Letztes Jahr im April schrieb ich noch über den [http://klumpp.net/blog/archives/422-ISO-27001-Der-Weg-bis-zum-Auditor.html dreigeteilten ISO 27001-Zertifizierungsweg] für Personen. Damals hatte ich gerade meine ISO 27001-Foundation-Zertifizierung erhalten. Eineinhalb Jahre später habe ich nun die Zeit aufgebracht, den zweiten Schritt zu gehen: Ich bin jetzt //ISO 27001 Professional,// oder wahlweise auch //Information Security Officer nach ISO 27001// (ISO). Damit ist ein Kompetenzniveau bestätigt, auf dem man **Informationssicherheit-Managementsysteme** (Information Security Management Systems, ISMS) **planen, aufbauen, betreiben und verbessern** kann.
Wer sich ein bisschen reinhängt und mit iterativ-inkrementellen Ansätzen vertraut ist - Stichwort: //Plan-Do-Check-Act// - wäre prinzipiell auch ohne diese Ausbildung dazu in der Lage. Natürlich. Der Trick mit der Zertifizierung besteht darin, dass man eben besonders für ein ISMS //nach ISO 27001// ausgebildet wurde. Hält man sich als Unternehmen an die besagte Normenfamilie, braucht man einerseits an vielen Stellen das Rad nicht neu zu erfinden. Andererseits sorgt man damit auch für eine Vergleichbarkeit der ISMS untereinander, immerhin sind sie quasi Arbeitsergebnisse. Nicht zuletzt freut sich das Management, dass sie nachweislich "die richtigen Leute" an das Thema gelassen haben. Wobei — vielleicht verfliegt die Freude, sobald die Kollegen hören, dass auch sie bei ISO 27001 kräftig mitziehen müssen... immerhin ist es ja ein //Management//-System!
Zwischenzeitlich hat sich der TÜV übrigens als Personen-Zertifizierungsstelle aus dem Geschäft zurückgezogen. Die [https://ico-cert.org/ ICO-CERT] übernimmt bei den meisten Schulungsanbietern nun die Zertifizierung. Es werden Euch daher in der Praxis Leute unterkommen, die unterschiedliche Aussteller für ihre beiden Zertifizierungen haben.
Mir hat der Zertifizierungskurs in München Spaß gemacht: //Gute// Leute getroffen, und //gute// Referenten abbekommen. Der Stoff war nicht ohne Anspruch, aber wichtiger als der war mir der praxisnahe Austausch mit den Kollegen. Die Woche war sehr intensiv.
Das Thema insgesamt macht mir jedenfalls Spaß, und vielleicht setze ich ja noch meine Auditor-Ausbildung oben drauf. Das wäre der letzte und anspruchsvollste Zertifizierungsschritt. Als Auditor bewertet man die Wirksamkeit eines ISMS und dessen Maßnahmen. Für einen freiberuflichen Berater ist diese Zertifizierung daher vielleicht garnicht so verkehrt. Immerhin kann man seinen Kunden damit bei der Vorbereitung zu einem Zertifizierungsaudit helfen.
**PS: [http://klumpp.de/nick/ Ihr könnt mich natürlich schon jetzt für Eure ISO 27001-Projekte anheuern.] :-)**
Saturday, 9. December 2017
ISO 27001: Nick, der Professional
Trackbacks
Trackback-URL für diesen Eintrag