ISO 27001 Lead Auditor
I just came back from a full week of training in Sierre (very nice valley in Switzerland, nice wine too). The courses made available from Veridion were quite intensive (around 600 slides, homework and exercises, and a 3 hours exam at the end) so I didn’t have too much time to visit and do tourism !
Anyway, I hope that I will succeed and get my certification to be a temporary ISMS auditor.
I’m sure most people don’t know that once you succeed, you are still not qualified to be a “real” auditor, as you have to assist a lead auditor a few times during audits, then pass some psychometric tests, then do several more audits as lead auditor under supervision… and only after this, you can say that you are a real lead auditor… We were told that there may not be more than 4 french speaking ISMS lead auditors worldwide. Not a lot indeed !!
I’ll say it in french too for non english readers : Quand vous voyez sur un CV de consultant “ISO 27001 Lead Auditor”… méfiez vous, il y a de fortes chances que ce ne soit qu’une accréditation temporaire. Il faut une fois les cours et l’examen passés, faire quelques audits sous supervision en tant qu’auditeur, puis passer des tests psychométriques, puis faire encore quelques autres audits en tant que lead auditor sous supervision… Il n’y a donc en fait que très peu de “vrais” lead auditors francophones (3 ou 4 si j’ai bien compris) dans le monde !!! Un bon moyen de vérifier et d’aller voir auprès du RABQSA et/ou de l’IRCA, organismes qui enregistrent les CV des auditeurs.
Apart from that, I apologize not being so responsive about the emails received and blog comments : My laptop IP stack was totally broken as I had tried to install new version of ActiveSync and wireless card drivers that totally messed up my registry keys and DLLs… During the week, most applications using networking (as VMware, but even OpenOffice) were sadly complaining that Windows Sockets were broken or not available… what a mess ;( So even if we had a WiFi access at the hotel - the receptionnist just wrote and held me a post-it with “the code”, which was simply the hotel phone number… poor security ! - I couldn’t even use it). Finally, yesterday evening I found a tool “WinsockxpFix.exe” which did the fix… Obviously I am not the only one having messed up my IP stack.
I now have to answer all my emails 
Have a nice weekend !
Bruno Kerouanton on janvier 19th 2008 in IT Security
S. responded on 19 jan 2008 at 11:23 #
Hello,
Le coup du 3 ou 4 en france, ca m’interesse de savoir comment trouver le vrai du faux…Car de plus en plus de consultant se veulent Lead Auditor….
Si tu as la réponse en Private
merci moult
Bruno Kerouanton responded on 20 jan 2008 at 19:16 #
J’étais moi-même étonné par ces chiffres… cependant quand on y réfléchit cela semble plausible : pour être lead auditor il faut avoir supervisé un audit 27001 de A à Z et géré une équipe d’auditeurs en même temps. A priori, vu le nombre de sociétés certifiés 27001 en France, il ne doit pas y avoir beaucoup de lead auditors francophones. Et même si on y ajoute les autres pays francophones on ne va pas très loin dans le décompte.
Donc je maintiens ce que je disais : “lead auditor sur le CV = méfiance !!!”. Auditeur à la rigueur, mais pas lead.
Paul responded on 22 jan 2008 at 9:48 #
Salut Bruno,
Toute petite correction : pour vérifier qu’un auditeur est bien lead audteur (…et qu’il ne s’agit pas d’une accréditation temporaire), il faut vérifier auprès du RABQSA et/ou auprès de l’IRCA.
Un auditeur peut choisir de s’enregistrer auprès d’un organisme ou de l’autre.
Bruno Kerouanton responded on 22 jan 2008 at 15:04 #
Merci pour la précision, tout à fait pertinente.
Il n’en reste pas moins que cela fait toujours peu !