深圳ISO27001認證標準的周期和費用
日期:2019-01-06 人氣:167 分享:http://hf828885.com/a_234.html
內容摘要:深圳ISO27001認證標準的周期和費用ISO27001認證審核費用及周期:一、除了企業(yè)自身投入之外,ISO27001認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之 ...
深圳ISO27001認證標準的周期和費用
ISO27001認證審核費用及周期:
一、除了企業(yè)自身投入之外,ISO27001認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之后,認證機構會(huì )初步了解組織現狀,確定審核范圍,提出審核報價(jià)。認證機構的報價(jià)通常是根據其投入的時(shí)間和人員來(lái)確定的,決定因素包括:
1、受審核組織的員工數量;
2、納入審核范圍的信息量;
3、場(chǎng)所數量;
4、組織與外界的關(guān)聯(lián);
5、組織IT的復雜性;
6、組織類(lèi)型和業(yè)務(wù)性質(zhì)等。除了費用問(wèn)題,認證審核的周期通常也是組織比較關(guān)心的。
二、一般來(lái)說(shuō),從組織啟動(dòng)ISO27000建設項目開(kāi)始,到最終通過(guò)審核,至少要有半年時(shí)間(不包括獲取證書(shū)的時(shí)間)。
三、對于很多因為外部驅動(dòng)力而決心實(shí)施ISO27001認證項目的組織來(lái)說(shuō),提早進(jìn)行規劃是必要的。
ISO27001認證哪家機構更權威呢?認證是指由認證機構證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規范、相關(guān)技術(shù)規范的強制性要求或者標準的合格評定活動(dòng)。認證機構,是經(jīng)國家認證認可監督管理委員會(huì )(CNCA)批準可以在中國境內合法開(kāi)展管理體系認證和產(chǎn)品認證的專(zhuān)業(yè)機構。就是說(shuō)取得此項認證資質(zhì)的企業(yè)或單位才可以進(jìn)行審核活動(dòng)。比如BSI,DNV,北京新世紀認證有限公司,華夏認證中心有限公司等等,他們屬于認證機構。認證機構是經(jīng)CNCA授權的,認可機構管理認證機構。

ISO27001認證要求:ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這一標準中的編號系統和文件管理需求的設計初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來(lái)說(shuō),組織通常會(huì )使用為其ISO9000認證或者其他管理體系認證提供認證服務(wù)的機構,來(lái)提供ISO27001認證服務(wù)。正是因為這個(gè)緣故,在ISO27000體系建立的過(guò)程中,質(zhì)量管理的經(jīng)驗舉足輕重。但是有一點(diǎn)需要注意,一個(gè)組織如果沒(méi)有事先擁有并使用任何形式的管理體系,并不意味著(zhù)該組織不能進(jìn)行ISO27001認證。這種情況下,該組織就應當從經(jīng)濟利益考慮,選擇一個(gè)合適的管理體系的認證機構來(lái)提供認證服務(wù)。認證機構必須得到一個(gè)國家鑒定機構的委托授權,才能為認證組織提供認證服務(wù),并發(fā)放認證證書(shū)。大多數國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進(jìn)行ISO27000認證的機構均記錄在案。

企業(yè)推行ISO27001認證有哪些補貼政策?為了鼓勵服務(wù)外包企業(yè)(ITO,BOP,KPO),從中央到地方各級政府推出一系列針對ISO27001認證的鼓勵政策:商務(wù)部-服務(wù)外包企業(yè)財企[2011]69號--(四)對服務(wù)外包企業(yè)取得的開(kāi)發(fā)能力成熟度模型集成(CMMI)、開(kāi)發(fā)能力成熟度模型(CMM)、人力資源成熟度模型(PCMM)、信息安全管理(ISO27001/BS7799)、IT服務(wù)管理(ISO20000)、服務(wù)提供商環(huán)境安全性(SAS70)、國際實(shí)驗動(dòng)物評估和認可委員會(huì )認證(AAALAC)、優(yōu)良實(shí)驗室規范(GLP)、信息技術(shù)基礎架構庫認證(ITIL)、客戶(hù)服務(wù)中心認證(COPC)、環(huán)球同業(yè)銀行金融電訊協(xié)會(huì )認證(SWIFT)、質(zhì)量管理體系要求(ISO9001)、業(yè)務(wù)持續性管理標準(BS25999)等相關(guān)認證及認證的系列維護、升級給予支持,每個(gè)企業(yè)每年最多可申報3個(gè)認證項目,每個(gè)項目不超過(guò)50萬(wàn)元的資金支持。

ISO27000認證的意義:根據CSI/FBI的ComputerCrimeandSecuritySurvey2005中的統計,65%的組織至少發(fā)生了一次信息安全事故,而在這份報告中同時(shí)表明有97%的組織部署了防火墻,96%組織部署了防病毒軟件??梢?jiàn),我們傳統的信息安全技術(shù)手段并不奏效,信息安全現狀不容樂(lè )觀(guān)。實(shí)際上,只有在宏觀(guān)層次上實(shí)施了良好的信息安全管理,即采用國際上公認的最佳實(shí)踐或規則集等,才能使微觀(guān)層次上的安全,如物理措施等,實(shí)現其恰當的作用。采用ISO27000標準并得到認證無(wú)疑是組織應該考慮的方案之一。1、預防信息安全事故,保證組織業(yè)務(wù)的連續性,使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護,包括防范:l重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用;l重要業(yè)務(wù)所依賴(lài)的信息系統因故障、遭受病毒或攻擊而中斷。2、節省成本。一個(gè)好的ISO27000不僅可通過(guò)避免安全事故而使組織節省成本,而且也能幫助組織合理籌劃信息安全費用支出,包括:l依據信息資產(chǎn)的風(fēng)險級別,安排安全控制措施的投資優(yōu)先級;l對于可接受的信息資產(chǎn)的風(fēng)險,不投資安全控制。3、保持組織良好的競爭力和成功運作的狀態(tài),提高在公眾中的形象和聲譽(yù),最大限度的增加投資回報和商業(yè)機會(huì ),增強客戶(hù)、合作伙伴等相關(guān)方的信任和信心。ISO27000認證有助于組織節約信息安全成本,增強客戶(hù)、合作伙伴等相關(guān)方的信心和信任,提高組織的公眾形象和競爭力,有助于管理和保護組織寶貴的信息資產(chǎn)。

企業(yè)建立ISO27001認證有哪些步驟?不同的組織在建立與完善ISO27001信息安全管理體系時(shí),可根據自己的特點(diǎn)和具體情況,采取不同的步驟和方法??傮w上,建立ISO27001信息安全管理體系一般要經(jīng)過(guò)下列PDCA四個(gè)基本階段:Plan信息安全管理體系的策劃與準備;Do信息安全管理體系文件的編制;Check信息安全管理體系運行;Action信息安全管理體系審核、評審和持續改進(jìn)。