ISO体系奇葩见闻录（三）：某四大的两个骗子顾问

某天，在公司办公区域的走廊，遇见了当时的领导，就聊起了当时正在做的ISO/IEC 27001的咨询项目，当时某“四大”的两位咨询顾问也正坐在会议室里。因为聊起了这个项目，我就问了领导对这个项目的看法，谁知道他脱口而出，并指着会议室的方向说，他妈的来的就是两个彻头彻尾的骗子，当时差点把我要笑死了，其实这个结果我早预料到了，当然也有意和无意跟领导透露过，只是领导不愿相信，或者对行业根本不了解，或者太迷信“四大”这种机构了。

当时领导去找顾问公司，几乎是背着我去找的，按正常逻辑的话，是不会这么去操作的，因为毕竟这块的工作主要还是由我在负责的，直到他们快要确定好了，我才知道这件事情的。当时我也知道领导小心思，他就是心里一直不服气，对我在信息安全管理体系这块懂得比他多，可能他心里面一直想不开。其实本身也不是多么复杂的一个事情，我是专门在ISO管理体系领域做了十几年，而他一直是做网络的，只是各有所长而已。

领导找了四大过来做咨询，本以为可以收获很多，甚至可以一下子超越我，笑死了，我其实早已跟他交流了很多次了，也说了ISO管理体系没有那么简单，学习2年才能勉强入门，可是他偏偏就是不信。

所以，项目做到中间，他自己都能看出了上当受骗了，才说来的就是两个骗子，因为他们提供的辅导，是远远比不上我们之前自己内部制定和沟通的方案，内部自己编写的文件，内部自己做的相关资料等，纯粹只是带了两张嘴过来。

因此，领导对我说完来了两个骗子之后，自己也打算丢下项目逃跑了，说自己明天要去住院了。我想他会跑掉，一是原本想学东西的愿望落空了，二是觉得项目做的没有想象的好，要有烂尾的节奏了，趁机跑路吧。

这个项目要是当时没有我在，后来帮助进行补救，恐怕真的要像其他很多企业的ISO/IEC 27001咨询项目一样烂尾。

ISO/IEC 27001咨询项目烂尾，主要是涉及两个方面，一是体系文件，二是风险评估，这两个方面也是ISO/IEC 27001信息安全管理体系搭建的核心内容。当时，体系文件，基本上我都编写好了，如果没有的话，就只能用他们的那套模板，这个懂得都懂，基本上在体系文件这块就算烂尾了。

至于风险评估，根本就没有辅导进行做这块，所以在认证审核的时候，差点第一阶段都没有通过，另外内部审核，信息安全目标，也没有辅导做这些，后面都是补做了一些勉强通过了第一年的认证审核。像这些风险评估，内部审核，信息安全目标这些关键资料没有的话，我肯定知道是没法通过审核的，全是重大不符合。但当时，对于这个项目，我的话语权有限，也有太多的狗屁倒灶的事情，说多了反而惹人厌，所以当时我什么也没说。

如果没有后面的补救，第二个核心资料，就是风险评估的资料，也是要烂尾了。第二年，拿着集团总部和其他事业部的已经做好的信息安全风险评估方案（包括培训教材，以及已经做好的风险评估资料），重新补救了风险评估这块的资料。

所以说，不想把ISO/IEC 27001咨询项目搞成烂尾，企业一定要仔细挑选咨询机构和咨询顾问，因为在这个领域，这种项目烂尾的是占绝大多数的。不想被坑，不想烂尾，可以阅读文章：《ISO/IEC 27001 认证咨询避坑必知：咨询项目的四个层次》

※※※原创文章，未经许可，严禁转载，侵权必究※※※

ISO体系奇葩见闻录（三）：某四大的两个骗子顾问