ISO27001认证，到底该谁来“扛事儿”？

很多人一聊ISO27001，第一反应是：“找家咨询公司，交钱、填表、等发证”——结果审核一来，发现流程卡壳、责任模糊、部门推诿，连《适用性声明》都签不齐。其实，ISO27001不是一张纸，而是一套“责任落地”的机制。搞不清谁该干啥，再好的体系也容易变成墙上挂的流程图。

老板不是签字员，而是“第一责任人”

标准里白纸黑字写着：最高管理者要“确保信息安全方针得到建立和维护”，并“分配职责与权限”。换句话说，不是让IT主管背锅，也不是让行政盖个章就完事。老板得亲自参与管理评审、批准信息资产清单、拍板风险处置预算。在九蚂蚁陪跑过的几十家企业里，凡是一把手真坐进ISMS启动会的，后续推进效率平均快40%以上。

IT部不是“包办管家”，而是“技术守门人”

常有客户问：“我们IT人少，能不能让咨询老师直接写SOP？”不行。制度可以帮着梳理，但操作记录、日志留存、访问控制配置这些，必须由实际运维的人执行并留痕。比如防火墙策略谁审批？U盘外带谁授权？这些动作背后的责任主体，必须映射到岗位说明书里——九蚂蚁做差距分析时，第一件事就是拉出组织架构图，把每条控制项“钉”到具体角色上。

每个员工都是“安全接口点”

别小看前台小姐姐收快递登记、销售同事传客户合同、财务导出报表……这些日常动作，全在A.8（资产管理）、A.9（访问控制）、A.16（事件管理）的覆盖范围内。我们给某制造企业做意识培训时，专门用他们真实的邮件截图演练钓鱼识别——当员工突然意识到“我删错附件可能触发重大事件报告”，责任意识才真正从纸面落到指尖。

说到底，ISO27001不是外包出去的项目，而是组织能力的一次“责任校准”。你在哪一层卡住了？是管理层没露面？还是跨部门协作没接口人？欢迎聊聊你现在的堵点——九蚂蚁不卖模板，只帮你把责任“分得清、落得实、查得到”。