「互联网」公司因为申请 ISO27001 而限制程序员外网访问，大家怎么看？

公司是做 SaaS 的，一直以来挺扁平化，网络访问也比较自由。公司也一直宣称自己是开放，自由的「互联网」企业。

最近可能是为业务需要，想通过 ISO270001 认证，也成立了专门的负责小组。现在据说是为了合规，引入了深信服对员工的网络访问行为加以控制。

限制员工网络访问行为是 ISO270001 的必要条件吗？ Amazon 和 Google 似乎都有 ISO270001 认证的，应该也没有限制员工访问外网吧。
深信服行为控制系统似乎名声不太好，除了限制访问一些网站以外，好像对 IM 也是可以监视的。
虽然现在有办法突破限制，但是我觉得这和公司一直宣扬的开放，自由的企业文化是格格不入的，心里总是不太舒服。

对于这种行为，大家怎么看？