项目概述
ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。
ISO27001认证服务内容:
组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
ISO/IEC27001标准基于保密性、完整性和实用性三大原则,它要求企业识别自身的关键信息资产,进行风险评估,并采取系统化的控制措施来保护这些资产,内容覆盖以下方面:
|
1. 信息安全方针; |
6. 加密; |
11. 供应关系; |
证书有效期:ISO27001信息安全管理体系认证证书有效期3年,3年要多次接受机构的监督审核;3年后,组织要申请复审,重新注册获得证书。
ISO27001认证范围和周期
一、ISO27001认证费用
ISO27001根据受审核组织的员工数量、纳入审核范围的信息量、场所数量、组织与外界的关联、组织IT的复杂性等因素来区分收费。
ISO27001认证的总费用主要分为两大部分:咨询辅导费和认证机构审核费。
认证审核费用与企业的员工人数直接相关,由受认可的第三方认证机构收取,用于进行现场审核并颁发证书。以下是一个基于企业规模的参考费用区间表:
| 企业人员规模 (人) | 初次认证审核费参考范围 (人民币元) | 年度监督审核费参考范围 (人民币元) |
| 0-65 | 50,000 - 100,000 | 35,000 - 70,000 |
| 65-125 | 60,000 - 120,000 | 45,000 - 90,000 |
| 125-275 | 70,000 - 140,000 | 50,000 - 100,000 |
注:以上费用为审核费用参考,不包含咨询辅导、可能的整改及差旅支出
而咨询辅导费则浮动较大,取决于企业的现有基础、体系的复杂度和选择的咨询服务机构,通常包含从差距分析、体系建立、培训到协助迎审的全过程服务。
二、ISO27001认证周期
从零开始建立体系到最终通过认证,通常需要一个6至12个月的实施周期。这个时间主要取决于企业规模、范围的复杂性、现有管理基础以及资源投入程度。
整个周期大致可分为几个阶段:前期准备与差距分析(1-2个月)、体系设计与文件编制(1-2个月)、体系运行与内部审核(至少3个月)、最后是认证机构的两阶段现场审核(1-2个月)。
值得提醒的是,获得证书并非终点。证书有效期为三年,期间认证机构每年会进行一次监督审核,三年期满前需进行再认证审核,以确保体系的持续有效性
根据公司复杂度的不同,周期会略有浮动,一般情况下,办理认证需要三个月左右。如加急2个月可以拿证,具体取决于企业的基础条件,以及企业与咨询服务机构的配合程度。
ISO27001认证的适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。主要集中在以下几个行业:
- 半导体行业
- 软件开发行业
- 金融业和保险业
- 通讯行业
ISO27001认证的好处
ISO/IEC27001信息安全管理体系(ISMS)标准专注于每一个关键风险,识别组织可能面临的危险。
|
|
风险识别,降低组织信息安全风险。 |
|
|
提升组织信誉度,展示数据和系统的完整性。 |
|
|
提升组织专业形象及市场影响力。 |
|
|
提高员工道德水平,加强工作区域的保密性。 |
我们的优势
一、ISO/IEC27001解决方案
IT信息安全领域解决方案范围广泛:致力于为各行业机构提供全方位管理提升服务,内容包括: ISO/IEC27001信息安全管理体系、ISO/IEC20000信息技术服务管理体系、ISO/IEC27701隐私信息管理体系、ISO/IEC27017云安全控制措施管理体系、ISO/IEC27018公共云个人信息管理体系、CSA STAR云安全联盟信任保证注册体系等培训、认证和审核相关服务。
二、量身定制改善方案
基于多年认证经验及大量运营数据的积累,我们将结合智能数据分析平台和专业评估模型,识别组织运营风险,并提供量身定制的改善方案,助您持续改进和提升,以实现商业目标。
ISO27001认证步骤
一、具体内容
步骤1 : 签订服务合同
步骤2 : 根据组织的规模及业务类型提供定制化的建议,在您签署建议书后,服务咨询即可开始。
步骤3 :提供可选择的针对准备情况与薄弱环节的“预审”服务。
步骤4 :正式审核。第一阶段:准备情况评估:对组织建立的文件化体系及其他重要体系进行评估,提出不符合项。
步骤5 : 第二阶段:包括与工作人员面谈、文件化信息的检查以及对工作实践的现场考察,提出审核发现。审核合格后会机构签发证书。
步骤6 : 根据合同,每半年或一年对管理体系实施进行监督审核服务。
步骤7 :首次认证审核3年期满后,实施再认证审核。
二、图示
ISO27001认证机构
选择一家权威、专业的认证机构至关重要。在中国,所有的认证机构都必须经中国国家认证认可监督管理委员会批准,其颁发的证书才能在国内有效。
国际知名的认证机构包括 BSI、SGS、TÜV、AFNOR 等。这些机构在全球范围内拥有广泛的认可度,对于有出海业务或跨国客户的企业尤为重要。
在选择时,企业可以考察机构在自身所属行业的审核经验、审核员的专业水平、服务口碑以及所提供的增值服务(如培训、研讨会等)。与潜在机构进行深入沟通,了解其审核方法和流程,是做出明智选择的关键一步。
-
ISO/IEC 27001信息安全管理体系认证
-
