Möchten Sie umsetzen? ISO 27001 zum ersten Mal in Ihrer Organisation? Vielleicht brauchen Sie auch eine unabhängige Zertifizierung gegen den anerkannten Informationssicherheitsstandard, um Ihre Kunden und externen Prüfer zufrieden zu stellen?
Mit vielen beweglichen Teilen und vielen häufigen Fehlern beim Bau eines Informationssicherheits-Managementsystem (ISMS) es gibt Hilfe zur Hand. Aber da so viel Hilfe nur einen Mausklick entfernt ist, ist es wichtig, die richtige ISO 27001-Implementierungslösung für Ihren Lernstil, Ihre Karriereziele und Ihre organisatorischen Anforderungen an die Umsetzung zu finden.
Wenn Sie online nach Möglichkeiten suchen, mehr über die Implementierung von ISO 27001 zu erfahren, werden Sie auf einen beliebten Ansatz namens „Certified Lead Implementer ISO 27001“-Kurs und verwandte Programme wie „Implementierung von ISO 27001“ stoßen.
Lead-Implementierer-Kurse für ISO 27001 werden durch zahlreiche Informationssicherheitsschulungen angeboten Organisationen und Beratungsunternehmen. Einige dieser Lead-Implementer-Kurse sind online verfügbar, andere finden im Klassenzimmer statt. Beiden gemeinsam ist, dass sie in der Regel intensiv und teuer sind und am Ende in der Regel eine „Qualifikation“ durch eine Prüfung bieten. Die Gebühren liegen zwischen etwa 1,500 und 2,500 £ pro Person und die Durchführung dauert zwischen 3 und 5 Tagen.
Als wir 27001 unsere eigene ISO 2011-Implementierung durchführten, wurde klar, dass wir viel Geld und Zeit in die Theorie investieren konnten, einschließlich der Schulung einiger Teammitglieder. Die Gebühren waren nicht ganz so hoch wie jetzt, aber wir hätten problemlos mehrere tausend Pfund ausgeben und viele Tage Zeit verlieren können, da wir bei der Implementierung alle auf dem gleichen Stand haben wollten. Nachdem wir damals die Optionen geprüft hatten, entschieden wir uns für „Aktionslernen“, d ISMS-Lösung passte zu der Art und Weise, wie wir arbeiten wollten. Schließlich sind wir Geschäftsleute, die es gewohnt sind, Projekte umzusetzen, und der Standard schien einfach zu sein, auch wenn es viel zu tun gab (eigentlich etwa 140 Aktivitäten!). Damals hatte keiner von uns damit gerechnet, dass wir am Ende eine weitere Implementierung durchführen würden oder eine Karriere in der Umsetzung anstreben Informationssicherheitsmanagementsysteme nach ISO 27001. Wie falsch wir lagen, aber dazu später mehr!
ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.
Sie werden auf Variationen des Themas stoßen, aber im Allgemeinen deckt ein ISO 27001-Kurs für leitende Implementierer die folgenden Themen ab:
Die Kurse sind in der Regel ziemlich intensiv auf PowerPoint-Folien ausgerichtet und werden vom Tutor geleitet, mit etwas Gruppenarbeit, wenn es sich um ein im Klassenzimmer gehaltenes Programm handelt. Ein dreitägiger Kurs, den wir besprochen haben, hatte etwa 3 sehr textlastige Folien, sodass mir der Begriff „Tod durch Powerpoint“ sofort in den Sinn kam! Das bedeutet, dass alle 500 Minuten eine neue Folie präsentiert wird. Es besteht kaum eine Chance, dass es zu diesem Zeitpunkt beibehalten wird, geschweige denn, dass es bei der tatsächlichen Implementierung irgendwann in der Zukunft wieder zurückgerufen wird!
Obwohl dieser Ansatz nicht meinen bevorzugten Lernstil widerspiegelt und wir für unser begrenztes Budget eine bessere Rendite erzielt haben, funktioniert er zweifellos für einige. Was sind also einige der anderen Vor- und Nachteile von Kursen für leitende Implementierer und Implementierungen nach ISO 27001?
