ISO 27001:2013 Lead Implementer- en implementatiecursussen

Bent u op zoek naar implementatie ISO 27001  voor het eerst in uw organisatie? Misschien heb je ook een onafhankelijke certificering tegen de erkende informatiebeveiligingsnorm om uw klanten en externe auditors tevreden te stellen?

Met veel bewegende delen en veel voorkomende fouten bij het bouwen van een informatiebeveiligingsbeheersysteem (ISMS) er is hulp aanwezig. Maar met zoveel hulp die slechts één muisklik verwijderd is, is het belangrijk om de juiste ISO 27001-implementatieoplossing te vinden voor uw leerstijl, carrièredoelen en organisatorische leveringsbehoeften.

Als u online zoekt naar manieren om te leren hoe u ISO 27001 kunt implementeren, zult u een populaire aanpak tegenkomen die de cursus Certified Lead Implementer ISO 27001 heet, en verwante programma's zoals Implementing ISO 27001.

Leadimplementatiecursussen voor ISO 27001 wordt aangeboden door tal van informatiebeveiligingstrainingen organisaties en adviesbureaus. Sommige van deze hoofdimplementatiecursussen zijn online beschikbaar en sommige worden klassikaal gegeven. Wat ze allebei gemeen hebben, is dat ze over het algemeen intensief en duur zijn en doorgaans een 'kwalificatie' van een examen aan het einde bieden. De kosten variëren van ongeveer £ 1,500 tot £ 2,500 per persoon en het duurt 3 tot 5 dagen.

Toen we in 27001 onze eigen ISO 2011-implementatie uitvoerden, werd het duidelijk dat we veel geld en tijd aan de theoriekant konden besteden, inclusief het opleiden van een deel van het team. De kosten waren niet zo hoog als nu, maar we hadden gemakkelijk enkele duizenden ponden kunnen uitgeven en veel dagen kunnen verliezen, omdat we wilden dat iedereen op één lijn zat voor de implementatie. Nadat we destijds de opties hadden overwogen, besloten we om 'action learning' te gaan doen, dat wil zeggen onszelf lesgeven terwijl we aan het werk waren en ervoor te zorgen dat we dat konden ISMS-oplossing paste bij de manier waarop wij wilden werken. We zijn tenslotte zakelijke professionals die gewend zijn projecten te implementeren en de standaard leek eenvoudig, ook al kwam er veel bij kijken (ongeveer 140 activiteiten in feite!) Destijds had niemand van ons verwacht dat we uiteindelijk nog een implementatie zouden doen of een carrière in de implementatie willen ISO 27001 managementsystemen voor informatiebeveiliging. Wat hadden we het mis, maar daarover later meer!

Wat is doorgaans inbegrepen in een ISO 27001 Lead Implementer-cursus?

U zult variaties op het thema tegenkomen, maar over het algemeen zal een ISO 27001-cursus voor hoofdimplementeerders de volgende onderwerpen behandelen:

• Informatiebeveiligingsbeheer begrijpen
• Informatiebeveiligingsbeheersystemen (ISMS) begrijpen
• Voordelen en doel van een ISMS
• Kernbegrippen en taalgebruik, verklarende woordenlijst van ISO 27001
• Vereisten en Bijlage A-controles binnen ISO 27001
• Begrijpen ISO 27002 en hoe dit aansluit bij ISO 27001
• Implementatiemogelijkheden voor het bouwen van een ISO 27001 gecertificeerd ISMS 
• Projectplanning en werkverdeling voor ISO 27001-implementaties
• Voorbereiden voor ISO 27001 ISMS Fase 1 en Fase 2 audits
• Voortdurende verbetering en voortdurende monitoring van een ISMS
• ISO 27001 hoofdimplementator meerkeuze-examen en CPD-punten

De cursussen zijn meestal vrij intensief, gericht op powerpoint-slides, geleid door de docent met wat groepswerk, indien in een klassikaal programma. Een driedaagse cursus die we beoordeelden, bevatte ongeveer 3 dia's met veel tekst, dus de uitdrukking 'dood door powerpoint' kwam recht in mijn gedachten! Dat is een nieuwe dia die elke 500 minuten wordt gepresenteerd. De kans is klein dat het op dat moment behouden blijft, laat staan ​​dat het ergens in de toekomst bij de daadwerkelijke implementatie teruggeroepen wordt!

