ISO27001是什么？

ISO27001是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。最初源于英國(guó)標(biāo)準(zhǔn)BS7799，經(jīng)過(guò)多年的不斷改版，在2005年被國(guó)際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn)ISO27001：2005，并在2013年9月份改版為ISO27001：2013。該標(biāo)準(zhǔn)可用于企業(yè)的信息安全管理體系的建立和實(shí)施，保障企業(yè)的信息安全。該標(biāo)準(zhǔn)采用PDCA過(guò)程方法，基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的信息安全管理。

信息安全相關(guān)標(biāo)準(zhǔn)包括ISO27001、ISO27002、ISO27003、……等一系列標(biāo)準(zhǔn)，其中進(jìn)行認(rèn)證時(shí)主要用到ISO27001、ISO27002。ISO27001規(guī)定了對(duì)認(rèn)證的一些強(qiáng)制要求，ISO27002規(guī)定了具體的信息安全實(shí)施指南，是對(duì)ISO27001的有效補(bǔ)充。

ISO27001認(rèn)證是怎么回事？

國(guó)際標(biāo)準(zhǔn)化組織（ISO）發(fā)布ISO27001標(biāo)準(zhǔn)后，世界各國(guó)即開(kāi)展了對(duì)該標(biāo)準(zhǔn)的認(rèn)證工作。中國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)總局把ISO27001：2005標(biāo)準(zhǔn)轉(zhuǎn)化為國(guó)標(biāo)GB/T 22080-2008，并于2008年正式發(fā)布。2013年ISO27001國(guó)際標(biāo)準(zhǔn)改版后，中國(guó)也等同采用，并在2016年推出了國(guó)標(biāo)GB/T22080-2016。在中國(guó)開(kāi)展認(rèn)證工作的第三方認(rèn)證機(jī)構(gòu)均需在中國(guó)認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)備案，第三方認(rèn)證機(jī)構(gòu)名單可以在中國(guó)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)官方網(wǎng)站查詢。目前獲得權(quán)威認(rèn)可的ISO27001認(rèn)證證書有三類，分別為：中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)CNAS認(rèn)可標(biāo)志、美國(guó)認(rèn)證機(jī)構(gòu)國(guó)家認(rèn)可委員會(huì)ANAB認(rèn)可標(biāo)志、英國(guó)認(rèn)證機(jī)構(gòu)國(guó)家認(rèn)可委員會(huì)UKAS認(rèn)可標(biāo)志。取得相應(yīng)認(rèn)證的企業(yè)將由第三方認(rèn)證機(jī)構(gòu)頒發(fā)帶有以上相應(yīng)標(biāo)志的證書。

沒(méi)有獲得任何權(quán)威認(rèn)可機(jī)構(gòu)認(rèn)可的認(rèn)證機(jī)構(gòu)頒發(fā)的證書不得帶有認(rèn)可標(biāo)志，因此證書的公信力將降低。ISO27001證書有效期3年，3年后需要重新審核進(jìn)行換證。3年內(nèi)每年都需要第三方認(rèn)證機(jī)構(gòu)監(jiān)督審核，否則證書將被暫停使用。

實(shí)施ISO27001需要多長(zhǎng)時(shí)間才能獲得認(rèn)證？

中國(guó)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)要求在信息安全管理體系發(fā)布實(shí)施3個(gè)月后才能進(jìn)行第三方機(jī)構(gòu)正式審核。一般情況下企業(yè)從啟動(dòng)ISO27001項(xiàng)目到獲得證書大概6個(gè)月左右即可。如果時(shí)間著急也可以緊急處理！

實(shí)施ISO27001的費(fèi)用是多少？

實(shí)施ISO27001的費(fèi)用一般由兩部分構(gòu)成，咨詢費(fèi)和認(rèn)證費(fèi)。咨詢費(fèi)主要根據(jù)實(shí)施的周期長(zhǎng)短以及咨詢顧問(wèn)投入的工作量來(lái)定；認(rèn)證費(fèi)是相對(duì)比較固定的，主要是審核費(fèi)用以及證書申請(qǐng)、證書注冊(cè)、證書年金的費(fèi)用。審核工作量根據(jù)企業(yè)人數(shù)來(lái)定，人數(shù)越多，審核工作量越多，審核費(fèi)用也越高。每個(gè)企業(yè)實(shí)施ISO27001的費(fèi)用并不固定，因?yàn)樽稍冎饕莻魇谥R(shí)和經(jīng)驗(yàn)，知識(shí)和經(jīng)驗(yàn)的價(jià)值是不好確定的，因此企業(yè)實(shí)施ISO27001的費(fèi)用要和咨詢公司談判確定。

從什么時(shí)候開(kāi)始就可以準(zhǔn)備啟動(dòng)ISO27001認(rèn)證項(xiàng)目？

企業(yè)可以從計(jì)劃取得證書的時(shí)間倒推。一般從提出認(rèn)證申請(qǐng)到認(rèn)證機(jī)構(gòu)安排審核要間隔一個(gè)月左右。一階段審核結(jié)束后才可安排二階段審核，二階段審核結(jié)束到頒發(fā)證書還需要1~2周左右時(shí)間，因此應(yīng)至少提前1個(gè)月向認(rèn)證機(jī)構(gòu)提出審核申請(qǐng)。按照第8個(gè)問(wèn)題中的實(shí)施周期可以推出企業(yè)啟動(dòng)ISO27001項(xiàng)目的時(shí)間。

如果企業(yè)對(duì)獲得證書的時(shí)間沒(méi)有要求，完全從加強(qiáng)企業(yè)信息安全的角度考慮，任何時(shí)候啟動(dòng)都是可以的，一般當(dāng)企業(yè)感覺(jué)到信息安全方面出現(xiàn)了問(wèn)題，或者希望提高信息安全意識(shí)和管理能力，則需要考慮啟動(dòng)ISO27001項(xiàng)目。

華菱咨詢位于中國(guó)長(zhǎng)三角、珠三角、京津冀和西南地區(qū)地區(qū)，成立于 2001 年,專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項(xiàng)目咨詢以及相關(guān)教育訓(xùn)練的顧問(wèn)公司。公司已在北京、上海、杭州、廣州、深圳、合肥、江西、西安設(shè)立了分支機(jī)構(gòu)。

經(jīng)過(guò)20多年的發(fā)展與實(shí)踐沉淀，華菱咨詢將利用深厚的行業(yè)知識(shí)，幫助客戶把握新機(jī)遇，評(píng)估和管理風(fēng)險(xiǎn)，以實(shí)現(xiàn)負(fù)責(zé)任的增長(zhǎng)。華菱咨詢高績(jī)效的跨學(xué)科團(tuán)隊(duì)可幫助客戶滿足監(jiān)管要求，確?？蛻?/strong>及時(shí)了解信息并滿足利益相關(guān)者的需求。華菱咨詢將為客戶提供全面的端到端的服務(wù)，利用技術(shù)的進(jìn)步真正推動(dòng)業(yè)務(wù)的發(fā)展。

版權(quán)聲明：