ISO27001不是数字化的门票，是数字化的刹车

ISO27001不是数字化的门票，是数字化的刹车

把这个问题拆开看，你就知道为什么很多企业“贯标贯得很别扭”。

两化融合、数字化转型、数字工厂、智能制造——这四个词，本质上是一件事的不同切面。

但大多数企业做ISO27001，跟做这些事是两张皮。

这边设备联网了，那边安全策略还是三年前的；这边上了MES，那边账号权限还是“谁要就给谁”；这边喊着数据驱动，那边连测试库脱敏都没做。

不是27001没用，是你贯标贯错了姿势。

一、先讲作用：ISO27001在数字化的四个阶段分别保什么

1. 两化融合阶段——保“连接不乱”

两化融合的核心是IT（信息技术）和OT（操作技术）打通。

以前车间是孤岛，现在设备联网、系统集成、数据上传。

这时候27001的作用是什么？不是防黑客，是防“接错线”。

• 设备该不该对外网开放？

• 供应商远程维护的账号，用完了关没关？

• 生产数据往ERP传，传的对不对、丢没丢？

两化融合失败的案例里，一半以上不是技术不行，是边界的权限没管住。

27001在这阶段的核心价值：给连接划红线。

2. 数字化转型阶段——保“数据可信”

数字化到了深水区，企业开始用数据做决策。

销售看转化率、生产看OEE、供应链看准时交付率。

但如果数据本身不可信，决策就是赌博。

• 数据被改过、被删过，你不知道。

• 数据传到一半丢了，你没发现。

• 数据源被人为“优化”了，你看不出来。

27001在这阶段的核心价值：不是把数据锁死，是保证数据从生成到分析，链条没断过。

数字化转型的底气，不是数据量大，是数据可信。

3. 数字工厂阶段——保“生产不停”

数字工厂的标准配置：MES、WMS、SCADA、AGV、机器人。

这些都是效率工具，但也是脆弱性集中营。

一台AGV中勒索病毒，整条线停半天；一套SCADA配置错误，工艺参数全乱。

数字工厂最大的风险，不是机器坏，是机器被人远程当傀儡。

27001在这阶段的核心价值：给自动化装“刹车”。

不是说不上自动化，是上了之后，失控的时候知道怎么停下来。

4. 智能制造阶段——保“供应链不崩”

智能制造的特征是产业链协同。

你接单，供应商同步排产；你改设计，模具厂同步改程序。

这时候信息安全不再是你一家的事。你漏了，整条链可能都断。

去年某头部企业供应链遭勒索，下游37家配套厂全部停摆，损失按天算。

27001在这阶段的核心价值：不是证明你安全，是证明你对上下游负责。

供应链安全的本质，不是筛选供应商，是绑定供应商。

二、再讲意义：27001不是数字化的“成本”，是“及格线”

很多企业老板算账的逻辑：

“我投设备、上软件，是能看见效率的。投安全，看见什么？”

看见的是不发生的那些事：

• 数据没丢

• 系统没瘫

• 客户没跑

• 监管没来

这不是成本，是不翻车的代价。

你开一条新产线，不会问“为什么要装急停按钮”。因为你知道，不是为了天天按，是为了该按的时候有。

数字化也是一样。

27001就是数字化的急停按钮。

三、接着说贯标路径：别从“文件”开始，从“资产”开始

大多数企业贯标走歪，是因为一上来就写文件。

写出来一堆制度，跟业务没关系，员工不看，审核员一眼看出是套模板。

正确的贯标路径，只有三步：

第一步：盘点家底（1-2周）

不是列资产清单，是把“没人管的东西”翻出来。

• 挂公网的测试站点

• 离职员工的遗留账号

• 外包商永久有效的VPN权限

贯标的第一仗，不是建体系，是清库存。

第二步：定谁管（2-3周）

信息安全最大的坑，是责任真空。

• 供应商权限该谁审？采购说归IT，IT说归采购。

• 员工离职账号该谁关？行政说归人事，人事说归IT。

27001落地的本质，不是把事做对，是把人定死。

一张表：每个控制项，唯一负责人，写进KPI。

第三步：跑起来（4-6周）

不用等所有文件写完再跑。

先定三条红线，跑三个月。

• 红线一：服务器密码每90天必须换，到期不改自动锁。

• 红线二：离职人员账号24小时内回收，超时算事故。

• 红线三：所有外发敏感文件，必须走审批留痕。

三条红线跑通，员工知道你来真的了。

这时候再补充文件，不是写给别人看的，是把已经做的事写下来。

四、最后讲方法：企业贯标的三个务实策略

策略一：不要把27001做成“独立项目”

挂进数字化项目里。

• 上MES？同步做账号权限梳理。

• 上SRM？同步做供应商安全准入。

• 上BI？同步做数据分类分级。

贯标的成本，不是单独花的，是顺手花的。

策略二：认证之前，先做一次“审计预演”

找没通过ISO27001的同行、客户、供应商，用他们的眼光看一遍自己。

• 他们最在意什么控制项？

• 他们被卡过什么问题？

• 他们觉得哪些证据“一看就是现补的”？

认证审核没有黑匣子。所有被卡的坑，都是别人踩过的。

策略三：产业链联合贯标（泉州特色）

南安水暖、晋江鞋服、安溪藤铁——泉州最典型的产业形态是集群。

一家核心企业贯标，逼着配套厂跟着做。配套厂没预算、没人力、没经验。

解决方案不是每家做一套，是一起做一套。

• 统一风险评估模板

• 共享供应商审计报告

• 分摊培训与演练成本

我们去年在南安试点的产业链联合审计，7家企业共担成本，总费用下降62%，审核结论互认。

这不是降本，是把原本“贯不起”的事，变成“贯得起”。

写在最后

企业做ISO27001，最怕两种心态：

一是当投标工具，拿完证就扔；
二是当玄学，觉得“我小厂，黑客看不上”。

前者浪费钱，后者赌运气。

数字化这条路，泉州企业绕不开。设备联网、数据驱动、产业链协同——每往前走一步，暴露面就多一层。

27001解决的不是“被黑客攻击了怎么办”。

解决的是“当你成为黑客的目标时，有没有准备过”。

福建艾索企业管理有限公司

泉州本地陪跑机构。
不替写文件，不包过。
只做三件事：帮你把资产翻出来、把人定下来、把红线划清楚。