ISO体系奇葩见闻录(三):某四大的两个骗子顾问

admin 2025年5月5日13:49:53评论1 views字数 2165阅读7分13秒阅读模式

点击上方蓝色字“Sky的安全观”关注我们

ISO体系奇葩见闻录(三):某四大的两个骗子顾问

资料交流,请私“加群”

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集(共42篇)

ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)

ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)

ISO 22301: 2019 标准详解与实施合集(共38篇)

ISO 9001: 2015 标准详解与实施合集(共45篇)new!

ISO 14001: 2015 标准详解与实施合集(共26篇)new!

ISO 45001: 2018 标准详解与实施合集(共30篇)new!

>>更多精彩合集,敬请期待<<

ISO/IEC 27001: 2022 换版不求人

ISO/IEC 27001: 2022 咨询辅导服务内容

华为供应链信息安全审核应对方案

华为供应链网络安全审核应对方案

独家:ISO/IEC 27001: 2022全新文件提供和指导

某天,在公司办公区域的走廊,遇见了当时的领导,就聊起了当时正在做的ISO/IEC 27001的咨询项目,当时某“四大”的两位咨询顾问也正坐在会议室里。因为聊起了这个项目,我就问了领导对这个项目的看法,谁知道他脱口而出,并指着会议室的方向说,他妈的来的就是两个彻头彻尾的骗子,当时差点把我要笑死了,其实这个结果我早预料到了,当然也有意和无意跟领导透露过,只是领导不愿相信,或者对行业根本不了解,或者太迷信“四大”这种机构了。

当时领导去找顾问公司,几乎是背着我去找的,按正常逻辑的话,是不会这么去操作的,因为毕竟这块的工作主要还是由我在负责的,直到他们快要确定好了,我才知道这件事情的。当时我也知道领导小心思,他就是心里一直不服气,对我在信息安全管理体系这块懂得比他多,可能他心里面一直想不开。其实本身也不是多么复杂的一个事情,我是专门在ISO管理体系领域做了十几年,而他一直是做网络的,只是各有所长而已。

领导找了四大过来做咨询,本以为可以收获很多,甚至可以一下子超越我,笑死了,我其实早已跟他交流了很多次了,也说了ISO管理体系没有那么简单,学习2年才能勉强入门,可是他偏偏就是不信。

所以,项目做到中间,他自己都能看出了上当受骗了,才说来的就是两个骗子,因为他们提供的辅导,是远远比不上我们之前自己内部制定和沟通的方案,内部自己编写的文件,内部自己做的相关资料等,纯粹只是带了两张嘴过来。

因此,领导对我说完来了两个骗子之后,自己也打算丢下项目逃跑了,说自己明天要去住院了。我想他会跑掉,一是原本想学东西的愿望落空了,二是觉得项目做的没有想象的好,要有烂尾的节奏了,趁机跑路吧。

这个项目要是当时没有我在,后来帮助进行补救,恐怕真的要像其他很多企业的ISO/IEC 27001咨询项目一样烂尾。

ISO/IEC 27001咨询项目烂尾,主要是涉及两个方面,一是体系文件,二是风险评估,这两个方面也是ISO/IEC 27001信息安全管理体系搭建的核心内容。当时,体系文件,基本上我都编写好了,如果没有的话,就只能用他们的那套模板,这个懂得都懂,基本上在体系文件这块就算烂尾了。

至于风险评估,根本就没有辅导进行做这块,所以在认证审核的时候,差点第一阶段都没有通过,另外内部审核,信息安全目标,也没有辅导做这些,后面都是补做了一些勉强通过了第一年的认证审核。像这些风险评估,内部审核,信息安全目标这些关键资料没有的话,我肯定知道是没法通过审核的,全是重大不符合。但当时,对于这个项目,我的话语权有限,也有太多的狗屁倒灶的事情,说多了反而惹人厌,所以当时我什么也没说。

如果没有后面的补救,第二个核心资料,就是风险评估的资料,也是要烂尾了。第二年,拿着集团总部和其他事业部的已经做好的信息安全风险评估方案(包括培训教材,以及已经做好的风险评估资料),重新补救了风险评估这块的资料。

所以说,不想把ISO/IEC 27001咨询项目搞成烂尾,企业一定要仔细挑选咨询机构和咨询顾问,因为在这个领域,这种项目烂尾的是占绝大多数的。不想被坑,不想烂尾,可以阅读文章:《ISO/IEC 27001 认证咨询避坑必知:咨询项目的四个层次》

※※※原创文章,未经许可,严禁转载,侵权必究※※※

ISO体系奇葩见闻录(三):某四大的两个骗子顾问

>>ISO标准过程和文件清单<<

ISO 9001: 2015 过程和文件清单
IATF 16949:2016 过程和文件清单
GB/T 23001: 2017 两化融合管理体系过程和文件清单
ISO/IEC 27701: 2019 过程和文件清单
ISO/IEC 27001: 2022 过程和文件清单
ISO 22301: 2019 过程和文件清单
ISO 14001 和ISO 45001 过程和文件清单
ISO/IEC 42001: 2023 过程和文件清单
ISO 50001: 2018 过程和文件清单

ISO/IEC 20000-1: 2018 过程和文件清单

ISO/SAE 21434: 2021过程和文件清单

ISO 22000: 2018 过程和文件清单

ISO 13485: 2016 过程和文件清单

ISO 37301: 2021 过程和文件清单new!

GB/T  29490 — 2023 过程和文件清单new!

>>更多精彩清单,敬请期待<<

ISO体系奇葩见闻录(三):某四大的两个骗子顾问
#ISO体系#咨询#四大#审核#职场故事#认证

原文始发于微信公众号(Sky的安全观):ISO体系奇葩见闻录(三):某“四大”的两个骗子顾问

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月5日13:49:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ISO体系奇葩见闻录(三):某四大的两个骗子顾问http://cn-sec.com/archives/4029585.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息