Arbeiten für einen Zertifizierer

Hallo allerseits,

wenn ich mich dazu entscheiden sollte, nach ISO 27001 zertifizieren zu wollen, wie lange würde es dauern, bis ich das eigenverantwortlich darf?

Welche anderen Zertifikate sind derzeit auf dem Markt interessant oder werden es in der Zukunft vermutlich sein?
 
Für den LA brauchst du einige Jahre Erfahrung und rund 5000€ Ausbildungskosten (exkl. Unterkunft und Verpflegung; Grundlage sind die von IRCA zertifizierten Kurse). Um dann als Auditor arbeiten zu dürfen, benötigst du wohl noch die Empfehlung eines anderen Lead Auditors, sowie eine gewissen Anzahl an begleiteten Audits. Das ist aber nur Hörensagen und ich kann dir nicht sagen, ob das so stimmt.

Für IT Grundschutz auf Basis ISO 27001 benötigst du mind. 5 Jahre nachgewiesene Erfahrung, Studienabschluss sowie eine Ausbildung, siehe BSI - Zertifizierung als Auditteamleiter.

Als Alternative dazu, um z.B. als Consultant die Zertifizierung zu unterstützen - auch das machen die großen Auditfirmen wie TÜV Süd - oder als CISO die Zertifizierung zu leiten, bieten sich die üblichen Verdächtigen an: CISA/CISM von ISACA, CISSP von ISC2, GISP von GIAC (SANS?). Bis auf den GISP benötigst du immer Berufserfahrung. Letztens Endes ist das aber völlig in Ordnung, denn selbst mit CISSP wird dich niemand ernst nehmen, wenn du nicht bereits ein paar Erfolge in deinem Arbeitsleben vorweisen kannst.
 
Zuletzt bearbeitet:
Wenn du diese Richtung anstrebst, kann ich dir nur empfehlen erstmal bei mindestens einem Unternehmen als Security-Manager zu arbeiten. Da kannst du erste Erfahrungen sammeln ohne gleich X Zertifikate besitzen zu müssen und bist direkt in die Zertifizierungsprozesse des Unternehmens involviert bzw. leitest diese an. D.h. du bereitest das Unternehmen darauf vor, dass es im Endeffekt die Anforderungen des Auditors erfüllt. Dadurch siehst du dann erstmal die praktische Seite dessen, was die Auditoren dann nur noch in der Theorie zu Gesicht bekommen. Du etablierst also Geschäftsprozesse und Workflows in den verschiedenen Abteilungen, erstellst die Dokumentationen, hilfst den IT-Teams die notwendigen Technologien einzubringen und Anforderungen wie Netzwerktrennung, Mandantentrennung, Verschlüsselung etc. praktisch umzusetzen uvm.. Ich mache sowas aktuell und finde, dass es der bessere Einstieg ist als die pure Theorie der Auditoren-Jobs, die ja doch in erster Linie Berater/Consultant sind. Dadurch kannst du dann später als Auditor auch besser einschätzen welchen Zeitaufwand Unternehmen XY in etwa aufbringen muss um eine Zertifizierung zu erreichen und kannst auch praktische Tipps basierend auf deiner Erfahrung geben. Ausserdem kannst du dir so auch gleich die ein oder andere Weiterbildung sichern und dir ein entsprechendes fachliches Netzwerk aufbauen, da du z.B. für Zertifikate wie "Certified Cloud" vom TÜV das Unternehmen auch mit entsprechenden Fachverbänden und Interessengruppen vernetzen musst. Die dabei aufgebauten Kontakte kannst du später dann natürlich auch für andere Jobs nutzen.
 
Ich bin im Moment in der (glücklichen) Position, mir einen Arbeitgeber auszusuchen. Nachdem ich bereits vieler Zusagen eine Absage erteilte, bleiben noch zwei offen. Beide im selben Haus auf der selben Etage, der eine Berät, der andere Zertifiziert. Mir liegt der Zertifizierungsprozess mehr, obwohl ich auch menschlich gut verkaufen kann (wird mir jedenfalls ständig von Menschen aus meinem Umfeld gesagt).

In der Mathematik lernt man ja, sich dauerhaft (über Wochen 24/7) mit Problemen auseinander zu setzen und die komplexesten Strukturen zu untersuchen. Natürlich hat man dabei relativ wenig Kontakt zu Menschen. Diese analytische Problemlösung ist definitiv eine meiner Stärken und ich selber sehe sie eher in einer Zertifizierungsstelle als nützlich. Natürlich hilft diese auch ein Organigramm vollumfänglich zuverstehen.

Ich selber sehe nur ein Problem in meinen Fähigkeiten, die für einen Zertifizierer sehr wertvoll wären: Ich besitze keine Zertifikate und auch kaum Wissen über notwendige Normen. Ich habe wohl einige Normen bereits gelesen, aber noch kein Audit in diese Richtung begleitet. Sowas wird aber definitiv noch folgen. Das Unternehmen müsste also in mich investieren, damit ich nicht nur theoretisch an Projekten arbeiten, sondern auch praktisch unterstützen kann. Da ich nun etwas freie Zeit habe, würde ich mich eben gerne vorbereiten und einen Plan erstellen, was ich wo und in welchem Umfang lernen kann. Quasi einen "Einarbeitungsplan".

