Hva ISO 27001 Lead Implementer-sertifisering betyr for prosjektet ditt
En Lead Implementer bygger styringssystemet deres, en Lead Auditor reviderer det. Ansetter dere feil rolle, stopper sertifiseringsprosjektet opp.
Dere skal bruke ekte penger på å bli ISO 27001-sertifisert, og første beslutning er hvem som skal lede prosjektet. Velger dere feil type spesialist, betaler dere for måneder med arbeid som ikke bringer dere nærmere et sertifikat. Tittelen på CV-en teller her, for to ISO 27001-sertifiseringer høres nesten like ut og gjør stikk motsatt jobb.
Gjennom compliance-prosjektene dette året ser jeg den samme forvekslingen igjen og igjen i ansettelsesfasen. Et foretak vil bli sertifisert, henter inn en revisor, og lurer så på hvorfor ingen bygger noe. Den de trengte, var en Lead Implementer. Denne artikkelen forklarer forskjellen, slik at budsjettet går til riktig rolle.
Hva en ISO 27001 Lead Implementer gjør
En ISO 27001 Lead Implementer er den som bygger styringssystemet deres for informasjonssikkerhet, kort kalt et ISMS. Et ISMS er settet av rutiner, roller og retningslinjer som bestemmer hvordan foretaket beskytter dataene sine og viser at det gjør det. Sertifiseringsorganet PECB beskriver Lead Implementer-rollen som en som “designer, implementerer og vedlikeholder” det systemet, i sin gjennomgang av de to sertifiseringene.
Sagt enkelt er dette byggeren. En Lead Implementer kjører risikovurderingen, skriver retningslinjene, setter opp tiltakene og får de ansatte til å ta dem i bruk. De er praktisk til stede i foretaket gjennom hele prosjektet. Når den eksterne revisoren omsider møter opp, er det Lead Implementeren som er grunnen til at det finnes et fungerende system å inspisere.
Dette er rollen dere ansetter for et sertifiseringsprosjekt. Er målet et sertifikat dere ennå ikke har, trenger dere noen til å bygge selve systemet først. For de fleste foretak er det flere måneder med strukturert arbeid, og det utgjør størstedelen av kostnaden.
Hvordan en Lead Implementer skiller seg fra en Lead Auditor
En Lead Auditor reviderer et ISMS for samsvar, en Lead Implementer bygger det. PECB beskriver revisorens jobb som en som “vurderer og reviderer et ISMS for å sikre at det samsvarer med kravene i ISO/IEC 27001”. Revisoren er altså inspektøren og ikke byggeren, og de to rollene holdes bevisst atskilt.
Den atskillelsen er hele poenget med sertifisering. Revisoren forblir uavhengig, slik at sertifikatet betyr noe for kjøperne deres. En god revisor planlegger revisjonen, gjennomgår dokumentene deres, tester om tiltakene fungerer i praksis, og skriver opp det som ikke holder mål. De skriver ikke retningslinjene deres for dere, for da ville de revidert sitt eget arbeid.
Den praktiske regelen er dermed enkel. Hent inn en Lead Implementer for å gjøre dere klare til sertifisering. Lead Auditoren dukker opp til slutt, ansatt av et akkreditert sertifiseringsorgan, for å avgjøre om dere består. Ansetter dere en revisor til å lede prosjektet, har dere ansatt noen som er trent til å finne avvik, ikke til å lukke dem.
Hvorfor senior-nivået veier tungt
Lead Implementer-sertifiseringen har flere nivåer, og senior-nivået signaliserer dybde og ikke bare en bestått eksamen. PECB setter fire nivåer for denne sertifiseringen. Provisional Implementer krever ingen erfaring. Vanlig Lead Implementer krever fem års yrkeserfaring. Det øverste nivået, Senior Lead Implementer, krever minst ti års arbeidserfaring, der mesteparten skal være innen informasjonssikkerhet og med et stort antall reelle ISMS-prosjekttimer bak seg.
Denne erfaringsterskelen er det dere betaler for når dere ansetter på seniornivå. ISO 27001-prosjekter går sjelden etter planen. Omfanget endrer seg, et tiltak passer ikke måten foretaket drives på, tidslinjen kolliderer med salgssyklusen. Den som har kjørt mange av disse, vet hvilke problemer som må løses nå og hvilke som kan vente. Det er forskjellen på et prosjekt som lander trygt og et prosjekt som sklir ut i tid.
