Yours truly ist seit kurzem TÜV-geprüft. Als Folge dessen habe ich jetzt auch eine Plakette. Genauer: Ein Zertifikat nach ISO/IEC 27001:2013 Foundation. Nicht ganz unpraktisch in der Energiewirtschaft.
ISO 27001 hört man immer wieder, wenn es um die Sicherheit von Rechenzentren geht. Tatsächlich aber können sich sowohl beliebige Organisationen als auch Personen mit ISO 27001 beschäftigen bzw. zertifizieren lassen.
Die ISO-27000-Normenreihe beschäftigt sich mit dem sicheren Aufbau und Betrieb von Information Security Management Systems (ISMS), also um nachhaltige Datenschutz und Datensicherheit.
ISO/IEC 27000 – Information security management systems – Overview and vocabular
ISO/IEC 27001 – Information security management systems – Requirements
ISO/IEC 27002 – Code of practice for information security management
ISO/IEC 27003 – Information security management systems – Implementation Guidelines
ISO/IEC 27004 – Information security management measurements
ISO/IEC 27005 – Information security risk management
Als Norm steht ISO 27001 also nicht alleine.
Da sich die Welt insbesondere in der IT immer schneller dreht, können die in der Norm dargestellten Requirements und Guidelines nicht vollständig oder erschöpfend sein. Das wollen sie auch nicht. Im Prinzip werden Strukturen und Vorgehensmodelle skizziert, von denen Organisationen die für sie passenden herausgreifen können. Ein iterativer-inkrementeller Ansatz ist hierbei ausdrücklich vorgesehen (Plan-Do-Check-Act, Demingkreis/Shewhart-Zyklus).
Was Personen angeht, dient die Zertifizierung zur Bestätigung einer gewissen Handlungskompetenz. Da es für unterschiedliche Bedürfnisse unterschiedliche Anforderungen gibt, ist der Zertifizierungspfad entsprechend aufgegliedert. Die folgenden drei zertifizierbaren Wissens- und Fertigkeitskompetenten bauen aufeinander auf:
ISO 27001 Foundation - bestätigt als Grundlagenausbildung, dass die notwendige Sensibilität und fachlichen Grundlagen für den Umgang mit einem ISMS vorhanden sind. Zielgruppe sind etwa Sicherheitsbeauftragte oder Unternehmensberater (Ha!).
ISO 27001 Information Security Officer (ISO) - diese Zertifizierung weist ein praxis- und umsetzungsorientiertes Wissen für betriebsverantwortliche Mitarbeiter nach. Es geht schwerpunktmäßig also um Planung, Betrieb und Verbesserung eines ISMS in einer Organisation.
ISO 27001 Auditor - Derart zertifizierte Personen können den Aufbau und die Ablauforganisation eines ISMS nach ISO 19011 auditieren bzw. qualifiziert bewerten.
Es gibt eine Reihe von Anbietern auf dem Markt, die die entsprechenden Schulungen anbieten. Die anschließende Personenzertifizierung übernimmt ein unabhängiges Unternehmen, also etwa die entsprechende TÜV-Stelle. Diese stellt durch ihre Vorgaben auch sicher, dass alle Schulungshäuser den selben Stoffkreis vermitteln.
Über alle Anbieter hinweg haben sich folgende Schulungsdauern eingespielt:
ISO 27001 Foundation: 2 Tage.
ISO 27001 Information Security Officer: 5 Tage
ISO 27001 Auditor: 3 Tage
Insgesamt: 10 Tage
Wer vertieften Spaß dran hat, kann sich übrigens die ISO 27001 als Text im Shop der Standardorganisation runterladen: [http://www.iso.org/iso/iso27001 Für schmale 118 Schweizer Franken..]
Nun habe ich also die Foundation-Zertifizierung. Gebe ich mir den Inf//ormation Security Officer//? Ich denke schon, sofern die Zeit passt. Ich beschäftige mich ja auch ohne eine ISO-Zertifizierung mit Sicherheitsfragen (Stichwort: Smart Grid / Smart Metering). Es ist zudem immer gut, sich sicher in einem vielfach bewehrten Rahmenwerk bewegen zu können, und so dessen Blickwinkel und Denkweise in eine Organisation zu tragen. In der Energiewirtschaft ist Sicherheitsorganisation schon von jeher wichtig, und es wird noch wichtiger. Insbesondere Netzbetreiber und Smart Meter Gateway Administrators müssen sich verschärft mit dem sicheren Rechenzentrumsbetrieb beschäftigen.
Übrigens - weil ich als frischgebackener Freiberufler grundsätzlich käuflich bin, kann man mich auch für [http://klumpp.de/nick/ ISMS/ISO 27001-Beratung] buchen. :-)