在五一假期的时候,我发布了一篇文章《ISO体系奇葩见闻录(二):CCAA某专家组组长脸丢大了》,结果有很多网友提出了质疑,也许是这篇文章对于一些细节写的不够详细,或许很多网友真的被这个CCAA的所谓专家带到沟里去了。因此这篇文章,将会对一些细节进行详细的描述,并从专业上论证这位CCAA专家的谬误。

该名CCAA(中国认证认可协会)的专家的身份,是中国认证认可协会(CCAA)某专家组组长,同是又是CCAA从业人员学习平台讲师。在该专家编写出版的有关ISO 22301书籍中,荒谬绝伦的将业务连续性风险分析,理解为信息安全风险评估(如下图,书中截图)。

通过以上图片,我们可以很明确的看到,这位CCAA专家赫然写的是信息安全风险评估,而不是ISO 22301所要求的业务连续性风险分析。而信息安全风险评估是ISO/IEC 27001所要求的内容。ISO/IEC 27001是关注重要信息资产的安全属性被破坏的风险,而ISO 22301是关注优先活动(或关键活动,或重要活动)和其所依赖的资源的中断风险,ISO/IEC 27001和ISO 22301所要求的风险评估是有本质的区别的。

ISO体系标准的各个条款也不是孤立的,他们是由相互联系的。ISO/IEC 27001所要求的信息安全风险评估(8.2),是为了后面输出信息安全风险处置计划(8.3)而做的准备,而ISO 22301所要求的风险评估(8.2.3),是为了后面输出连续性策略和解决方案(8.3)而做的准备。因此,如果按照这位CCAA专家的书中所写,去做信息安全风险评估,后面的连续性策略和解决方案根本就无法做出来。

所以说,CCAA这个专家错的太离谱了,直接把ISO 22301所要求的业务连续性风险评估,当作了信息安全风险评估,这也导致了现在很多审核员,和很多企业,也是这样认为的。