資訊安全管理制度運行過程中，會對即有的企業或機構文化帶來一定的衝擊。

顧問領進門，修行在個人，當主管的位子夠高、夠不尊敬顧問……累積下來的黑評夠厚也是會被紀錄下來的。

當顧問提供了範本、教學、也一次次的在會議前後空擋討論、調整……此時企業或機構不想努力了(不學、不作功課)，可以選擇放棄國際資格認證，或者由顧問及稽核員審查在不考慮費用的前提下，不限次數的請外稽審查、矯正、再審查...直到通過為止。

如果發生了下圖模擬情境，表示執行人員及主管完全不在狀況內，企業或機構內部授權機制並沒有上達下效，建議方案如下:

熱血資安人版本:找顧問另約專案進度討論會議(請顧問出馬講解、釐清問題)會後每項行動壓上 Due Data ，請執行人主管協調部門資源，確保專案執行人可如期完成階段性目標。

佛系資安人版本:不檢討專案進度、不追專案必要文件、也不要求專案執行品質，時間到了自然就會取得 ISO 27001 國際認證。

PS:

1. 市面上有部份資安顧問服務，號稱可幫客戶代寫程序書的服務，但…說寫做一致的審查對象是客戶，最終制度的維運也是客戶自已。
2. 企業的求生慾與資安制度落實完成度成正比，不想努力的時侯其實可以考慮躺平（放棄）。