体系认证

ISO27001信息技术安全管理体系认证的含义

ISO27001是国际标准化组织（ISO）制定的信息安全管理体系标准。ISO27001认证是指组织通过了ISO27001信息安全管理体系的评审，并获得了认证证书。该标准旨在帮助组织建立和实施一套能够确保信息资产安全的管理体系，保护机构的信息资产免受未经授权的访问、损坏、泄露和破坏。

ISO27001认证的流程通常包括以下步骤：

1.准备阶段：组织确定进行ISO27001认证的意向，并进行必要的准备工作，如了解标准要求、制定信息安全管理手册等。

2.风险评估：组织对其信息资产进行全面的风险评估，识别潜在的威胁、漏洞和风险，并制定相应的控制措施。

3.体系建立：组织根据ISO27001标准的要求，建立相应的信息安全管理体系，并进行内部审核以确保其符合标准要求。

4.认证审核：组织聘请认证机构进行审核，包括阶段一的文件审核和阶段二的现场审核。审核员将评估组织的信息安全管理体系是否符合ISO27001标准的要求。

5.认证决策：审核完成后，认证机构根据审核结果做出是否授予ISO27001认证的决定。

6.认证证书：如果组织通过了认证审核，认证机构将颁发ISO27001认证证书，标志着组织成功获得了ISO27001认证。

ISO27001认证的目的是确保组织的信息资产得到充分的保护，防止信息泄露、损坏和不当使用。它有助于提高信息安全管理能力和应对风险的能力，增强组织的信誉和可信度。ISO27001还促进与客户、供应商和其他利益相关者之间的合作和信任，特别是在涉及信息安全的交易和合作中。

ISO27001认证资料清单：

1、营业执照、公司其他各类资质文件

2、信息安全管理手册、适用性声明、信息安全策略

3、程序文件

4、管理体系运行记录

5、需上报资料

（1）有效版本的管理体系文件（方针、目标、管理体系范围等）

（2）营业执照（副本）或机构成立批文的原件复印件；

（3）相关资质文件的原件复印件（法律法规有要求时）；

（4）产品或服务质量标准清单；

（5）生产/服务流程图；

（6）组织机构图；

（7）认证场所清单；（适用于有多个相同或类似场所的情况，如分公司、分厂、项目部、服务点等）

（8）原认证机构颁发的有效认证证书及认证周期内的历次审核报告、不符合项报告及整改资料；（适用于认证转换）

（9）客户信息化建设情况说明，包括：

（a）机房数量及所在物理位置；

（b）服务器数量及用途说明；

（c）网络设备的架设和设置情况说明，如：路由器、交换机、硬件防火墙、IDS等；

（d）客户使用的信息系统有哪些，自主开发和第三方开发的分别有哪些；

（e）客户的网站维护情况；

（f）网络拓扑图。

6、客户的关键特征（包括：客户的职能部门和相关职责、ISMS范围内的角色和职责描述，以及其与组织结构的关系

7、风险评估报告

8、适用性声明

ISO27001认证费用

ISO27001认证的费用因认证机构、企业规模、认证范围等因素而异。通常，ISO27001认证的费用包括以下几个方面：

1. 审核费用：认证机构会根据企业的质量管理体系情况，对其进行审核，并收取一定的审核费用。

2. 培训费用：如果企业的质量管理体系需要进行改进，认证机构可能会要求企业参加培训，并收取一定的培训费用。

3. 文件编制费用：企业需要编写符合ISO27001标准要求的质量管理体系文件，并提交给认证机构审核，可能需要支付一定的文件编制费用。

4. 认证费用：认证机构会根据企业的质量管理体系情况，对其进行认证，并收取一定的认证费用。

总体来说，具体费用取决于企业的情况。企业在申请ISO27001认证前，应该了解认证机构的收费标准，并根据自身情况进行评估和决策。