数天前我写了一篇文章《ISO体系奇葩见闻录(二):CCAA某专家组组长脸丢大了》,简单说了一下CCAA(中国认证认可协会)某专家得谬论,然后遭到了一些网友得质疑,然后我就又写了一篇文章《ISO体系奇葩见闻录(四):CCAA某专家组组长脸丢大了(2)》,从专业理论上详细的驳斥了这位CCAA专家的谬论,而本篇文章,将从专业理论上集中回复网友质疑比较集中的问题。
网友观点一:所有风险评估都可以参考ISO 31000等方法进行实施,因此,ISO 22301风险评估和ISO/IEC 27001一样也并无不可。
回复网友:的确如此,在ISO 31000的标准中,的确明确了ISO 31000适用于各个层次(如决策层面,执行层面,项目层面)的风险评估,以及各个方面(如信息安全风险评估,质量风险评估,业务连续性风险评估)的风险评估,但是我们要知道,ISO 31000仅仅是一个框架,在利用ISO 31000实施风险评估的时候,需要根据实际情形,如具体风险管理层次(如决策层面,执行层面,项目层面),具体的风险管理领域(如信息安全,质量,业务连续性)等,来确定可操作的具体的风险评估方案,因此即使是利用ISO 31000来实施ISO 22301和ISO/IEC 27001所要求的风险评估,他们输出的风险评估资料是完全不一样的,更加不可能通用。包括还有网友提到其他风险评估方法,如SWOT,HACCP,LEC等,方法可以通用,但最终输出的资料是千差万别的。况且,这些CCAA专家的赫然写的信息安全风险评估,并不是业务连续性风险评估,而且书中的风险评估方法,并不是ISO 31000这种通用的风险评估方法,我们可以通过以下图片(书中截图),一眼就能看出,该方法是信息安全风险评估的特有方法,并不适合用于其他领域进行风险评估。
网友观点二:标准是一个框架,可以任意理解和实施,别死板和把标准学死了,因此这位CCAA专家没有错。
回复网友:首先我想说的是,不能把力求做到精准,满足标准的最基本要求,说成是死板,而对标准一知半解,甚至完全曲解,随便糊弄,随便忽悠,就是所谓的灵活。灵活是要基于事实,基于标准,在前一篇文章,我已经从专业上,基于标准驳斥了这位CCAA专家的荒谬绝伦了。
网友观点三:审核员都是混口饭吃的,过于较真过于追求专业会受到排挤。
回复网友:首先,我写的文章都是从专业和技术角度去写的,至于圆滑世故,不是我的文章所考虑的范围。其次,这位网友把专业和较真混淆在一起了,专业和较真是有本质区别的,追求专业并不意味着较真,而在审核员这行业,反而是不专业的经常较真。
