ISO 27001:2013 Päätoteuttaja- ja käyttöönottokurssit

Etsitkö toteuttaa ISO 27001 ensimmäistä kertaa organisaatiossasi? Ehkä tarvitset myös riippumaton sertifiointi tunnustetun tietoturvastandardin vastaisesti asiakkaidesi ja ulkopuolisten tarkastajien tyydyttämiseksi?

Monia liikkuvia osia ja paljon yleisiä virheitä, jotka liittyvät rakentamiseen tietoturvan hallintajärjestelmä (ISMS) apu on käsillä. Mutta kun on niin paljon apua vain hiiren klikkauksen päässä, on tärkeää löytää oikea ISO 27001 -toteutusratkaisu oppimistyyliisi, uratavoitteisiisi ja organisaatiosi toimitustarpeisiisi.

Kun etsit verkosta tapoja oppia ISO 27001:n käyttöönotosta, kohtaat suositun lähestymistavan nimeltä Certified Lead Implementer ISO 27001 -kurssi ja siihen liittyvät ohjelmat, kuten Implementing ISO 27001.

Johtavat toteuttajakurssit ISO 27001 -standardeja tarjoavat lukuisat tietoturvakoulutukset järjestöt ja neuvontayritykset. Jotkut näistä johtavan toteuttajan kursseista ovat saatavilla verkossa ja jotkut toimitetaan luokkahuoneessa. Niille molemmille on yhteistä, että ne ovat yleensä intensiivisiä, kalliita ja tarjoavat tyypillisesti "pätevyyden" kokeesta lopussa. Maksut vaihtelevat noin 1,500 2,500–3 5 puntaa henkilöä kohti, ja niiden suorittaminen kestää XNUMX–XNUMX päivää.

Kun teimme oman ISO 27001 -toteutuksen vuonna 2011, kävi selväksi, että voimme käyttää paljon rahaa ja aikaa teoriapuolelle, mukaan lukien osan tiimin kouluttamisesta. Maksut eivät olleet aivan yhtä korkeat kuin nyt, mutta olisimme helposti voineet kuluttaa useita tuhansia puntaa ja menettää useita päiviä, koska halusimme kaikki samalla sivulla toteutuksessa. Harkittuamme vaihtoehtoja silloin päätimme "toiminnalla oppia" eli opettaa itseämme työn aikana ja varmistaa, että ISMS ratkaisu sopivat tapaan, jolla halusimme työskennellä. Olemmehan me projektien toteuttamiseen tottuneet bisnesammattilaiset ja standardi vaikutti yksinkertaiselta, vaikka sitä olikin paljon (noin 140 toimintaa itse asiassa!) Tuolloin kukaan meistä ei odottanut, että päätyisimme tekemään uuden toteutuksen tai haluavat uran toteuttamista ISO 27001 tietoturvan hallintajärjestelmät. Kuinka väärässä olimmekaan, mutta siitä lisää myöhemmin!

Mitä ISO 27001 Lead Implementer -kurssille yleensä sisältyy?

Tulet kohtaamaan muunnelmia aiheesta, mutta yleensä ISO 27001 -johtajien kurssi kattaa seuraavat aiheet:

• Tietoturvahallinnan ymmärtäminen
• Tietoturvan hallintajärjestelmien (ISMS) ymmärtäminen
• ISMS:n edut ja tarkoitus
• Keskeiset käsitteet ja kieli, ISO 27001 -sanasto
• Vaatimukset ja Liite A valvonta ISO 27001:n sisällä
• Ymmärtää ISO 27002 ja miten se sopii yhteen ISO 27001:n kanssa
• Toteutusvaihtoehdot ISO 27001 -sertifioidun ISMS:n rakentamiseen 
• Projektisuunnittelu ja työn erittely ISO 27001 -toteutuksiin
• Valmistautuminen ISO 27001 ISMS Stage 1 ja Stage 2 auditoinnit
• ISMS:n jatkuva parantaminen ja jatkuva seuranta
• ISO 27001 johtava toteuttaja monivalintakoe ja CPD-pisteet

Kurssit ovat yleensä melko intensiivisiä powerpoint-diasuuntautuneita, ohjaajan johtamia ryhmätyönä, jos luokkahuoneessa toimitettavana ohjelmana. Yhdellä tarkastelemallamme 3 päivän kurssilla oli noin 500 erittäin tekstiä sisältävää diaa, joten lause "death by powerpoint" tuli aivan mieleeni! Tämä on uusi dia, joka esitetään 2 minuutin välein. Sillä ei ole juurikaan mahdollisuuksia säilyttää sillä hetkellä, puhumattakaan siitä, että se muistetaan todellisen toteutuksen aikana joskus tulevaisuudessa!

