Etsitkö toteuttaa ISO 27001 ensimmäistä kertaa organisaatiossasi? Ehkä tarvitset myös riippumaton sertifiointi tunnustetun tietoturvastandardin vastaisesti asiakkaidesi ja ulkopuolisten tarkastajien tyydyttämiseksi?
Monia liikkuvia osia ja paljon yleisiä virheitä, jotka liittyvät rakentamiseen tietoturvan hallintajärjestelmä (ISMS) apu on käsillä. Mutta kun on niin paljon apua vain hiiren klikkauksen päässä, on tärkeää löytää oikea ISO 27001 -toteutusratkaisu oppimistyyliisi, uratavoitteisiisi ja organisaatiosi toimitustarpeisiisi.
Kun etsit verkosta tapoja oppia ISO 27001:n käyttöönotosta, kohtaat suositun lähestymistavan nimeltä Certified Lead Implementer ISO 27001 -kurssi ja siihen liittyvät ohjelmat, kuten Implementing ISO 27001.
Johtavat toteuttajakurssit ISO 27001 -standardeja tarjoavat lukuisat tietoturvakoulutukset järjestöt ja neuvontayritykset. Jotkut näistä johtavan toteuttajan kursseista ovat saatavilla verkossa ja jotkut toimitetaan luokkahuoneessa. Niille molemmille on yhteistä, että ne ovat yleensä intensiivisiä, kalliita ja tarjoavat tyypillisesti "pätevyyden" kokeesta lopussa. Maksut vaihtelevat noin 1,500 2,500–3 5 puntaa henkilöä kohti, ja niiden suorittaminen kestää XNUMX–XNUMX päivää.
Kun teimme oman ISO 27001 -toteutuksen vuonna 2011, kävi selväksi, että voimme käyttää paljon rahaa ja aikaa teoriapuolelle, mukaan lukien osan tiimin kouluttamisesta. Maksut eivät olleet aivan yhtä korkeat kuin nyt, mutta olisimme helposti voineet kuluttaa useita tuhansia puntaa ja menettää useita päiviä, koska halusimme kaikki samalla sivulla toteutuksessa. Harkittuamme vaihtoehtoja silloin päätimme "toiminnalla oppia" eli opettaa itseämme työn aikana ja varmistaa, että ISMS ratkaisu sopivat tapaan, jolla halusimme työskennellä. Olemmehan me projektien toteuttamiseen tottuneet bisnesammattilaiset ja standardi vaikutti yksinkertaiselta, vaikka sitä olikin paljon (noin 140 toimintaa itse asiassa!) Tuolloin kukaan meistä ei odottanut, että päätyisimme tekemään uuden toteutuksen tai haluavat uran toteuttamista ISO 27001 tietoturvan hallintajärjestelmät. Kuinka väärässä olimmekaan, mutta siitä lisää myöhemmin!
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Tulet kohtaamaan muunnelmia aiheesta, mutta yleensä ISO 27001 -johtajien kurssi kattaa seuraavat aiheet:
Kurssit ovat yleensä melko intensiivisiä powerpoint-diasuuntautuneita, ohjaajan johtamia ryhmätyönä, jos luokkahuoneessa toimitettavana ohjelmana. Yhdellä tarkastelemallamme 3 päivän kurssilla oli noin 500 erittäin tekstiä sisältävää diaa, joten lause "death by powerpoint" tuli aivan mieleeni! Tämä on uusi dia, joka esitetään 2 minuutin välein. Sillä ei ole juurikaan mahdollisuuksia säilyttää sillä hetkellä, puhumattakaan siitä, että se muistetaan todellisen toteutuksen aikana joskus tulevaisuudessa!
Vaikka tämä lähestymistapa ei heijastele haluamaani oppimistyyliä ja löysimme paremman tuoton rajallisella budjetillamme, se epäilemättä toimii joillekin. Mitä muita hyviä ja huonoja puolia ISO 27001 -johtajien toteuttaja- ja käyttöönottokursseissa sitten on?