*Wenn Sie sich für diesen Ansatz entscheiden, denken Sie daran, zu prüfen, ob der Tutor ein erfahrener Praktiker ist und seine Erfahrungen bei der Umsetzung neuer Arbeitsweisen auf dem neuesten Stand gehalten hat.
**Überprüfen Sie, ob Prüfungen, Qualifikationen und Zertifikate für ISO 27001-Leiterimplementierer das Papier wert sind, auf dem sie geschrieben sind. Einige Organisationen benoten ihre Hausaufgaben selbst und stellen Zertifikate selbst oder über Unternehmen aus, die möglicherweise nicht gut anerkannt sind.
Für diejenigen, die in Zukunft mehrere Implementierungen durchführen möchten, kann das Vorhandensein des Zertifikats und der Qualifikation im Lebenslauf bei der Jobsuche von Vorteil sein. Für Informationssicherheitsexperten gibt es jedoch möglicherweise andere zertifizierte Kurse für „Business-as-usual“-Praktiken, die einen besseren ROI bieten. Für andere Geschäftsleute, die keine Karriere im Bereich ISO 27001-Implementierungen anstreben, überwiegen möglicherweise die Nachteile.
Abgesehen von dem obigen Powerpoint-Kommentar zum Tod und der unproduktiven Zeit beim Warten im Klassenzimmer oder in den Pausen gehören zu den offensichtlicheren Nachteilen, die wir bei der Erkundung von Kursen für Lead-Implementierer festgestellt haben:
Zusammenfassend lässt sich sagen, dass es zwar einige gibt profitiert von ISO 27001 Lead-Implementer-Kurse können aufgrund ihrer Nachteile eine unattraktive und frustrierende Investition darstellen. Auch die Hinzuziehung spezialisierter Berater kann für Organisationen mit eingeschränkten Kapazitäten eine Option sein, aber im Idealfall haben Sie die Lernmaterialien zur Hand, während Sie tatsächlich jeden Schritt Ihrer ISO 27001-Implementierung durchlaufen.
Sie möchten etwas, das das gesamte Team auf dem gleichen Stand hält, etwas, das dies nicht tut Eine Übung in Ihrer Organisation kostet ein Vermögen hofft, es nur einmal zu schaffen, und es gelingt ihm gleich beim ersten Versuch.
Warum sollten Sie dafür bestraft werden, dass Sie mehr haben? Personen, die an der Umsetzung beteiligt sind? Schließlich ISO fördert dies und Ihr Geschäftsrisiko wird dies reduzieren und es den leitenden Implementierern ermöglichen, ihre Erfahrungen auszutauschen. Sie können mit ihren Arbeitskollegen über die praktische Umsetzung diskutieren und müssen nicht mit Einzelpersonen aus verschiedenen Organisationen akademisch theoretisieren.
Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.
Zu den Alternativen gehören „Do it yourself“ und „Action Learning“, wie wir es vor 8 Jahren gewählt haben. Die Einstellung von Beratern und physischen Trainern ist ebenfalls eine weitere Option, die möglicherweise besser geeignet ist als die Schulung zum Lead Implementer, wenn Ihre Kapazitäten begrenzt sind und das Budget weniger ein Problem darstellt. Natürlich müssen Sie das Informationssicherheitsmanagementsystem dennoch vollständig verstehen und besitzen, um teure laufende Beratungskosten zu vermeiden, und Sie müssen zeigen, dass die Führung und der Geist der ISO 27001-Norm für den Erfolg bei externen Audits angewendet werden.
Acht Jahre später gibt es auch eine weitere Alternative. Ich habe bereits erwähnt, dass wir nicht damit gerechnet haben, mehr als eine ISO 8-Implementierung durchzuführen. Allerdings hat sich unsere Geschäftsstrategie dort geändert, wo wir uns entwickelt haben ISMS.online mit all seinen leistungsstarken Funktionen und ergänzend ISO 27001-Dokumentation die während einer Implementierung einfach übernommen, angepasst und ergänzt werden kann. Das macht einen großen Unterschied für die ISO 27001-Implementierung und den anhaltenden Managementerfolg aus, ohne dass weitere Investitionen erforderlich sind. Es wurde jedoch klar, dass uns für Organisationen mit Mitarbeitern, die noch nie zuvor an einer ISO 27001-Implementierung beteiligt waren, immer noch etwas fehlte.
