iT邦幫忙

1

ISO 27001改版輔導顧問公司推薦

  • 分享至 

  • xImage

各位邦友們好~~
  目前個人在台北市的資訊公司擔任MIS職務,公司已有導入ISO 27001版本為:2013,由於此版本必須要在2025年10月升至2022版,因為主管覺得之前導入時所找的顧問公司不夠專業,所以指示我要再評估其他的顧問公司來輔導協助我們。

  相信有很多強者邦友們的公司都已經完成轉版,請問是否有適合的顧問公司可以推薦?謝謝~~

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
Ray
iT邦大神 1 級 ‧ 2024-04-26 13:34:32
最佳解答

先問: 你覺得它們不夠專業的地方有哪些?

因為這個感覺很主觀, 有些公司可能只想做個樣子, 顧問講太詳細它們也不想聽;
有些公司雖然想要做得很深入, 但顧問誤以為他們只要做樣子, 就可能會講不夠.

所以要先拉齊雙方的認知和目的, 才能知道怎麼選?
A 公司覺得很好的顧問, B 公司用起來可能覺得很爛.

也有那種野雞顧問, 跟驗證公司串好, 全程都做假資料, 掩護過關;
結束取證之後, 公司的人還是不知道每天的流程該怎麼做?

然後地區也有很大影響, 你請南部的顧問來北部公司做, 費用一定會提高.

看更多先前的回應...收起先前的回應...
sam0407 iT邦大師 1 級 ‧ 2024-04-26 14:36:23 檢舉

雷神大您好,您說的我都能理解,但因為導入時我也還不在這家公司,主管又是行政會計出身,所以他說感覺對方不專業,我也只好狗腿的這樣說:"難怪我們現在ISO作的這麼好!據我的經驗,顧問公司強,我們就會依赖就會弱;顧問公司弱,我們就得自立自強~~"

前面第一句雖然是狗腿,不過後面的經驗我是說認真的,也有可能到時候雖然我找到真正專業的顧問,最後又被主管一句感覺打了回票,但凡走過必留下痕跡,未來還是有機會合作的

行政會計出身說ISO 27001的顧問不專業?那你主管有CISSP還是ISO 27001主導稽核員證照嗎?自己聽不懂就說別人不專業?

sam0407 iT邦大師 1 級 ‧ 2024-04-26 14:52:09 檢舉

其實我接到這項任務的第一時間就是想到問雷神大有沒有接輔導顧問,有去再去查了您的主頁及FB雷神講堂社團,沒有查到才在這裡PO文詢問的~~

sam0407 iT邦大師 1 級 ‧ 2024-04-26 15:07:25 檢舉

Titan Cheng 我的主管的職掌是文件小組組長,負責稽核小組的另外一位主管聽說是有考過稽核員證照的,他們之間互動還滿好的,應該有交流過意見吧?

Ray iT邦大神 1 級 ‧ 2024-04-26 15:37:31 檢舉

我其實是跟輔導顧問合作的執行顧問:
ISO輔導顧問會教業主: 準備哪些:制度/文件/規範/流程, 才能通過 ISO 審查; 但是對於第一次接觸的業主, 或者本身 IT 能力不強的業主, 它們可能對於: 如何使用技術手段達到 ISO 內控目的, 無從下手.

而我們執行顧問此時就會進場, 教業主如何透過 IT 技術達到合規的內控? 或者判斷採用 IT 內控的成本是否過高? 可以改用行政手段來進行?

我們比較偏向: 幫客戶快速選擇和導入正確合規的 IT 技術, 同時又兼顧成本預算的經濟性. 由於 ISO 顧問只負責導入制度, 通常不負責導入科技, 所以我們會跟 ISO 顧問合作, 補上後面這段需要實作技術的部分.

但並不是每位業主都需要這樣的執行顧問, 像你們自己 IT 夠強的話, 說不定自己就知道該如何選擇控制技術? 又如你們先前已經導入過前一版的話, 其實有很多內控已經成形, 就比較不需要我們再重複進場協作執行的導入.

