【干货|新版】ISO/IEC 27001: 2022标准详解合集(共42篇)
【干货|独一份】ISO/IEC 27001: 2013标准解读合集(共47篇)
【干货|独家】ISO/IEC 20000-1: 2018 标准详解与实施(共48篇)
【干货|独家】ISO 22301: 2019 标准详解与实施合集(共38篇)
【全新视角】ISO 9001: 2015 标准详解与实施合集(共45篇)
【全新视角】ISO 14001: 2015 标准详解与实施合集(共26篇)
【全新视角】ISO 45001: 2018标准详解与实施合集(共30篇)
独家服务:ISO/IEC 27001: 2022全新全套文件提供和使用指导
ISO/IEC 27001: 2022 换版不求人 | ISO/IEC 27001: 2022 咨询辅导服务内容
华为供应链信息安全审核应对方案 | 华为供应链网络安全审核应对方案
之前以我的经历就感觉,如今把ISO 22301的业务连续性风险分析,当成ISO/IEC 27001的信息安全风险评估,就已经很普遍了,于是我便对此写了几篇批判性的文章(如《ISO体系奇葩见闻录(五):CCAA某专家组组长脸丢大了(3)》),果然验证这个现象的确普遍了,如下图:
把ISO 22301的业务连续性风险分析,当成ISO/IEC 27001的信息安全风险评估,要是只是为了认证拿证书是没有问题的,如果想要落地,想要通过ISO 22301发挥一些实质性的作用,是不可能的,因为这样做,等于ISO 22301就基本废掉了。
如今这种情形真的很普遍了,但也真是错的荒谬绝伦,造成的原因无非有三:
(1)某协会的专家本身就不专业,搞忽悠,忽悠了一大批注册审核员,进而影响了一大批企业;
(2)某些做咨询的,根本也没理解标准,也根本没有实际操作过,找了一些本身错误的模板就纯搞忽悠,进而也影响了一大批企业;
(3)有些企业负责这块的,为了避免麻烦,为了省事,可能确实也不专业,也无从下手,就忽悠领导,忽悠公司,反正认证审核的时候审核员也是这样认为的,或者他们找的咨询顾问也是这么教的。
