之前辅导一家企业的ISO/IEC 27001信息安全管理体系的换版,结果认证机构的审核老师,拿着ISO/IEC 27002标准,一条一条核对要企业拿资料过来审核,不知道那里来的这样的奇葩的审核机构和审核老师。
ISO/IEC 27001从来就没有要求企业一定要做到这样的一个程度,所以管控措施不是越多越好,需要平衡信息安全风险,企业业务,以及企业能够投入的资源。
如果信息安全管控措施过多,会给企业带来两大弊端:一是造成资源浪费,二是阻碍正常业务的开展。阻碍业务开展,这个不必多说,做过信息安全的,都能够感受到。再来看浪费资源,有人拿ISO/IEC 27002里面列出的所有措施来作为审核依据,我想说的是,就算企业每年拿出几千万预算添置基础设施,再参照品质部门,配置一两千信息安全专职人员,也不可能完全达到ISO/IEC 27002要求。
有些奇葩认证审核机构,奇葩审核员,还振振有词,什么最佳实践,还最佳实践呢,这都是什么年代的说法了。凡是ISO/IEC 27002不离口,就基本可以断定是不懂装懂,到处吹嘘的那类人。离了ISO/IEC 27002就啥也不会了。
使用ISO/IEC 27002逐条逐条核对审核,犯了两个严重的审核错误,首先是审核依据错误,实际新版的附A已经简化很多,就是让企业有更多的是发挥空间,更不要说拿ISO/IEC 27002作为审核依据,简直是贻笑大方。第二个审核方法错误,不是拿着标准要资料,而是要去了解企业业务,再看风险,再看企业是否有做控制,至于控制措施的多寡,详简,要综合风险,业务和企业自身的资源等进行综合考虑,才能做出判断,而不是不去了解企业业务,直接ISO/IEC 27002让企业提供资料。这种审核员一看就不合格,连最基本审核素养都没有。这种机构真该好好加强审核员培训了,免得误人误己。
然后我查了一下这家机构,果然是同一家奇葩机构,10年前就碰到了这家奇葩认证机构,当时是审核ISO 14001和OHSAS 18001(ISO 45001),当时他们的审核老师不去现场审核,不去访谈部门负责人,不去了解具体工作等,坐在会议室吃吃喝喝,打屁聊天,然后就是死盯着EHS目标,内审,管理评审,环境因素,危险源,法律法规这些不放,而且还拿着最近几年的资料,在那比对来比对去,而且听说据说每次审核都盯着这些资料看,这个有经验的审核老师,基本上一眼就扫过了,这些资料有啥好看的。我当时真的想一人一脚踹过去。
10年后的今天,ISO/IEC 27001又碰到了这家奇葩机构,果然都是一路奇葩货色,能力和素养,跟另外几家外资机构的审核员真的没法比。发现每次还喜欢搅到企业人家内部纠纷中去。
