回顧一下昨天說的4個思考方向:

1.老闆到底從哪聽來這個名詞的？他對ISO 27001知道多少。
2.衡量公司目前的營運現況需求。
3.衡量公司目前的資安管理現況。
4.衡量自己的工作內容。

首先，自己必須要先下功夫，去了解ISO 27001到底是什麼東西。由於Google大神的興起，這部分相信你只要花點時間查一查即可。懶人包的部分筆者應該也會整理在後面的文章裡，如果我有繼續寫下去的話，哈~~

反正，你絕對不可以比你老闆還不懂這個標準到底在幹什麼。當然，你也可以花點錢(不論是你公司出或者是自己出)，去外面上個ISO 27001的課程，這樣可以取得相關知識，還可以順便拿一張證照，也是不錯的方案。

既然老闆把公司是否要做驗證的評估交到手上，其實通常就是要做了，只是老闆想知道要花多少錢，要花大家多少時間。由於筆者個人一向都是正面積極看待交付的任務，所以在寫評估報告時，大部分會把優點寫得多一點。例如做ISO驗證內部可以提升公司的資安管理水平、強化同仁資安防護意識、降低資安風險；對外可以滿足法規部分要求(個資法、營業秘密法、GDPR....)、利害關係人如上游廠商業主的要求、客戶的信任度等，都是做驗證的過程中與結果"可能"可以達成的。

但是審視貴公司目前的資安管理狀況，包含內部典章制度、員工意識、技術設備等，這就是評估驗證專案所需要資源的關鍵要素。一間資安管理百廢待舉的狀態，跟一間水到渠成的公司，在驗證的難易度上真的會是天差地遠的困難?

其實不然。因為ISO 27001跟其他ISO標準的驗證上，有一個很大的不同點。就是驗證範圍的選定。

大部分國際標準的驗證，都是以全公司的活動做為檢驗範圍，ISO 27001是可以自己決定的!

也就是說，一間公司宣稱自己通過ISO 27001驗證，也許只是將公司100個系統裡，取一個文管系統當作驗證範圍。另一間公司，可能就真的是全公司導入。這種"有彈性"的驗證，造就台灣大大小小公司成功通過驗證的奇蹟~~