企業(yè)通過ISO27001認證予以相應的補貼是政府鼓勵企業(yè)通過企業(yè)獲得國際認證，這是提升國內服務外包企業(yè)整體形象的有力途徑，也是企業(yè)獲得更多的外包業(yè)務的有力條件之一。但是ISO27001信息安全管理體系(ISMS)認證當前在某些企業(yè)成了名副其實的面子工程。對于標準認證這點，可能是很多從事國際國內認證標準的專業(yè)人士心頭的痛，ISO9001質量體系認證在國內的情況就是一個例子。對國際標準認證認識的誤區(qū)無疑將影響認證產業(yè)的健康發(fā)展，同時也讓企業(yè)對國際標準的作用產生的懷疑甚至輕視。造成這種局面，體制、文化等方面因素在此我就不多做分析，這本身比較復雜，也不是本文的出發(fā)點，我想還是從管理體系標準自身的特點來看，目前當前國際上大部分的管理體系標準都源自于英國標準，而這些管理體系的核心思想是PDCA(Plan,Do,Check ,Act)的流程方法，PDCA模型本質是改進模型而不是狀態(tài)模型，認證公司給企業(yè)頒發(fā)ISO27001認證證書的最低標準是該企業(yè)是否已經建立了PDCA的改進體制以及相配套的制度和流程，而不是這家企業(yè)的信息安全防范水平已經達到了某個等級。這不同于給學生授予優(yōu)秀學生稱號是以該學生德智體達到某個要求，而不是該學生相比自己的過去有進步就行了。
　　PDCA循環(huán)又名戴明環(huán)，威廉.愛德華.戴明上個世紀五十年代提出的，主要為解決問題的過程提供一個簡便易行的方法。1950年，戴明到日本擔任產業(yè)界的講師及顧問，其間大力推廣企業(yè)在持續(xù)改善的過程中運用PDCA循環(huán)，這個方法重塑了日本產業(yè)制度，塑造了風靡世界的日本企業(yè)管理模式。
　　對于認證的這個誤區(qū)，我們把眼光投到我們的鄰國日本就明白我們真的錯了。PDCA方法在日本的成功，我們完全有理由相信，PDCA是企業(yè)服務質量持續(xù)改善的良好方法。
　　3. 對“信息安全”管理體系認識不足
　　信息安全管理體系(ISMS)遵循流程的方法，這與其他管理體系，比如在國內廣泛實施的質量管理體系是一致的，都是按照PDCA的大的流程來運轉和維護管理體系。而對于外包公司來說，由于企業(yè)沒有復雜的IT應用系統(tǒng)和龐大的復雜網絡設施，另外一個也是從成本考慮到角度，一般情況下企業(yè)的IT人員的配備不足，技術力量有限。特別是對于軟件外包公司來說，為了軟件開發(fā)的需要，在建立信息安全管理體系(ISMS)之前很多軟件企業(yè)通過CMMI的認證來提升企業(yè)軟件開發(fā)的能力，以獲得發(fā)包企業(yè)對其開發(fā)能力的認可，因此，這些公司都由質量管理部按照CMMI的要求監(jiān)控和審核軟件開發(fā)質量，人力資源相對比較充足，因此，企業(yè)從整合管理體系節(jié)約成本的角度出發(fā)，信息安全管理體系(ISMS)也是由質量管理部推動、管理與維護。這本來也無可厚非，每個企業(yè)都有自身的管理水平，人員技能等或這或那的問題，外包企業(yè)也是如此。殊不知，信息安全管理體系(ISMS)其管理的對象是企業(yè)的信息安全風險，而信息安全風險有其專業(yè)特性，應該由企業(yè)內部IT條線的專業(yè)人員負責識別、評價和采取對應的控制措施。質量管理部盡管在體系維護方面經驗比較多，但是缺乏的就是對信息系統(tǒng)，網絡設備的技術特性的了解。（安信達咨詢m.znojukyf.cn）
　　正確對待這個問題的辦法應該是在綜合考慮外包公司現(xiàn)有情況下，質量管理部履行信息安全管理體系(ISMS)的管理工作，制定和頒布信息安全策略，而IT 部門執(zhí)行信息安全策略，IT部門識別和評價信息安全風險，并提出對應控制措施以及解決方案，質量管理負責審核方案。
　　大力發(fā)展服務外包產業(yè)，加速我國產品結構升級，完成從“世界工廠”到“世界服務”的華麗轉變，這是我國產業(yè)發(fā)展的大局，而對于國內的服務外包公司來說，如何更好適應這個大勢，使企業(yè)具有更強競爭力，必要途徑之一是在信息安全管理方面，服務外包企業(yè)要切實正確認識信息安全，切實提升企業(yè)的信息安全管理水平。

相關文章：

從PDCA的角度來建立ISO27001體系 ISO27001信息安全管理體系如何落到實處 信息安全與ISO27001國際標準 ISO27001 信息安全基本方針（實例）