Tarkastellaan ISO 27001 Lead Implementer -kurssien hyviä ja huonoja puolia

Vaikka tämä lähestymistapa ei heijastele haluamaani oppimistyyliä ja löysimme paremman tuoton rajallisella budjetillamme, se epäilemättä toimii joillekin. Mitä muita hyviä ja huonoja puolia ISO 27001 -johtajien toteuttaja- ja käyttöönottokursseissa sitten on?

Mitä hyötyä on ISO 27001 Lead Implementer -kursseista?

• Mahdollisuus oppia kokeneelta opettajalta*
• Työpaja kanssa muut tulokkaat vaikeista aiheista (luokkahuoneessa)
• Hanki johtavan toteuttajan opiskeluopas tai "käsikirja" ISO 27001 -toteutuksesta (jotkut PPT-dioista)
• Hanki sertifioitu ISO 27001 johtavan toteuttajan pätevyys ja sertifikaatti lopussa, jos läpäiset kokeen**

*Jos valitset tämän lähestymistavan, muista tarkistaa, että ohjaaja on kokenut ammattilainen ja on pitänyt toteutuskokemuksensa ajan tasalla uusien työskentelytapojen vuoksi.

**Tarkista ISO 27001 -johtajien kokeet, pätevyydet ja todistukset ovat myös sen paperin arvoisia, joille ne on kirjoitettu. Jotkut organisaatiot merkitsevät omat läksynsä ja myöntävät todistuksia itse tai yritysten kautta, joita ei välttämättä tunneta hyvin.

Niille, jotka aikovat tehdä useita toteutuksia tulevaisuudessa, todistus ja pätevyys voivat olla eduksi CV:ssä työnhaussa. Tietoturva-ammattilaisille voi kuitenkin olla muita sertifioituja "business as usual" -käytäntöjä koskevia kursseja, jotka tarjoavat paremman sijoitetun pääoman tuottoprosentin. Muille liike-elämän ammattilaisille, jotka eivät etsi uraa ISO 27001 -toteutuksissa, haitat voivat painaa enemmän etuja.

Mitkä ovat ISO 27001 Lead Implementer -kurssien huonot puolet?

Lukuun ottamatta yllä olevaa death by powerpoint -kommenttia ja tuottamatonta aikaa luokkahuoneessa odotellessa tai tauoissa, joitain selvempiä haittoja, joita löysimme päätoteuttajakurssien tutkimisesta, ovat:

• ISO 27001 -johtajien kurssit ovat kalliita yhdelle henkilölle (puhumattakaan tiimille) sekä välittömien kustannusten, poissaoloajan että kulujen osalta, jos valitaan luokkahuoneen ulkopuolinen koulutus.
• ISO 27001 tukee johtamisen ja tiimityöskentelyn tärkeyttä, ja sen tulee olla yritysvetoisuutta ja vaikuttaa koko organisaatioon. Pelkästään yhden henkilön kouluttaminen johtavaksi toteuttajaksi, jotta nämä 500 diaa ja 3 intensiivistä päivää voidaan jakaa pureman kokoisiksi paloiksi muille tiimin jäsenille, on resepti epäonnistumiseen tai turhautumiseen.
• Johtavien toteuttajien kursseilla opit paljon hyvää, mutta yleistä tietoa ISO 27001:n käyttöönotosta. Tarvitset hallintajärjestelmän osaksi käyttöönottoa ja ilman sitä käytännön harkintaa kurssi voi jäädä melko teoreettiseksi.
• Osa ISO 27001 -tekniikasta on osittain valmis, ja dokumentointityökalut johtavien toteuttajien kurssit voivat hyvinkin olla vanhentuneita tai sopimattomia organisaatiollesi, joten olet vaarassa ottaa käyttöön vanhanaikaisia ​​menetelmiä.
• Käsitteiden ymmärtäminen, kuten Ilmoitus soveltuvuudesta ovat erittäin tärkeitä. Niiden valmistus- ja valmistusmenetelmät ovat kuitenkin muuttuneet ja niitä voidaan yksinkertaistaa massiivisesti tekniikan avulla – näin ei tarvitse hukata arvokasta aikaa.
• Sinun on vielä suoritettava ISO 27001 -toteutus ja saatat haluta palata oppimateriaaleihin. Se ei ole niin helppoa, jos ne erotetaan tavasta, jolla käytät organisaatiossasi.