*Jos valitset tämän lähestymistavan, muista tarkistaa, että ohjaaja on kokenut ammattilainen ja on pitänyt toteutuskokemuksensa ajan tasalla uusien työskentelytapojen vuoksi.
**Tarkista ISO 27001 -johtajien kokeet, pätevyydet ja todistukset ovat myös sen paperin arvoisia, joille ne on kirjoitettu. Jotkut organisaatiot merkitsevät omat läksynsä ja myöntävät todistuksia itse tai yritysten kautta, joita ei välttämättä tunneta hyvin.
Niille, jotka aikovat tehdä useita toteutuksia tulevaisuudessa, todistus ja pätevyys voivat olla eduksi CV:ssä työnhaussa. Tietoturva-ammattilaisille voi kuitenkin olla muita sertifioituja "business as usual" -käytäntöjä koskevia kursseja, jotka tarjoavat paremman sijoitetun pääoman tuottoprosentin. Muille liike-elämän ammattilaisille, jotka eivät etsi uraa ISO 27001 -toteutuksissa, haitat voivat painaa enemmän etuja.
Lukuun ottamatta yllä olevaa death by powerpoint -kommenttia ja tuottamatonta aikaa luokkahuoneessa odotellessa tai tauoissa, joitain selvempiä haittoja, joita löysimme päätoteuttajakurssien tutkimisesta, ovat:
Yhteenvetona, vaikka niitä onkin hyötyy ISO 27001 -standardista johtaa toteuttajan kursseja, huonot puolet voivat tehdä niistä epämiellyttävän ja turhauttavan sijoituksen. Asiantuntijakonsulttien tuominen voi olla myös vaihtoehto kapasiteettirajoitteisille organisaatioille, mutta ihanteellisissa olosuhteissa sinulla on käytettävissäsi oppimateriaalia, kun käytät ISO 27001 -standardin täytäntöönpanon jokaista vaihetta.
Haluat jotain, joka voi pitää koko tiimin samalla sivulla, jotain, mikä ei maksaa omaisuuksia harjoituksesta organisaatiollesi toivoo tekevänsä vain kerran, onnistuen ensimmäisellä yrityksellä.
Miksi sinua pitäisi rangaista siitä, että sinulla on enemmän toteuttamiseen osallistuvia ihmisiä? Kuitenkin ISO rohkaisee sitä ja yrityksesi riskiä vähentää siitä sekä mahdollistaa johtavan toteuttajan/johtajien jakaa kokemuksiaan. He voivat keskustella käytännön toteutuksesta työtovereidensa kanssa, eivät akateemisesti teoretisoida eri organisaatioiden kanssa.
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
Vaihtoehtoja ovat itse tekeminen ja toimintaoppiminen tavalla, jonka valitsimme 8 vuotta sitten. Konsulttien ja fyysisten valmentajien palkkaaminen on myös toinen vaihtoehto, jolle tämä on ehkä sopivampi kuin johtajakoulutus, jos kapasiteetti on rajallinen ja budjetti ei ole niin ongelmallinen. Tietysti sinun on silti ymmärrettävä ja omistettava täysin tietoturvan hallintajärjestelmä, jotta vältytään kalliilta jatkuvilta konsulttimaksuilta, ja sinun on osoitettava, että ISO 27001 -standardin johtajuutta ja henkeä sovelletaan menestyäkseen ulkoisissa auditoinneissa.
Pikakelataan 8 vuotta ja nyt on myös toinen vaihtoehto. Mainitsin aiemmin, että emme odottaneet tekevämme useampaa kuin yhtä ISO 27001 -toteutusta. Liiketoimintastrategiamme kuitenkin muuttui siellä, missä kehitimme ISMS.online kaikilla sen tehokkailla ominaisuuksilla ja täydentävät ISO 27001 -dokumentaatio joka on helppo ottaa käyttöön, mukauttaa ja lisätä toteutuksen aikana. Tämä on suuri ero ISO 27001 -standardin käyttöönotossa ja jatkuvassa hallinnan menestyksessä ilman muita investointeja. Selviksi kuitenkin kävi, että meiltä puuttui vielä jotain organisaatioilta, joiden henkilökunta ei ollut koskaan aiemmin ollut mukana ISO 27001 -toteutuksessa.
