SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

ISO 27001 和信息安全管理体系:一个是考试标准,一个是日常功课

很多方案里说“我们做了 ISMS”,意思是建了一套安全管理体系;而说“通过了 ISO 27001”,意思是这套体系经过了外部审核认证。一套一直在跑但没有认证的体系也是 ISMS;一张挂在墙上但体系已经停转的证书只剩纸面价值。安全评审里混用这两个概念,会让各方对“到底做了什么”产生完全不同的理解。

寓言

一份证书和一间一直在运转的监控室

两所学校同时申请了安全教育示范校的资格。A 校花了三个月把安全制度全部修订一遍,请外部专家来检查了两天,拿到了一块金色牌匾挂在门厅。检查结束后,消防演练记录停在当月,访客登记本翻过一页就再没更新。

B 校没有那块牌匾,但他们的保安室常年有一套完整流程在运转。每天早晨检查监控探头、每季度更新应急联系人清单、每次大型活动前单独做风险评估。这些动作被印成值班表贴在墙上,班主任和后勤主管各有自己的检查清单。区里来抽查时翻记录本,能看到从开学到现在的连续登记。

区教育局组织了一次突击演练:模拟教学楼三层电路起火。A 校的教师按照半年前培训过的路线疏散,但三条路线有两条因为临时装修被封了,最近的灭火器锁在已经换锁的器材室里。B 校因为每个月排查一次逃生路线,装修期间提前画了新的疏散图贴在每个楼层,演练全程没有断点。

事后评估报告写得很克制:A 校的问题是,牌匾证明了当年某一天体系达到了标准要求。B 校没有牌匾,但每天的运行记录证明安全管理是一个活的日常动作,检查只是顺手看一下。

后来两校合并安全评估档案时做了统一命名:A 校那块牌匾上的编号对应的是 ISO 27001 认证——某一次审计通过的证明。B 校值班表、检查单和演练日志对应的是 ISMS——一个每天在运转的管理体系。

合并后的安全团队定了一条规则:证书只是告诉外部你可以信任这套体系,但体系本身必须独立于证书持续运行。审核之前突击补文件的日子被禁止了——如果平时不在跑的东西,拿到的证书就只是装饰。

三年后回头看,B 校也拿到了认证——但审计师来的时候甚至没开新项目,直接从现有的运行记录里抽检了三个月的数据就完成了审核。证书成了日常体系运行的自然副产品,而不是一个独立的目标。

ISO 27001

国际标准化组织发布的信息安全管理体系认证标准,规定了建立、实施、维护和持续改进 ISMS 的要求。

信息安全管理体系

组织内部建立的一套政策、流程、角色和控制措施,用于持续管理信息安全风险。ISO 27001 是评估 ISMS 是否合格的标准。

故事对应

  • A 校的金色牌匾:ISO 27001 认证证书,证明某次审计通过
  • B 校的值班表和每日检查清单:ISMS,日常运行的安全管理体系
  • 突击演练暴露 A 校体系停转:证书不等于体系在运行
  • B 校拿认证时通过日常记录直接通过:运行良好的 ISMS 让认证成为自然结果

落到 Soloharness 项目里

面对客户安全问卷时,把“已建立 ISMS”和“已通过 ISO 27001 认证”作为独立条目分别填写。前者列出持续运行的控制措施和检查周期;后者列出认证范围和有效期。如果体系在跑但还没认证,如实说明比混用概念更可信。安全审计中最大的扣分项往往不是没有证书,而是声称在运行的体系找不到连续记录。