问：ISO认证(ISO certified)与ISO合规(ISO compliant)分别是什么？必要公布什么范例的陈诉来证明公司通过ISO 27002认证、或是证明公司满意ISO 27002合规要求？

　　答：起首，ISO 27002尺度的前身是由英国当局公布一套准则，其随落伍化为BSI尺度(即BS7799)，接着生长为ISO尺度(ISO 17799)。ISO/IEC 27001尺度是证明构造满意要求的尺度，然而重定名为ISO/IEC 27002的ISO/IEC 17799尺度现实上才是适当的最佳实践。

　　通过ISO 27001‘认证’的公司必要颠末承认机构要求的注册历程，并由注册员提供陈诉。这是一个漫长、耗时的历程，限于选择的公司。当满意ISO 27001‘合规’后，这大概意味着很多事变，比方CPA公司公布AUP(Agreed Upon Procedures，约定检察业务)陈诉评释你的公司是ISO合规满意的，或是某个老道的ISO审计员进入你的构造来资助你们满意全部相干的ISO要求从而到达ISO合规服从。

　　末了，来自被承认的注册员的ISO证书也能表现你们是ISO合规满意的。被认证与合规满意大概是一回事，但它们也大概是完全差别的两件事。这取决于你们的必要、你们主顾的要求和别的隶属题目。这么说来，彷佛更搞不明白ISO认证和ISO合规满意真正代表什么了。简而言之，只要记着真正的ISO认证只能来自被承认的注册员，而ISO合规满意可以由任何多个步伐来解释。