Som et konkret eksempel ligger min egen ISO 27001-sertifisering på Senior Lead Implementer-nivået, så den hviler på det tiårskravet for erfaring. Jeg holder dessuten CISSP og en NIS2 Senior Lead Implementer-sertifisering. Jeg nevner disse fordi de er nettopp den typen bevis dere bør be enhver kandidat om: ikke bare hvilken sertifisering, men hvilket nivå, og hva som skulle til for å nå det.
Beslutningen dere må ta
Det ene valget dere må gjøre før dere bruker en krone, er om dere ansetter noen til å bygge styringssystemet deres eller til å revidere det. Her snakker vi om to ulike personer med hver sin sertifisering, og å forveksle dem er den vanligste måten et ISO 27001-budsjett sløses bort på. Til selve prosjektet vil dere ha en Lead Implementer. Revisoren kommer senere og jobber for noen andre.
Når dere vurderer en sertifiseringskonsulent, spør om tre ting. Hvilket nivå av Lead Implementer-sertifiseringen holder de, hvor mange fulle sertifiseringsprosjekter har de tatt fram til en bestått revisjon, og kan de navngi sertifiseringsorganet bak sertifiseringen sin. Svarene forteller dere om dere ansetter en bygger med erfaring eller en fersk eksamen.
Har styret allerede sagt ja til sertifisering, og dere vil ha planen på bakkenivå, går vår ISO 27001-sjekkliste for norske SMB-er gjennom hva dere bør gjøre først og hva som kan vente. Veier dere fortsatt på om dere skal sertifisere dere i det hele tatt, start med hva ISO 27001 er og hvorfor anbud krever den.
Neste steg
Se sertifiseringene og partnersertifiseringene til FM CyberSecurity på partnersiden vår. Eller avtal en 30-minutters samtale på styrenivå med compliance-praksisen vår om hvem som bør lede sertifiseringsprosjektet deres.
FAQ
Hva er en ISO 27001 Lead Implementer?
En ISO 27001 Lead Implementer er spesialisten som bygger styringssystemet deres for informasjonssikkerhet, et ISMS. De kjører risikovurderingen, skriver retningslinjene, setter opp tiltakene og får de ansatte til å ta dem i bruk. Dette er rollen dere ansetter for å gjøre dere klare til sertifisering, for noen må bygge systemet før en revisor kan revidere det.
Hva er forskjellen på en Lead Implementer og en Lead Auditor?
En Lead Implementer bygger og vedlikeholder styringssystemet deres, en Lead Auditor reviderer det for samsvar med ISO 27001. De to rollene holdes bevisst atskilt, slik at revisoren forblir uavhengig og sertifikatet veier tungt. Til et sertifiseringsprosjekt ansetter dere en Lead Implementer. Lead Auditoren kommer til slutt, ansatt av sertifiseringsorganet, for å avgjøre om dere består.
Hvilken rolle ansetter jeg for å bli ISO 27001-sertifisert?
Dere ansetter en Lead Implementer. Å bli sertifisert betyr å bygge et fungerende ISMS først, og det er implementerens jobb. Lead Auditoren er ikke en dere ansetter til prosjektet i det hele tatt, de blir tildelt av et akkreditert sertifiseringsorgan for å vurdere det dere har bygd. Å ansette en revisor til å lede prosjektet betyr å ansette noen som er trent til å finne avvik, ikke til å lukke dem.
Hva betyr senior-nivået av Lead Implementer?
PECB deler Lead Implementer-sertifiseringen inn i fire nivåer. Senior Lead Implementer er det øverste, og det krever minst ti års arbeidserfaring, mesteparten innen informasjonssikkerhet, pluss et stort antall reelle prosjekttimer. Nivået signaliserer dybde og erfaring, ikke bare en bestått eksamen, og det teller når et sertifiseringsprosjekt møter de vanlige overraskelsene.
Hva bør jeg spørre en ISO 27001-sertifiseringskonsulent om?
Spør hvilket nivå av Lead Implementer-sertifiseringen de holder, hvor mange fulle sertifiseringsprosjekter de har tatt fram til en bestått revisjon, og hvilket sertifiseringsorgan som utstedte sertifiseringen deres. Svarene skiller en bygger med erfaring fra en fersk eksamen. Nivå og antall prosjekter forteller dere mer enn selve sertifiseringsnavnet alene.
