Implementer-Kursen?

Zu den Alternativen gehören „Do it yourself“ und „Action Learning“, wie wir es vor 8 Jahren gewählt haben. Die Einstellung von Beratern und physischen Trainern ist ebenfalls eine weitere Option, die möglicherweise besser geeignet ist als die Schulung zum Lead Implementer, wenn Ihre Kapazitäten begrenzt sind und das Budget weniger ein Problem darstellt. Natürlich müssen Sie das Informationssicherheitsmanagementsystem dennoch vollständig verstehen und besitzen, um teure laufende Beratungskosten zu vermeiden, und Sie müssen zeigen, dass die Führung und der Geist der ISO 27001-Norm für den Erfolg bei externen Audits angewendet werden.

Acht Jahre später gibt es auch eine weitere Alternative. Ich habe bereits erwähnt, dass wir nicht damit gerechnet haben, mehr als eine ISO 8-Implementierung durchzuführen. Allerdings hat sich unsere Geschäftsstrategie dort geändert, wo wir uns entwickelt haben ISMS.online mit all seinen leistungsstarken Funktionen und ergänzend ISO 27001-Dokumentation die während einer Implementierung einfach übernommen, angepasst und ergänzt werden kann. Das macht einen großen Unterschied für die ISO 27001-Implementierung und den anhaltenden Managementerfolg aus, ohne dass weitere Investitionen erforderlich sind. Es wurde jedoch klar, dass uns für Organisationen mit Mitarbeitern, die noch nie zuvor an einer ISO 27001-Implementierung beteiligt waren, immer noch etwas fehlte.

Anstatt einfach selbst einen Lead-Implementer-Kurs zu erstellen und auf die oben genannten Nachteile zu stoßen, haben wir die Ziele neu definiert, bei denen es nicht nur um die Umsetzung geht, sondern nur um einen Teil der Reise. Das Ziel der Organisation besteht darin, über ein zertifiziertes ISMS zu verfügen, dem die Stakeholder Ihrer Organisation vertrauen können und das seine Ziele erreicht Business-Case-Versprechen, idealerweise zu geringeren Gesamtkosten und Risiken als Alternativen.

Deshalb haben wir uns überlegt, wie wir dabei helfen können, dieses Ziel zu erreichen und die Nachteile von Lead-Implementer-Kursen zu überwinden. Wir wollten außerdem sicherstellen, dass alle physischen Beratungs- oder Coaching-Investitionen auf der Seite der hohen Wertschöpfung angesiedelt sind und keine kostbaren Budgets für Dinge verschwendet werden, die automatisiert werden können und deren Wissenstransfer nach Möglichkeit auf kostengünstigere und nachhaltigere Weise erfolgen kann.

Diese ISMS.online-Website enthält viele kostenlose Ressourcen, die Neulingen die Reise erleichtern und versuchen, vieles von dem zu entmystifizieren, was in der Vergangenheit unerreichbar war. Darauf aufbauend und auf ISMS.online selbst haben wir das entwickelt Virtueller Coach, ein ergänzender ISO 27001-Implementierungsunterstützungsdienst, der Organisationen dabei hilft, das Ziel eines ISO 27001-zertifizierten Informationssicherheitsmanagementsystems zu erreichen. Schauen Sie sich unseren virtuellen Coach an und finden Sie heraus, ob dies eine bessere Alternative für das ist, was Sie erreichen möchten.