对具有"软件设计开发"范围的企业进行ISO27001审核的思考

现在,有越来越多的软件开发公司开始实施ISO 27001认证。对于软件开发公司建立信息安全管理体系,重点要做什么?与其他行业的重要区别在哪里?在《GB/T 22080-2016 /ISO/IEC 27001: 2013信息技术-安全技术-信息安全管理体系-要求》(以下简称《ISO/IEC27001: 2013》)中没有明确说明,部分ISMS体系审核员认为,只要该软件开发公司有证据证明其对自己公司的信息资产进行了保护,就表明该公司的活动满足ISO 27001标准的要求,就可以推荐认证,不需要对该公司开发的软件产品的安全架构设计方面进行审核。