Wer sich ein bisschen reinhängt und mit iterativ-inkrementellen Ansätzen vertraut ist - Stichwort: Plan-Do-Check-Act - wäre prinzipiell auch ohne diese Ausbildung dazu in der Lage. Natürlich. Der Trick mit der Zertifizierung besteht darin, dass man eben besonders für ein ISMS nach ISO 27001 ausgebildet wurde. Hält man sich als Unternehmen an die besagte Normenfamilie, braucht man einerseits an vielen Stellen das Rad nicht neu zu erfinden. Andererseits sorgt man damit auch für eine Vergleichbarkeit der ISMS untereinander, immerhin sind sie quasi Arbeitsergebnisse. Nicht zuletzt freut sich das Management, dass sie nachweislich "die richtigen Leute" an das Thema gelassen haben. Wobei — vielleicht verfliegt die Freude, sobald die Kollegen hören, dass auch sie bei ISO 27001 kräftig mitziehen müssen... immerhin ist es ja ein Management-System!
Zwischenzeitlich hat sich der TÜV übrigens als Personen-Zertifizierungsstelle aus dem Geschäft zurückgezogen. Die ICO-CERT übernimmt bei den meisten Schulungsanbietern nun die Zertifizierung. Es werden Euch daher in der Praxis Leute unterkommen, die unterschiedliche Aussteller für ihre beiden Zertifizierungen haben.
Mir hat der Zertifizierungskurs in München Spaß gemacht: Gute Leute getroffen, und gute Referenten abbekommen. Der Stoff war nicht ohne Anspruch, aber wichtiger als der war mir der praxisnahe Austausch mit den Kollegen. Die Woche war sehr intensiv.
Das Thema insgesamt macht mir jedenfalls Spaß, und vielleicht setze ich ja noch meine Auditor-Ausbildung oben drauf. Das wäre der letzte und anspruchsvollste Zertifizierungsschritt. Als Auditor bewertet man die Wirksamkeit eines ISMS und dessen Maßnahmen. Für einen freiberuflichen Berater ist diese Zertifizierung daher vielleicht garnicht so verkehrt. Immerhin kann man seinen Kunden damit bei der Vorbereitung zu einem Zertifizierungsaudit helfen.
PS: Ihr könnt mich natürlich schon jetzt für Eure ISO 27001-Projekte anheuern. :-)
