关于ISO27001认证

信息安全管理(ISO27001 Information security management system)要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。它与信息技术服务管理体系标准认证（又称为ISO20000认证）合称为信息双认证。

BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001认证之后的效益

1、通过定义、评估和控制风险，确保经营的持续性和能力

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任

3、通过遵守国际标准提高企业竞争能力，提升企业形象

4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失

5、建立安全工具使用方针

6、谨防技术诀窍的丢失

7、在组织内部增强安全意识

8、可作为公共会计审计的证据

ISO27001认证流程：

管理体系相关认证的流程基本一致，企业申请时不需要特别记录。流程一般包括：

提交申请、签订合同和交预付款；初审（第一阶段审核/文件审查，第二阶段审核/现场审核）；认证决定；结算费用，注册发证；每年的监督审核（次数略有不同）；证书期满后的再认证等环节。

ISO27001认证申请条件：

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。 

2、申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立，并实施运行3个月以上。 

3、至少完成一次内部审核，并进行了管理评审。 

4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

ISO27001认证资料清单：

认证组织需要提交的基本资料有：

(1)　申请认证的组织名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式；

(2)　认证类型；

(3)　认证依据；

(4)　体系覆盖的人数；

(5)　根据业务、组织、位置、资产和技术等方面的特性所确定的ISMS的范围和边界，包括对任何范围、删减的详细说明和正当性理由；

(6)　经营场所、分场所、临时场所以及各场所从事的活动等；

(7)　服务器数量、终端数量、用户的数量；

(8)　适用性声明、资产列表；

(9)　保密协议、信息安全敏感区域的声明；

(10)　提供咨询服务机构和人员信息；

(11)　关于认证活动的限制条件（如出于安全和/或保密等原因，存在时）。

除此以外，申请信息安全管理体系认证的企业还需提交一些辅助资料，如支持信息安全管理体系的规程和控制措施；风险评估报告（含风险评估方法的描述）等。

ISO27001认证报价：

可能产生的费用，包括初次认证费用（申请费、审核费、注册费等）、监督审核费用（审核费、年金等）、再认证费用（申请费、审核费、注册费等）。

费用多少要看评审工作的复杂程度等因素进行核算。如：初评、监督、复评与扩大认可领域、扩大业务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活动所发生的费用等。

ISO27001认证证书样本：