问:ISO认证(ISO certified)与ISO合规(ISO compliant)分别是什么?必要公布什么范例的陈诉来证明公司通过ISO 27002认证、或是证明公司满意ISO 27002合规要求?
答:起首,ISO 27002尺度的前身是由英国当局公布一套准则,其随落伍化为BSI尺度(即BS7799),接着生长为ISO尺度(ISO 17799)。ISO/IEC 27001尺度是证明构造满意要求的尺度,然而重定名为ISO/IEC 27002的ISO/IEC 17799尺度现实上才是适当的最佳实践。
通过ISO 27001‘认证’的公司必要颠末承认机构要求的注册历程,并由注册员提供陈诉。这是一个漫长、耗时的历程,限于选择的公司。当满意ISO 27001‘合规’后,这大概意味着很多事变,比方CPA公司公布AUP(Agreed Upon Procedures,约定检察业务)陈诉评释你的公司是ISO合规满意的,或是某个老道的ISO审计员进入你的构造来资助你们满意全部相干的ISO要求从而到达ISO合规服从。
末了,来自被承认的注册员的ISO证书也能表现你们是ISO合规满意的。被认证与合规满意大概是一回事,但它们也大概是完全差别的两件事。这取决于你们的必要、你们主顾的要求和别的隶属题目。这么说来,彷佛更搞不明白ISO认证和ISO合规满意真正代表什么了。简而言之,只要记着真正的ISO认证只能来自被承认的注册员,而ISO合规满意可以由任何多个步伐来解释。