Anstatt einfach selbst einen Lead-Implementer-Kurs zu erstellen und auf die oben genannten Nachteile zu stoßen, haben wir die Ziele neu definiert, bei denen es nicht nur um die Umsetzung geht, sondern nur um einen Teil der Reise. Das Ziel der Organisation besteht darin, über ein zertifiziertes ISMS zu verfügen, dem die Stakeholder Ihrer Organisation vertrauen können und das seine Ziele erreicht Business-Case-Versprechen, idealerweise zu geringeren Gesamtkosten und Risiken als Alternativen.
Deshalb haben wir uns überlegt, wie wir dabei helfen können, dieses Ziel zu erreichen und die Nachteile von Lead-Implementer-Kursen zu überwinden. Wir wollten außerdem sicherstellen, dass alle physischen Beratungs- oder Coaching-Investitionen auf der Seite der hohen Wertschöpfung angesiedelt sind und keine kostbaren Budgets für Dinge verschwendet werden, die automatisiert werden können und deren Wissenstransfer nach Möglichkeit auf kostengünstigere und nachhaltigere Weise erfolgen kann.
Diese ISMS.online-Website enthält viele kostenlose Ressourcen, die Neulingen die Reise erleichtern und versuchen, vieles von dem zu entmystifizieren, was in der Vergangenheit unerreichbar war. Darauf aufbauend und auf ISMS.online selbst haben wir das entwickelt Virtueller Coach, ein ergänzender ISO 27001-Implementierungsunterstützungsdienst, der Organisationen dabei hilft, das Ziel eines ISO 27001-zertifizierten Informationssicherheitsmanagementsystems zu erreichen. Schauen Sie sich unseren virtuellen Coach an und finden Sie heraus, ob dies eine bessere Alternative für das ist, was Sie erreichen möchten.
Ich habe ISO 27001 auf die harte Tour gemacht und schätze daher sehr, wie viel Zeit wir dadurch bei der Erlangung der ISO 27001-Zertifizierung gespart haben.
Arbeiten Sie ganz einfach zusammen, erstellen Sie Dokumente und zeigen Sie, dass Sie jederzeit den Überblick über Ihre Dokumentation haben
Mehr erfahrenBewältigen Sie Bedrohungen und Chancen mühelos und erstellen Sie dynamische Leistungsberichte
Mehr erfahrenTreffen Sie bessere Entscheidungen und zeigen Sie mit Dashboards, KPIs und zugehörigen Berichten, dass Sie die Kontrolle haben
Mehr erfahrenMachen Sie Korrekturmaßnahmen, Verbesserungen, Audits und Managementbewertungen zu einem Kinderspiel
Mehr erfahrenBeleuchten Sie kritische Beziehungen und verknüpfen Sie Bereiche wie Vermögenswerte, Risiken, Kontrollen und Lieferanten elegant
Mehr erfahrenWählen Sie Vermögenswerte aus der Asset Bank aus und erstellen Sie ganz einfach Ihr Asset-Inventar
Mehr erfahrenSofort einsatzbereite Integrationen mit Ihren anderen wichtigen Geschäftssystemen, um Ihre Compliance zu vereinfachen
Mehr erfahrenFügen Sie sorgfältig weitere Compliance-Bereiche hinzu, die sich auf Ihr Unternehmen auswirken, um noch mehr zu erreichen
Mehr erfahrenBinden Sie Mitarbeiter, Lieferanten und andere jederzeit mit dynamischer End-to-End-Compliance ein
Mehr erfahrenVerwalten Sie Due Diligence, Verträge, Kontakte und Beziehungen über deren Lebenszyklus
Mehr erfahrenOrdnen Sie interessierte Parteien visuell zu und verwalten Sie sie, um sicherzustellen, dass ihre Bedürfnisse klar berücksichtigt werden
Mehr erfahrenStarke Privatsphäre durch Design und Sicherheitskontrollen, die Ihren Bedürfnissen und Erwartungen entsprechen
Mehr erfahren