点击上方蓝色字“Sky的安全观”关注我们
资料交流,请私“加群”
>>ISO系列标准解读合集<<
ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)
ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)
ISO 22301: 2019 标准详解与实施合集(共38篇)
ISO 9001: 2015 标准详解与实施合集(共45篇)new!
ISO 14001: 2015 标准详解与实施合集(共26篇)new!
ISO 45001: 2018 标准详解与实施合集(共30篇)new!
>>更多精彩合集,敬请期待<<
独家:ISO/IEC 27001: 2022全新文件提供和指导
某天,在公司办公区域的走廊,遇见了当时的领导,就聊起了当时正在做的ISO/IEC 27001的咨询项目,当时某“四大”的两位咨询顾问也正坐在会议室里。因为聊起了这个项目,我就问了领导对这个项目的看法,谁知道他脱口而出,并指着会议室的方向说,他妈的来的就是两个彻头彻尾的骗子,当时差点把我要笑死了,其实这个结果我早预料到了,当然也有意和无意跟领导透露过,只是领导不愿相信,或者对行业根本不了解,或者太迷信“四大”这种机构了。
当时领导去找顾问公司,几乎是背着我去找的,按正常逻辑的话,是不会这么去操作的,因为毕竟这块的工作主要还是由我在负责的,直到他们快要确定好了,我才知道这件事情的。当时我也知道领导小心思,他就是心里一直不服气,对我在信息安全管理体系这块懂得比他多,可能他心里面一直想不开。其实本身也不是多么复杂的一个事情,我是专门在ISO管理体系领域做了十几年,而他一直是做网络的,只是各有所长而已。
领导找了四大过来做咨询,本以为可以收获很多,甚至可以一下子超越我,笑死了,我其实早已跟他交流了很多次了,也说了ISO管理体系没有那么简单,学习2年才能勉强入门,可是他偏偏就是不信。
所以,项目做到中间,他自己都能看出了上当受骗了,才说来的就是两个骗子,因为他们提供的辅导,是远远比不上我们之前自己内部制定和沟通的方案,内部自己编写的文件,内部自己做的相关资料等,纯粹只是带了两张嘴过来。
因此,领导对我说完来了两个骗子之后,自己也打算丢下项目逃跑了,说自己明天要去住院了。我想他会跑掉,一是原本想学东西的愿望落空了,二是觉得项目做的没有想象的好,要有烂尾的节奏了,趁机跑路吧。
这个项目要是当时没有我在,后来帮助进行补救,恐怕真的要像其他很多企业的ISO/IEC 27001咨询项目一样烂尾。
ISO/IEC 27001咨询项目烂尾,主要是涉及两个方面,一是体系文件,二是风险评估,这两个方面也是ISO/IEC 27001信息安全管理体系搭建的核心内容。当时,体系文件,基本上我都编写好了,如果没有的话,就只能用他们的那套模板,这个懂得都懂,基本上在体系文件这块就算烂尾了。
至于风险评估,根本就没有辅导进行做这块,所以在认证审核的时候,差点第一阶段都没有通过,另外内部审核,信息安全目标,也没有辅导做这些,后面都是补做了一些勉强通过了第一年的认证审核。像这些风险评估,内部审核,信息安全目标这些关键资料没有的话,我肯定知道是没法通过审核的,全是重大不符合。但当时,对于这个项目,我的话语权有限,也有太多的狗屁倒灶的事情,说多了反而惹人厌,所以当时我什么也没说。
如果没有后面的补救,第二个核心资料,就是风险评估的资料,也是要烂尾了。第二年,拿着集团总部和其他事业部的已经做好的信息安全风险评估方案(包括培训教材,以及已经做好的风险评估资料),重新补救了风险评估这块的资料。
所以说,不想把ISO/IEC 27001咨询项目搞成烂尾,企业一定要仔细挑选咨询机构和咨询顾问,因为在这个领域,这种项目烂尾的是占绝大多数的。不想被坑,不想烂尾,可以阅读文章:《ISO/IEC 27001 认证咨询避坑必知:咨询项目的四个层次》
※※※原创文章,未经许可,严禁转载,侵权必究※※※
>>ISO标准过程和文件清单<<
>>更多精彩清单,敬请期待<<
原文始发于微信公众号(Sky的安全观):ISO体系奇葩见闻录(三):某“四大”的两个骗子顾问
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论