安全合规/ISO--7--没有请外部咨询，我们通过了27001/27017/27018年审

本文链接：https://blog.csdn.net/wutianxu123/article/details/92409416

2019-06-16

是的，没错。我们在没有请外部咨询顾问的情况下，通过了ISO 27001/27017/27018的年审。

并且我是这次年审项目的主导人。

ISO 27000系列是很严谨的安全合规体系，它要求达到近乎变态的程度。如果要完整严格的实现该体系中的所有要求，那企业必须在人力、物力、财力、时间上有相当大的投入才可以。然而大多企业都持有ISO 27000系列的部分认证，使得ISO 27000系列认证看上去很简单。实际上，主要是因为大部分的审计公司并没有严格的落实，当然这是行业普遍的现象。如果在严格的要求下，应该没有几家管理宽松的互联网公司能达得到标准。

这次的年审也不能说是非常严格，只能说是比较严格，主要是行政人员恰好处于变动中，导致没有招待好外审老师吧……然而就是这比校严格，使得我们一伙人天天加班到深夜突击解决各种问题，在不断的深究下，我对ISO的认证也有了新的，更深入的认识。如果以后有机会再次主导ISO体系审核，我也能避开一些坑了。

背景

2018年第一次审计，请了两位外部咨询顾问，并且帮公司轻松拿到了资格认证（27001/27017/27018）。那时候我还没入职。

后来在2019年春节后，我中途接手了这个项目，大概是因为第一次通过的太简单太顺利了，这次公司没有请外部咨询顾问，打算让我们自己搞，以节省外部咨询成本。

同时还有GDPR、等级保护、CCPA之类的合规项目。于是在2019春节后，我全职做起了合规工作。

以下是这次的几点教训

1、关于外部咨询顾问

ISO 27000体系三年一重审，一年一复审。大公司通常有一个独立的专业的部门专门做合规工作，小公司显然不具备这样的团队，如果公司没有足够的精力和能力，那么这时候就非常建议请一个外部咨询顾问来帮忙。

咨询老师他就是做这个的，他知道这个事该怎么做。而作为非专业人员，硬成分我们可以模仿钻研，造出一个看上去一模一样的东西出来。但是它的原理，或者说是软成分，这是我们是学不来的，使得最后看上去一模一样的东西，我们做的总是有各种纰漏。这和国产航空发动机的研发历程是类同的。

正常第一次审计都会请外部咨询顾问，因为不会。第一次之后，公司自己人就可以跟着咨询顾问学到很多东西，以至于第二次就可以不请了，自己来搞。

这里需要注意的是，如果自己人没有完全吃透审计（包括审计流程、审计规则、审计要点等等各种），第二次还是建议继续合作的好。否则第一次审计顾问留下的坑，自己人有坑不知道、或者知道了找不到、或者找到了填不了，最终都是雷。

2、关于文档

ISO讲究所有的工作都要文档化，因而它有庞大的文档体系。需要说明的是，这几百个文档中，文档与文档之间是有关联的。就是说，如果一个Excel文档里面你修改了一个数据，假如是将YES修改为NO，那么会有很多文档里的内容都要随之改变，这样的点在整个文档体系中数不胜数，就算所有文档都是你写的，你也不一定能理得清楚这复杂的文档关联关系。这时候一个富有经验的外部咨询顾问的价值就体现出来了。

ISO审核的重点之一，就是文档体系建设，随便抽你一个问题，如果你在所有的关联文档中都是同步的，那就没问题；如果有关联文档中问题没同步，那就说明工作做的不到位！ISO会有很多这样的关联性问题，如果所有的问题都做到关联同步，需要花很大精力。

3、关于合规实际落地

合规落地时：公司一把手的明确表态支持是重中之重！ 公司一把手的明确表态支持是重中之重！ 公司一把手的明确表态支持是重中之重！

ISO落地实际上是有难度的，很复杂。但是并不影响它实际落地的意义。这方面国企做比较好，比如中国移动，进大门需要刷身份证，需要里面的人确认才可以打出进门单，每天有强制的出门时间，出门必须归还进门单，进机房需要多重验证手续……

ISO审核的重点之二，就是审核落地情况，例如27001，会实际检查公司员工的电脑开机密码复杂度，观察锁屏情况，检查杀毒软件安装情况等。因此，如果要通过ISO审核，那么ISO的合规内容就需要实际落地。在ISO安全体系的落地方面，除了得到公司一把手的明确表态支持，一个富有这方面经验的人是必要的，这个不用多说。

合规落地是一件非常伤感的事情，因为它非常枯燥，而且在互联网公司，尤其是中小公司，大家都宽松惯了，遇到突然到来的各种条条框框束缚，抵触感就很大，如果有高管抵触后（尤其是人力行政部高管），实际落地就是一个纸上谈兵的事情，费力不讨好，得罪人。几乎一个项目的所有的缺点它都占上了。弄这个的时候，我还开玩笑说：等把公司的人得罪个遍，我就可以离职撤了……