Sen sijaan, että vain rakentaisimme itse päätoteuttajakurssin ja kohtaisimme yllä olevat huonot puolet, hahmotimme uudelleen tavoitteet, jotka eivät koske vain toteutusta, vaan se on vain osa matkaa. Organisaation tavoitteena on saada sertifioitu ISMS, johon organisaatiosi sidosryhmät voivat luottaa ja joka täyttää sen business case lupaus, mieluiten pienemmällä kokonaiskustannuksilla ja riskillä kuin vaihtoehdot.
Joten pohdimme, kuinka voisimme auttaa saavuttamaan tämän tavoitteen ja voittamaan johtavien toteuttajien kurssien huonot puolet. Halusimme myös varmistaa, että kaikki fyysiset konsultointi- tai valmennusinvestoinnit tuottavat korkeaa lisäarvoa, emmekä tuhlaa arvokkaita budjetteja asioihin, jotka voidaan automatisoida ja siirtää tietoa mahdollisuuksien mukaan halvemmalla ja kestävällä tavalla.
Tämä ISMS.online-verkkosivusto sisältää paljon ilmaisia resursseja, jotka auttavat uusien tulokkaiden matkaa yrittäessään selvittää paljon siitä, mikä on ollut ulottumattomissa menneisyydessä. Kehitimme sen ja itse ISMS.onlinen pohjalta Virtuaalinen valmentaja, täydentävä ISO 27001 -toteutuksen tukipalvelu, joka auttaa organisaatioita saavuttamaan tavoitteensa ISO 27001 -sertifioidusta tietoturvan hallintajärjestelmästä. Tutustu Virtual Coachiin ja katso, onko se parempi vaihtoehto sille, mitä yrität saavuttaa.
Olen suorittanut ISO 27001:n kovalla tavalla, joten arvostan todella sitä, kuinka paljon aikaa säästyimme ISO 27001 -sertifikaatin saavuttamisessa.
Tee yhteistyötä, luo ja näytä, että olet aina dokumentaatiosi kärjessä
Lue lisääTartu uhkiin ja mahdollisuuksiin vaivattomasti ja raportoi suorituskyvystä dynaamisesti
Lue lisääTee parempia päätöksiä ja näytä hallitsevasi hallintapaneelien, KPI:iden ja niihin liittyvän raportoinnin avulla
Lue lisääTee kevyttä työtä korjaavista toimista, parannuksista, auditoinneista ja johdon arvioinneista
Lue lisääValaise kriittisiä suhteita ja yhdistä tyylikkäästi alueet, kuten omaisuus, riskit, valvonta ja toimittajat
Lue lisääValitse omaisuus omaisuuspankista ja luo omaisuusluettelo helposti
Lue lisääKäyttövalmiit integraatiot muihin keskeisiin liiketoimintajärjestelmiisi yksinkertaistamaan vaatimustenmukaisuuttasi
Lue lisääLisää siististi muita vaatimustenmukaisuuden osa-alueita, jotka vaikuttavat organisaatioosi, jotta saavutat vielä enemmän
Lue lisääSitouta henkilöstö, toimittajat ja muut dynaamiseen päästä päähän -säännösten noudattamiseen aina
Lue lisääHallitse due diligencea, sopimuksia, kontakteja ja suhteita koko elinkaarensa ajan
Lue lisääKartoita ja hallitse kiinnostuneita osapuolia visuaalisesti varmistaaksesi, että heidän tarpeisiinsa vastataan selvästi
Lue lisääVahva suunnittelun yksityisyys ja suojaustoiminnot tarpeidesi ja odotusten mukaan
Lue lisää