@Bitmuncher: Dein Vorschlag ist in jedem Fall ein sinnvoller Ansatz und egtl. eine anstrebenswerte Einarbeitung.

@Beere: 5 Jahre sind ein sehr langer Zeitraum. In dieser Zeit werde ich vermutlich nur Audits begleiten und evtl. an Protokollen/Berichten mitwirken. Auch von dem Zusatz "ernstnehmen" gehe ich aus. Je weniger Erfahrung jemand hat, umso fehleranfälliger sind seine Aussagen.
 
Shalec, nimm dir die Zeit bis zum Arbeitsbeginn und mach Urlaub. Egal, ob du dich für die Beratung entscheidest, oder für diese ominöse Zertifizierungsposition, deren Unterschied zur Beratung mir noch nicht ganz klar ist: Du bist Uni-Absolvent und damit per se Junior, Jungspund, Anfänger, Trainee, Newbe, Noob, uvm. Das weiß auch das Unternehmen, das dich einstellen wird. Da erwartet man keine Zertifikate, keine Ausbildungen, kein spezielles Vorwissen, und insbesondere keine Entscheidungskompetenz. Das kommt (üblicherweise) alles von selbst, insbesondere wenn du dich nicht ganz dumm anstellst und das Unternehmen wirklich in dich investieren möchte, sprich die 5000€ selbst für dich in die Waagschale wirft.

Was dagegen erwartet wird ist Einsatz, Bereitschaft und Interesse. Das hast du aber nicht, wenn du ausgepowert aus der Uni kommst und sofort anfängst 50h Wochen zu schieben. Deswegen: Mach Urlaub! Fahr weg, gönn dir was. Dann hast du auch gleich was zum erzählen an der Kaffeemaschine, an der es oftmals nicht um Technik geht ;)

Und wenn du doch etwas im Urlaub zu lesen haben willst, bei Amazon gibt es haufenweise Bücher zu diesem Thema, z.B. IT-Sicherheitsmanagement nach der neuen ISO 27001: ISMS, Risiken, Kennziffern, Controls Edition <kes>: Amazon.de: Heinrich Kersten, Gerhard Klett, Jurgen Reuter, Klaus-Werner Schroder: Bucher (der <KES> Verlag ist normalerweise recht gut!).
 
Vielen Dank für die Ratschläge, aber die Mathematik war für mich eine stetige Entspannung :) Mir hat es von vorne bis hinten Spaß bereitet, und hätte ich keine eigene Familie, würde ich noch weiter studieren und weiterhin Arbeitsgruppen leiten. Wenn ich mir keine Gedanken um das Geld machen müsste, würde ich mein Wissen durch die Lehre weiter reichen und daran arbeiten neues Wissen zu generieren. Ich mag es nicht, wissenschaftlich mit Termindruck zu arbeiten. Wissenschaftlicher Fortschritt ist einfach nicht planbar. Manchmal dauert es wenige Minuten, bis man die richtigen Gedanken verbunden hat, manchmal einfach Wochen, Monate oder Jahre. Der russische Mathematiker, der ein Milleniumsproblem löste und auf den Preis verzichtet hatte, hat auch Jahrzehnte daran getüftelt, bis er den Durchbruch fand. So lange hätte ihn keine Universität unterstützt.

Dank meiner Uni und deren Vertrag mit Springer, kann ich sogar das von dir empfohlene Buch als *.{pdf,epub} gratis downloaden. :) Vlt sollte ich mir noch eine kleine digitale Bibliothek aufbauen, bevor mein Studentenstatus erlischt. :D
 
Vielen Dank für die Ratschläge, aber die Mathematik war für mich eine stetige Entspannung :)

Ging mir ähnlich mit meinem Job. Bis ich vor 2 Jahren durch eine Art Burnout (eher eine Blockade im Kopf) nach Jahren ohne richtigen Urlaub feststellen musste, dass das, was ich vermeintlich als Entspannung gesehen habe, für meinen Kopf purer Stress war, der sich nur sehr schleichend auswirkte. Ich kann daher nur davon abraten hochkonzentriertes Arbeit, selbst wenn sie noch so viel Spass macht, als Entspannung anzusehen. Für den Körper ist das nämlich ganz und gar keine Entspannung. Die Symptome, die er eigentlich durch den Stress zeigen würde, werden lediglich durch diverse "Glückshormone" überdeckt/unterdrückt. Bis das dann irgendwann nicht mehr funktioniert und der Kopf einfach abschaltet. Dann fallen dir einfachste Fachbegriffe nicht mehr ein, deine Konzentration erstreckt sich nur noch auf wenige Minuten usw.. Und spätestens dann stehen dir 6-8 Wochen Zwangsurlaub in einer Reha bevor. Glaub mir, ist nicht lustig, wenn der eigene Kopf nicht mehr das tut, was man von ihm gewohnt ist.

Also hör auf SB und mach mal Urlaub!
 
Zurück
Oben