ISO体系奇葩见闻录（四）：CCAA某专家组组长脸丢大了（2）

在五一假期的时候，我发布了一篇文章《ISO体系奇葩见闻录（二）：CCAA某专家组组长脸丢大了》，结果有很多网友提出了质疑，也许是这篇文章对于一些细节写的不够详细，或许很多网友真的被这个CCAA的所谓专家带到沟里去了。因此这篇文章，将会对一些细节进行详细的描述，并从专业上论证这位CCAA专家的谬误。

该名CCAA（中国认证认可协会）的专家的身份，是中国认证认可协会（CCAA）某专家组组长，同是又是CCAA从业人员学习平台讲师。在该专家编写出版的有关ISO 22301书籍中，荒谬绝伦的将业务连续性风险分析，理解为信息安全风险评估（如下图，书中截图）。

通过以上图片，我们可以很明确的看到，这位CCAA专家赫然写的是信息安全风险评估，而不是ISO 22301所要求的业务连续性风险分析。而信息安全风险评估是ISO/IEC 27001所要求的内容。ISO/IEC 27001是关注重要信息资产的安全属性被破坏的风险，而ISO 22301是关注优先活动（或关键活动，或重要活动）和其所依赖的资源的中断风险，ISO/IEC 27001和ISO 22301所要求的风险评估是有本质的区别的。

ISO体系标准的各个条款也不是孤立的，他们是由相互联系的。ISO/IEC 27001所要求的信息安全风险评估（8.2），是为了后面输出信息安全风险处置计划（8.3）而做的准备，而ISO 22301所要求的风险评估（8.2.3），是为了后面输出连续性策略和解决方案（8.3）而做的准备。因此，如果按照这位CCAA专家的书中所写，去做信息安全风险评估，后面的连续性策略和解决方案根本就无法做出来。

所以说，CCAA这个专家错的太离谱了，直接把ISO 22301所要求的业务连续性风险评估，当作了信息安全风险评估，这也导致了现在很多审核员，和很多企业，也是这样认为的。