耗费数月时间,对ISO/IEC 27701进行了一番钻研,包括将ISO/IEC 27701: 2019标准译成了中文以及书写了超过30万字的标准解读文章,然后给我的最大的感想是:ISO/IEC 27701比ISO/IEC 27001多了很多逻辑在里面,还有就是ISO/IEC 27701比ISO/IEC 27001有着更复杂的业务场景。

不管是ISO/IEC 27701,还是ISO/IEC 27001,在理解和实施的时候,其实都是离不开业务场景的。

其实现在大部分人,在理解和实施ISO/IEC 27001时候,都只是错把信息安全的业务场景局限在IT运维,所以这些人对于ISO/IEC 27001,还能以这种方式进行忽悠一下,但是要这些人去落地,肯定是不行的,因为落地就必须结合企业的所有业务场景而不是局限在IT运维。

而在面对ISO/IEC 27701的时候,抛开业务场景去忽悠,恐怕是很难的,因为ISO/IEC 27701很多要求,必须要有具体的业务场景才能理解,才能讲清楚,才能去实践和落地。