|
最近碰到了奇葩审核机构/奇葩审核员:ISO/IEC 27001从来就没有要求企业一定要做到这样的一个程度,所以管控措施不是越多越好,而是需要平衡信息安全风险,企业业务,以及企业能够投入的资源。 如果信息安全管控措施过多,会给企业带来两大弊端:一是造成资源浪费,二是阻碍正常业务的开展。阻碍业务开展,这个不必多说,做过信息安全的,都能够感受到。再来看浪费资源,有人拿ISO/IEC 27002里面列出的所有措施来作为审核依据,我想说的是,就算企业每年拿出几千万预算添置基础设施,再参照品质部门,配置一两千信息安全专职人员,也不可能完全达到ISO/IEC 27002要求。 有些奇葩认证审核机构,奇葩审核员,还振振有词,什么最佳实践,还最佳实践呢,这都是什么年代的说法了。凡是ISO/IEC 27002不离口,就基本可以断定是不懂装懂,到处吹嘘的那类人。离了ISO/IEC 27002就啥也不会了。 使用ISO/IEC 27002逐条逐条核对审核,犯了两个严重的审核错误,首先是审核依据错误,实际新版的附A已经简化很多,就是让企业有更多的可以发挥空间,更不要说拿ISO/IEC 27002作为审核依据,简直是贻笑大方。第二个审核方法错误,不是拿着标准要资料,而是要去了解企业业务,再看风险,再看企业是否有做控制,至于控制措施的多寡,详简,要综合风险,业务和企业自身的资源等进行综合考虑,才能做出判断,而不是不去了解企业业务,直接拿ISO/IEC 27002对照,让企业提供资料。这种审核员一看就不合格,连最基本审核素养都没有,简直是认证审核界的耻辱。这种机构真该好好加强审核员培训了,免得误人误己。 关于这个案例的更多细节,更多奇葩,以及讨论,以后在视频号专门进行专题直播。
https://www.27001.org.cn/1368.html
| 
