Vad innebär det att vara Certifierad ISO 27001 Lead Implementer?

Att certifiera sig inom ett kompetensområde är ett vanligt sätt att få ett erkänt kvitto på att man har tillskansat sig vissa kunskaper och besitter relevanta erfarenheter. Certifieringar kan jämföras med kvalitetsstämplar som är accepterade av branschen. De är ett sätt för arbetsgivare att säkerställa att personen är den hen påstår och för exempelvis upphandlande myndigheter att säkerställa leverantörens förmåga. Det är naturligtvis inte det viktigaste i en upphandling eller en försäkring mot misstag från den certifierades sida, men det är en viktig komponent som visar både arbetsgivarens och den certifierades engagemang inom området.

När man certifierar sig krävs det nämligen ett ganska stort engagemang från arbetsgivaren i form av tid och kostnader. Priserna skiljer sig avsevärt mellan olika organisationer men man får räkna med mellan fem och tio tusen kronor för de vanligaste. Till detta tillkommer böcker och kurser. Personen som certifierar sig får räkna med att lägga ansenlig energi på studier som ofta kan kännas omfattande. En examinering är ganska likt det många upplevt på universitetet – det innebär ofta att man sitter två till fyra timmar på ett certifierat testcenter. Man är hela tiden övervakad och hinner precis svara på alla frågor innan tiden är ute.

Det finns många olika certifieringar inom säkerhet. Vissa är väldigt tekniskt inriktade, såsom penetrationstest-certifieringarna och de som certifierar personer mot vissa molnleverantörer. Andra är mer teoretiska, som de generella informationssäkerhets-certifieringarna vilka mer inriktar sig på ledning och styrning av säkerhetsaspekter i organisationer. En sådan är ISO/IEC 27001 (Lead) Implementer, som inriktar sig specifikt på kompetensområdet ledningssystem för informationssäkerhet (LIS) och dess införande i organisationer. I Sverige är just LIS ett krav på många offentliga organisationer och leverantörer av samhällsviktiga tjänster. Det är också rekommenderat att samtliga större organisationer har någon form av LIS eftersom det är ett sätt att säkerställa informationssäkerheten och motverka incidenter där exempelvis personuppgifter eller företagshemligheter exponeras för obehöriga.

För att utveckla frågan om LIS och certifiering kontaktade vi två kollegor som nyligen utbildade och certifierat sig mot ISO 27001, Lukas Grönquist och Jesper Lindblom. De genomgick en intensiv utbildning inom införandet av ledningssystem för informationssäkerhet. De kämpade sig igenom långa utbildningsdagar och spännande diskussioner, diskuterade erfarenheter i förhållande till standarden och fick input från lärarens mycket omfattande erfarenheter i området. Avslutningen på utbildningen var en tentamen i essäform som var ganska utmanande.

Lukas ville certifiera sig mot ISO 27001 eftersom det är den mest vedertagna standardern gällande ledningssystem för informationssäkerhet och det finns en stor efterfrågan hos organisationer om att upprätta ett ledningssystem enligt ISO 27001. Han menar också att möjligheten att få sina personliga kunskaper inom standarden bekräftade är betryggande både för honom och för hans kunder. 

Jesper har ungefär samma tankar kring standarden. Han valde ISO 27001 eftersom den är inriktad på hur organisationer i Sverige väljer att genomföra sitt informationssäkerhetsarbete både strategiskt, operativt, på lång, och på kort sikt. Standarden är grunden som arbetet utgår ifrån.

En certifiering som Lead Implementer är en garanti. Det visar att jag faktiskt kan det här.

På frågan om vilka utmaningar de tror blir tuffast för organisationer i arbetet med ett ledningssystem för informationssäkerhet ger de fyra exempel:

1. Att hitta anpassningar för att få standarden, som är framtagen för ett äldre arbetssätt och tekniker, att fungera i dagens mer moderna organisationer.

2. Att förstå att en ISO 27001 implementering inte är en one-off insats, det kontinuerliga förbättringsarbetet kräver resurser även när ledningssystemet är på plats. 

3. Att bygga upp ett ledningssystem i teorin är enkelt, men att faktiskt arbeta efter ledningssystemet i praktiken är det som gör skillnad – och det tar tid och resurser. 

4. Att avgränsa scopet på ett tydligt sätt för att skapa långsiktiga förutsättningar att lyckas. Exempelvis kan det brista längre fram i samband med att rutiner för mätning och uppföljning ska på plats och fungera i praktiken. Många organsiationer tror att de har tillräckligt med egna interna resurser för att klara av att få ett LIS på plats vilket de oftast inte har då scopet kan vara alldeles för brett och odefinierat.

Slutligen frågade vi vad de tyckte var mest lärorikt med utbildningen. Jesper gillade att det var en komprimerad utbildning i högt tempo där de både lyckades fånga hela processen från ax till limpa samtidigt som de gick djupare ner i utvalda viktiga delar. Lukas uppskattade att få konkreta och praktiska tips för ISO 27001-arbete från en kursledare som både hade kunskap inom implementationer och revisioner av ledningssystem, samt att de i grupp kunde diskutera olika infallsvinklar och tolkningar av tillvägagångssätt.

Tony Schlyter är en senior konsult inom Knowit Cybersecurity & Law. Han har nio års erfarenhet av ledningssystem inom medicinteknik, bilindustrin och försvarsindustrin. Tony skrev den här texten efter det att han själv klarat certifieringen mot ISO 27001. För närvarande arbetar Tony med säkerhet inom telecom och automotive på västkusten.