區別ISO認證與ISO合規
作者:Charles Denyer
企業容易混淆ISO認證和ISO合規,本文專家答疑解釋了兩者的區別,真正的ISO認證只能來自被認可的注冊員,而ISO合規滿足可以由任何多個措施來詮釋。
如今ISO認證(ISO certified)與ISO合規(ISO compliant)分別是什么?需要發布什么類型的報告來證明公司通過ISO 27002認證、或是證明公司滿足ISO 27002合規要求的問題使很多人不解。
究其答案。首先,ISO 27002標準的前身是由英國政府發布一套準則,其隨后進化為BSI標準(即BS7799),接著發展為ISO標準(ISO 17799)。ISO/IEC 27001標準是證實組織滿足要求的標準,然而重命名為ISO/IEC 27002的ISO/IEC 17799標準實際上才是恰當的***實踐。
通過ISO 27001‘認證’的公司需要經過認可機構要求的注冊過程,并由注冊員提供報告。這是一個漫長、耗時的過程,限于選擇的公司。當滿足ISO 27001‘合規’后,這可能意味著許多事情,例如CPA公司發布AUP(Agreed Upon Procedures,商定審查業務)報告表明你的公司是ISO合規滿足的,或是某個老道的ISO審計員進入你的組織來幫助你們滿足所有相關的ISO要求從而達到ISO合規遵從。
***,來自被認可的注冊員的ISO證書也能表示你們是ISO合規滿足的。被認證與合規滿足可能是一回事,但它們也可能是完全不同的兩件事。這取決于你們的需要、你們顧客的要求和其它附屬問題。這么說來,似乎更搞不清楚ISO認證和ISO合規滿足真正代表什么了。簡而言之,只要記住真正的ISO認證只能來自被認可的注冊員,而ISO合規滿足可以由任何多個措施來詮釋。
【編輯推薦】
責任編輯:Writer
來源:
TechTarget中國
