之前在某一家企业负责信息安全相关的工作,突然有一段时间,体系部门的几位同事,经常过来询问和索要信息安全风险评估的相关资料。后来才知道,原来那段时间,他们在应对ISO 22301的认证审核。

虽然ISO/IEC 27001和ISO 22301都有风险评估的要求,但是这两者的风险评估是不一样的,审核老师审核ISO 22301,却索要ISO/IEC 27001风险评估的资料,更是错的离谱。谁知道后面,又遇见了更离谱的事情。

后来,因为想深入地学习一下ISO 22301,就购买了一本相关地书籍。这本书籍的作者,是中国认证认可协会(CCAA)某专家组组长,同是又是CCAA从业人员学习平台讲师。

在这本书中,竟然在讲解ISO 22301风险评估的时候,离谱地错将ISO/IEC 27001风险评估的那一套资料(如下图,书中截图)写到书中了,当时一看到简直是笑死了,一眼看上去,就是ISO/IEC 27001的风险评估,根本不是ISO 22301所要求的风险评估。

这也就无怪乎,很多企业,很多审核员,都把ISO 22301和ISO/IEC 27001这两者的风险评估混淆在一起了,原来的罪魁祸首是CCAA的专家,这回脸丢大了吧,简直是误人子弟。