本文最后更新于 2023-02-05 11:02
ISO/IEC 27001与其他ISO管理体系标准的编制思路正好是相反的。现在最常见的ISO9001质量管理体系标准是在质量管理发展到一定阶段走向成熟后才出现的,而ISO/IEC 27001仅仅是在信息安全管理还处在摸索阶段,不成熟,没有系统性思维,没有顶层管理思维的情况下出现的信息安全控制措施最佳实践,后为了与ISO管理体系标准接轨才往ISO管理体系这一方向靠才出现的,也因此ISO/IEC 27001会与其他ISO管理体系标准显得不同,多出了一个附录A,这让ISO/IEC 27001显得脚重头轻,标准正文内容空虚,对组织缺乏顶层思维指导,而附录A属于底层执行的东西,却很多,一般企业又很难符合附录A的要求。所以也因此出现了一个特别有趣的现象,一般大厂在对供应商要求的时候,一般质量管理的要求会超越现在ISO 9001标准的要求,而信息安全管理的要求一般不会超越如今ISO/IEC 27001标准附录A的要求。
BACCP在编制的时候,完全抛弃了ISO/IEC 27001标准附录A所有内容,不是从底层实践往ISO管理体系方向去靠,而是一开始就采用ISO管理体系标准顶层设计思维,结合我多年信息安全实践经验和众多书籍、资料参考编制而成的。因此BACCP不会有附录A这种怪胎,也就对组织不会存在太多具体的要求,也不会有太多的限制,更能兼容今天信息安全众多模块和内容(如数据安全、隐私保护、工控安全、网络安全、道路车辆网络工程等)管理,更能体现ISO标准制订精神。
本文系作者 @baccp 原创发布在BACCP。未经许可,禁止转载。