ISO27001是什么？

ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过多年的不断改版，在2005年被国际标准化组织（ISO）转化为正式的国际标准ISO27001：2005，并在2013年9月份改版为ISO27001：2013。该标准可用于企业的信息安全管理体系的建立和实施，保障企业的信息安全。该标准采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

信息安全相关标准包括ISO27001、ISO27002、ISO27003、……等一系列标准，其中进行认证时主要用到ISO27001、ISO27002。ISO27001规定了对认证的一些强制要求，ISO27002规定了具体的信息安全实施指南，是对ISO27001的有效补充。

ISO27001认证是怎么回事？

国际标准化组织（ISO）发布ISO27001标准后，世界各国即开展了对该标准的认证工作。中国国家质量监督检验总局把ISO27001：2005标准转化为国标GB/T 22080-2008，并于2008年正式发布。2013年ISO27001国际标准改版后，中国也等同采用，并在2016年推出了国标GB/T22080-2016。在中国开展认证工作的第三方认证机构均需在中国认证认可监督管理委员会备案，第三方认证机构名单可以在中国国家认证认可监督管理委员会官方网站查询。目前获得权威认可的ISO27001认证证书有三类，分别为：中国合格评定国家认可委员会CNAS认可标志、美国认证机构国家认可委员会ANAB认可标志、英国认证机构国家认可委员会UKAS认可标志。取得相应认证的企业将由第三方认证机构颁发带有以上相应标志的证书。

没有获得任何权威认可机构认可的认证机构颁发的证书不得带有认可标志，因此证书的公信力将降低。ISO27001证书有效期3年，3年后需要重新审核进行换证。3年内每年都需要第三方认证机构监督审核，否则证书将被暂停使用。

实施ISO27001需要多长时间才能获得认证？

中国国家认证认可监督管理委员会要求在信息安全管理体系发布实施3个月后才能进行第三方机构正式审核。一般情况下企业从启动ISO27001项目到获得证书大概6个月左右即可。如果时间着急也可以紧急处理！

实施ISO27001的费用是多少？

实施ISO27001的费用一般由两部分构成，咨询费和认证费。咨询费主要根据实施的周期长短以及咨询顾问投入的工作量来定；认证费是相对比较固定的，主要是审核费用以及证书申请、证书注册、证书年金的费用。审核工作量根据企业人数来定，人数越多，审核工作量越多，审核费用也越高。每个企业实施ISO27001的费用并不固定，因为咨询主要是传授知识和经验，知识和经验的价值是不好确定的，因此企业实施ISO27001的费用要和咨询公司谈判确定。

从什么时候开始就可以准备启动ISO27001认证项目？

企业可以从计划取得证书的时间倒推。一般从提出认证申请到认证机构安排审核要间隔一个月左右。一阶段审核结束后才可安排二阶段审核，二阶段审核结束到颁发证书还需要1~2周左右时间，因此应至少提前1个月向认证机构提出审核申请。按照第8个问题中的实施周期可以推出企业启动ISO27001项目的时间。

如果企业对获得证书的时间没有要求，完全从加强企业信息安全的角度考虑，任何时候启动都是可以的，一般当企业感觉到信息安全方面出现了问题，或者希望提高信息安全意识和管理能力，则需要考虑启动ISO27001项目。

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。