Kijken naar de voor- en nadelen van ISO 27001 Lead Implementer-cursussen

Hoewel deze aanpak niet mijn favoriete leerstijl weerspiegelt en we een beter rendement hebben gevonden voor ons beperkte budget, werkt het ongetwijfeld voor sommigen. Wat zijn enkele van de andere voor- en nadelen van ISO 27001-cursussen voor hoofdimplementeerders en -implementaties?

Wat zijn de voordelen van ISO 27001 Lead Implementer-cursussen?

• Een kans om te leren van een ervaren praktijkdocent*
• Werkplaats met andere nieuwkomers over netelige onderwerpen (in de klas)
• Ontvang een studiegids of 'handleiding' voor de hoofdimplementator over de implementatie van ISO 27001 (enkele van de PPT-dia's)
• Ontvang aan het eind een gecertificeerde ISO 27001-kwalificatie als hoofdimplementator en een certificaat als u slaagt voor het examen**

*Als u voor deze aanpak kiest, vergeet dan niet te controleren of de docent een ervaren praktijkbeoefenaar is en zijn implementatie-ervaring up-to-date heeft gehouden met het oog op nieuwe manieren van werken.

**Controleer of de examens, kwalificaties en certificaten van ISO 27001-hoofdimplementeerders ook het papier waard zijn waarop ze zijn geschreven. Sommige organisaties markeren hun eigen huiswerk en geven zelf of via bedrijven die mogelijk niet goed worden erkend certificaten uit.

Voor degenen die in de toekomst meerdere implementaties willen uitvoeren, kan het hebben van het certificaat en de kwalificatie een voordeel zijn op het CV bij het zoeken naar een baan. Voor informatiebeveiligingsprofessionals kunnen er echter andere gecertificeerde cursussen zijn voor 'business as usual'-praktijken die een betere RoI bieden. Voor andere zakelijke professionals die niet op zoek zijn naar een carrière in ISO 27001-implementaties, kunnen de nadelen zwaarder wegen dan de voordelen.

Wat zijn de nadelen van ISO 27001 Lead Implementer-cursussen?

Afgezien van de dood door powerpoint-commentaar hierboven en de onproductieve tijd tijdens het wachten in de klas of tijdens pauzes, zijn enkele van de meer voor de hand liggende nadelen die we tegenkwamen bij het verkennen van cursussen voor hoofdimplementeerders:

• ISO 27001-cursussen voor hoofdimplementeerders zijn duur voor één persoon (laat staan ​​voor een team), zowel wat betreft de directe kosten, de tijd buiten kantoor als de kosten die gepaard gaan met het kiezen van een externe klassikale training.
• ISO 27001 omarmt het belang van leiderschap en teamwerk en moet door het bedrijfsleven worden geleid en de hele organisatie beïnvloeden. Alleen al het opleiden van één persoon als hoofdimplementator om vervolgens die 500 slides en 3 intensieve dagen in hapklare brokken voor de andere teamleden te laten vallen, is een recept voor mislukking of frustratie.
• In de Lead Implementer-cursussen leer je veel goede, maar algemene informatie over het implementeren van ISO 27001. Je hebt een managementsysteem nodig als onderdeel van de implementatie en zonder die praktische overweging kan de cursus behoorlijk theoretisch blijven.
• Een deel van de ISO 27001-technologie is gedeeltelijk voltooid en de documentatietoolkits die zijn afgestemd op cursussen voor hoofdimplementeerders, zijn mogelijk verouderd of niet geschikt voor uw organisatie, waardoor u het risico loopt ouderwetse methoden te implementeren.
• Begrippen als Verklaring van toepasbaarheid zijn erg belangrijk. De methoden die worden gebruikt om ze te bereiden en te produceren zijn echter veranderd en kunnen met technologie enorm worden vereenvoudigd, waardoor er geen kostbare tijd hoeft te worden verspild.
• U moet de ISO 27001-implementatie nog uitvoeren en wellicht wilt u de leermaterialen raadplegen. Dat is niet zo eenvoudig als ze losstaan ​​van de manier waarop u ze in uw organisatie implementeert.