Yhteenvetona, vaikka niitä onkin hyötyy ISO 27001 -standardista johtaa toteuttajan kursseja, huonot puolet voivat tehdä niistä epämiellyttävän ja turhauttavan sijoituksen. Asiantuntijakonsulttien tuominen voi olla myös vaihtoehto kapasiteettirajoitteisille organisaatioille, mutta ihanteellisissa olosuhteissa sinulla on käytettävissäsi oppimateriaalia, kun käytät ISO 27001 -standardin täytäntöönpanon jokaista vaihetta.

Haluat jotain, joka voi pitää koko tiimin samalla sivulla, jotain, mikä ei maksaa omaisuuksia harjoituksesta organisaatiollesi toivoo tekevänsä vain kerran, onnistuen ensimmäisellä yrityksellä.

Miksi sinua pitäisi rangaista siitä, että sinulla on enemmän toteuttamiseen osallistuvia ihmisiä? Kuitenkin ISO rohkaisee sitä ja yrityksesi riskiä vähentää siitä sekä mahdollistaa johtavan toteuttajan/johtajien jakaa kokemuksiaan. He voivat keskustella käytännön toteutuksesta työtovereidensa kanssa, eivät akateemisesti teoretisoida eri organisaatioiden kanssa.

Mitä vaihtoehtoja on olemassa ISO 27001 Lead Implementer -kursseille?

Vaihtoehtoja ovat itse tekeminen ja toimintaoppiminen tavalla, jonka valitsimme 8 vuotta sitten. Konsulttien ja fyysisten valmentajien palkkaaminen on myös toinen vaihtoehto, jolle tämä on ehkä sopivampi kuin johtajakoulutus, jos kapasiteetti on rajallinen ja budjetti ei ole niin ongelmallinen. Tietysti sinun on silti ymmärrettävä ja omistettava täysin tietoturvan hallintajärjestelmä, jotta vältytään kalliilta jatkuvilta konsulttimaksuilta, ja sinun on osoitettava, että ISO 27001 -standardin johtajuutta ja henkeä sovelletaan menestyäkseen ulkoisissa auditoinneissa.

Pikakelataan 8 vuotta ja nyt on myös toinen vaihtoehto. Mainitsin aiemmin, että emme odottaneet tekevämme useampaa kuin yhtä ISO 27001 -toteutusta. Liiketoimintastrategiamme kuitenkin muuttui siellä, missä kehitimme ISMS.online kaikilla sen tehokkailla ominaisuuksilla ja täydentävät ISO 27001 -dokumentaatio joka on helppo ottaa käyttöön, mukauttaa ja lisätä toteutuksen aikana. Tämä on suuri ero ISO 27001 -standardin käyttöönotossa ja jatkuvassa hallinnan menestyksessä ilman muita investointeja. Selviksi kuitenkin kävi, että meiltä puuttui vielä jotain organisaatioilta, joiden henkilökunta ei ollut koskaan aiemmin ollut mukana ISO 27001 -toteutuksessa.

Sen sijaan, että vain rakentaisimme itse päätoteuttajakurssin ja kohtaisimme yllä olevat huonot puolet, hahmotimme uudelleen tavoitteet, jotka eivät koske vain toteutusta, vaan se on vain osa matkaa. Organisaation tavoitteena on saada sertifioitu ISMS, johon organisaatiosi sidosryhmät voivat luottaa ja joka täyttää sen business case lupaus, mieluiten pienemmällä kokonaiskustannuksilla ja riskillä kuin vaihtoehdot.

Joten pohdimme, kuinka voisimme auttaa saavuttamaan tämän tavoitteen ja voittamaan johtavien toteuttajien kurssien huonot puolet. Halusimme myös varmistaa, että kaikki fyysiset konsultointi- tai valmennusinvestoinnit tuottavat korkeaa lisäarvoa, emmekä tuhlaa arvokkaita budjetteja asioihin, jotka voidaan automatisoida ja siirtää tietoa mahdollisuuksien mukaan halvemmalla ja kestävällä tavalla.

Tämä ISMS.online-verkkosivusto sisältää paljon ilmaisia ​​resursseja, jotka auttavat uusien tulokkaiden matkaa yrittäessään selvittää paljon siitä, mikä on ollut ulottumattomissa menneisyydessä. Kehitimme sen ja itse ISMS.onlinen pohjalta Virtuaalinen valmentaja, täydentävä ISO 27001 -toteutuksen tukipalvelu, joka auttaa organisaatioita saavuttamaan tavoitteensa ISO 27001 -sertifioidusta tietoturvan hallintajärjestelmästä. Tutustu Virtual Coachiin ja katso, onko se parempi vaihtoehto sille, mitä yrität saavuttaa.