[Q&A] 07 ISMS程序书是谁的功课?

资讯安全管理制度运行过程中，会对即有的企业或机构文化带来一定的冲击。

顾问领进门，修行在个人，当主管的位子够高、够不尊敬顾问……累积下来的黑评够厚也是会被纪录下来的。

当顾问提供了范本、教学、也一次次的在会议前後空挡讨论、调整……此时企业或机构不想努力了(不学、不作功课)，可以选择放弃国际资格认证，或者由顾问及稽核员审查在不考虑费用的前提下，不限次数的请外稽审查、矫正、再审查...直到通过为止。

如果发生了下图模拟情境，表示执行人员及主管完全不在状况内，企业或机构内部授权机制并没有上达下效，建议方案如下:

热血资安人版本:找顾问另约专案进度讨论会议(请顾问出马讲解、厘清问题)会後每项行动压上 Due Data ，请执行人主管协调部门资源，确保专案执行人可如期完成阶段性目标。

佛系资安人版本:不检讨专案进度、不追专案必要文件、也不要求专案执行品质，时间到了自然就会取得 ISO 27001 国际认证。

PS:

1. 市面上有部份资安顾问服务，号称可帮客户代写程序书的服务，但…说写做一致的审查对象是客户，最终制度的维运也是客户自已。
2. 企业的求生慾与资安制度落实完成度成正比，不想努力的时侯其实可以考虑躺平（放弃）。