Kortom, hoewel er enkele zijn profiteert van ISO 27001 leidende implementatiecursussen kunnen de nadelen ervan een onaantrekkelijke en frustrerende investering maken. Het inschakelen van gespecialiseerde consultants kan ook een optie zijn voor organisaties met beperkte capaciteit, maar in ideale omstandigheden heeft u het leermateriaal bij de hand terwijl u daadwerkelijk elke stap van uw ISO 27001-implementatie doorloopt.

Je wilt iets dat het hele team op één lijn kan houden, iets dat dat niet doet een fortuin kosten voor een oefening van uw organisatie hoopt het maar één keer te doen en slaagt bij de eerste poging.

Waarom zou je gestraft worden als je meer hebt? mensen die bij de uitvoering betrokken zijn? Ten slotte ISO moedigt dit en uw bedrijfsrisico aan zal dit verminderen en de leidende implementeerder(s) in staat stellen hun ervaringen te delen. Ze kunnen met hun collega's over de praktische implementatie debatteren, en niet academisch theoretiseren met individuen uit verschillende organisaties.

Welke alternatieven zijn er voor ISO 27001 Lead Implementer-cursussen?

Alternatieven zijn onder meer het zelf doen en action learning op de manier waarop we 8 jaar geleden kozen. Het inhuren van consultants en fysieke coaches is ook een andere optie, waarbij dit misschien geschikter is dan de training van leadimplementers als de capaciteit beperkt is en het budget minder een probleem is. Natuurlijk moet u het managementsysteem voor informatiebeveiliging nog steeds volledig begrijpen en bezitten om dure doorlopende advieskosten te vermijden, en zult u moeten laten zien dat het leiderschap en de geest van de ISO 27001-norm worden toegepast voor succes bij externe audits.

Acht jaar later is er nu ook een ander alternatief. Ik heb al eerder gezegd dat we niet hadden verwacht dat we meer dan één ISO 8-implementatie zouden doen. Onze bedrijfsstrategie veranderde echter waar we ons ontwikkelden ISMS.online met al zijn krachtige functies en complementair ISO 27001-documentatie dat gemakkelijk is over te nemen, aan te passen en toe te voegen tijdens een implementatie. Dat maakt een groot verschil voor de ISO 27001-implementatie en het voortdurende managementsucces zonder enige andere investering. Wat wel duidelijk werd, is dat we nog iets misten voor organisaties met medewerkers die nog nooit eerder bij een ISO 27001-implementatie betrokken waren geweest.

In plaats van eenvoudigweg zelf een cursus voor leidende implementeerders te bouwen en de bovenstaande nadelen tegen te komen, hebben we de doelen opnieuw bedacht, die niet alleen over de implementatie gaan, maar slechts een deel van het traject zijn. Het doel van de organisatie is het hebben van een gecertificeerd ISMS waarop de belanghebbenden van uw organisatie kunnen vertrouwen en dat resultaat oplevert business case belofte, idealiter tegen lagere totale kosten en risico's dan alternatieven.

Daarom hebben we gekeken hoe we dat doel konden helpen bereiken en de nadelen van cursussen voor hoofdimplementeerders konden overwinnen. We wilden er ook voor zorgen dat alle investeringen in fysiek advies of coaching een hoge toegevoegde waarde zouden hebben, en geen kostbare budgetten zouden verspillen aan dingen die geautomatiseerd kunnen worden en waar mogelijk kennis overgedragen kan worden op goedkopere, duurzame manieren.

Deze ISMS.online-website bevat veel gratis bronnen om de reis voor nieuwkomers te helpen, en probeert veel van wat in het verleden onbereikbaar was te demystificeren. Voortbouwend daarop en ISMS.online zelf hebben wij de Virtuele coach, een aanvullende ISO 27001-implementatieondersteuningsdienst die organisaties helpt het doel van een ISO 27001-gecertificeerd informatiebeveiligingsbeheersysteem te bereiken. Bekijk onze Virtuele Coach en kijk of dat een beter alternatief is voor wat je probeert te bereiken.