就算直接跟 user 要其他服務的帳號密碼然後存到 GCP，還是能過 ISO 27001 的樣子。

這到底是多鬆⋯⋯

也許能解釋成著重的方向不一樣吧。沒搞過 ISO 但搞過 CMMI，會做文件做到 PTSD。

比起工程面或許更多是看行政面

要看公司自己訂的規範有沒有這條
沒有禁止就會過了.....

ISO 27001 我之前有跟著跑一次
很多本來以為會被檢核的最後都沒檢查

因為公司故意規避....
相關的公司內部 ISO 規章不下明確禁止的東西，就不會有問題