不過 2022 版跟前幾版有很大的差別, 在內控技術上也可能會花比較大的成本, 這點是你們在導入前要預先找好預算的.

會計主管覺得對方不專業, 可能他以前有稽核或審計的經驗, 從這個角度看導入顧問, 一定會覺得它們不是這行的人, 因為導入顧問只是負責告訴你: 需要那些管理制度? 但實際上的內稽內控, 還是要你們自己去設計.

主管的誤會可能在於: 他以為導入顧問會幫妳們設計好內稽內控制度, 但其實業界的導入顧問都不會管這塊, 如果要做, 需要另外談費用, 而且一般小家顧問公司也不願意接, 通常需要四大會計師, 或是跟妳們有合作的會計事務所的風控部門出來接. 因為這必須對你們的內部作業流程有深入的了解才能做.

我的感覺是, 你們自己的能力應該足夠實作執行面, 找導入顧問也沒問題; 真的沒把握想要有第三方介入幫你們管理取證之前的執行, 再來找我聊聊, 這裡不方便工商, 不過我相信你應該有辦法聯繫到我.

因為這個費用也不低, 能擠得出預算的公司也不多(通常都自家人做掉了), 覺得有疑問可以先在這裡發問看看.

你們先前是哪一家輔導導入的?

Jesse HO iT邦好手 1 級 ‧ 2024-04-27 09:19:03 檢舉

先訪談 再選商
有四大顧問 有個體戶顧問
了解公司需求才是輔導重點(有多少預算要做?
導入會增加那些費用預估?

sam0407 iT邦大師 1 級 ‧ 2024-04-29 10:22:55 檢舉

Jesse HO 我們也是想先訪談再選商,所以我才先問一下邦友的建議,四大顧問公司我們公司應該請不起。

至於預算,我的主官應該是會在和廠商訪談後才會和高層報告這次升版的費用問題

Jesse HO iT邦好手 1 級 ‧ 2024-05-02 22:47:31 檢舉

轉版整併(非刪除)很多控制措施,
但4-10本文並未異動。
以下為增加在新版的控制措施,
就目前您單位資訊安全維運上,
對新版來說是否要增加內控、程序、量測等措施?
可用新增的部分與顧問討論可施作的程序做法以利外部稽核驗證。

A5.7 威脅情資Threat Intelligence
A5.23 雲服務的資訊安全Information Security For use of Cloud Services
A5.30 資通訊技術營運持續整備ICT Readiness For Business Continuity
A7.4 實體安全監控Physical Security Monitoring
A8.9 組態管理Configuration Management
A8.10 資訊刪除Information Deletion
A8.11 資料遮罩Date Masking
A8.12 資料外洩防護Data Leakage Prevention
A8.16 監視活動Monitoring Activities
A8.22 網站過濾Web Filtering
A8.22 安全程式碼撰寫Secure Coding
sam0407 iT邦大師 1 級 ‧ 2024-05-03 13:31:04 檢舉

Jesse HO 感恩,您提供的資料對我很有幫助!謝謝~~

1
king183
iT邦見習生 ‧ 2024-04-27 19:37:26

南部地區私心推薦“創逸科技/禾振科技”
顧問對於驗證範圍內的控制措施規劃非常細心

輔導品質是比較出來的…執行者的心路歷程

sam0407 iT邦大師 1 級 ‧ 2024-04-29 10:11:40 檢舉

可惜我們在北部,還是謝謝您的推薦,南部有需要邦友們也可以參考看看喔~~

1
a940125
iT邦新手 5 級 ‧ 2024-04-28 00:51:10

應該可以找會計師事務所,例如勤業之類的,或是安稽應該也有在輔導轉版

sam0407 iT邦大師 1 級 ‧ 2024-04-29 10:24:03 檢舉

我們小公司應該是不會作這麼高貴的選擇...

我要發表回答

立即登入回答