2022年ISO27001體系認(rèn)證流程(ISO27001體系認(rèn)證費(fèi)用)

一、ISO27001企業(yè)信息安全管理體系認(rèn)證流程

1、認(rèn)證的準(zhǔn)備

在認(rèn)證之前，認(rèn)證方與被認(rèn)證方都要進(jìn)行相應(yīng)的準(zhǔn)備活動。被認(rèn)證方需要按照ISO/IEC 27001建立信息安全管理體系，在確認(rèn)滿足認(rèn)證基本條件的情況下，被認(rèn)證方向認(rèn)證機(jī)構(gòu)遞交正式申請；認(rèn)證機(jī)構(gòu)對認(rèn)證方的申請資料進(jìn)行初步檢查，確定是否受理申請。如受理申請，認(rèn)證機(jī)構(gòu)將評估認(rèn)證費(fèi)用和正式審核時(shí)間。

2、認(rèn)證的實(shí)施

第一階段：文件審核與初訪

第一階段主要是從總體上了解受審核方ISMS的基本情況，確認(rèn)受審核方是否具備認(rèn)證審核條件，為第二階段的審核策劃提供依據(jù)。審核的重點(diǎn)在于審核ISMS文件是否符合ISO 17799標(biāo)準(zhǔn)的要求。了解受審核方的活動、產(chǎn)品或服務(wù)的全過程，判斷風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理狀況，并對受審核方ISMS的策劃及內(nèi)審情況等進(jìn)行初步審查。

第二階段：全面審核與評價(jià)

第二階段審核是對信息安全管理體系的全面審核與評價(jià)，目的是驗(yàn)證組織的信息安全管理體系是否按照認(rèn)證標(biāo)準(zhǔn)與組織體系文件要求予以有效實(shí)施，組織的安全風(fēng)險(xiǎn)是否被控制在組織可以接受的水平內(nèi)，根據(jù)審核發(fā)現(xiàn)對組織的信息安全管理體系運(yùn)行狀況是否符合標(biāo)準(zhǔn)與文件規(guī)定做出判斷，并據(jù)此對受審核方能否通過信息安全管理體系認(rèn)證做出結(jié)論。

3、證書與標(biāo)志

組織采取了必要的糾正措施之后，并由認(rèn)證機(jī)構(gòu)驗(yàn)證通過，認(rèn)證機(jī)構(gòu)將為組織頒發(fā)ISMS證書，證書包括下述內(nèi)容：

關(guān)于認(rèn)證組織的信息

組織全稱，涉及到的相關(guān)組織

業(yè)務(wù)的相關(guān)地點(diǎn)

業(yè)務(wù)的流程

相關(guān)的業(yè)務(wù)功能與活動

認(rèn)證的范圍

適用性聲明和特定版本的描述

關(guān)于信息安全系統(tǒng)滿足ISO/IEC27001認(rèn)證標(biāo)準(zhǔn)的聲明

證書開始生效的時(shí)間

證書號

只有認(rèn)證機(jī)構(gòu)認(rèn)可了組織的認(rèn)證范圍，才能在證書上顯示認(rèn)可標(biāo)志。

4、維持認(rèn)證

審核和證書頒布并不代表認(rèn)證結(jié)束。認(rèn)證機(jī)構(gòu)將繼續(xù)監(jiān)控ISMS符合標(biāo)準(zhǔn)的情況，通過執(zhí)行每年至少一次的監(jiān)督審核。這些監(jiān)督審核的重點(diǎn)是抽樣檢查系統(tǒng)的某些領(lǐng)域，所以比最初的審核時(shí)間短，審核時(shí)間約為初始現(xiàn)場審核時(shí)間的三分之一。盡管審核團(tuán)隊(duì)可能會隨時(shí)間不同而變化，但是對他們的能力要求和最初審核人員是一樣的。

被認(rèn)證機(jī)構(gòu)有義務(wù)通知認(rèn)證機(jī)構(gòu)組織所發(fā)生的可能影響到系統(tǒng)或者證書的變更。這些變更包括：如，組織變更，人員變更，業(yè)務(wù)核心變更，技術(shù)變更，外部接口變更。

認(rèn)證的有效期一般為三年。三年之后，系統(tǒng)需要認(rèn)證機(jī)構(gòu)重新進(jìn)行審核。

二、ISO27001體系認(rèn)證費(fèi)用

組織在具備體系認(rèn)證的基本條件時(shí)，就可以尋求認(rèn)證機(jī)構(gòu)申請?bào)w系認(rèn)證。組織在選定認(rèn)證機(jī)構(gòu)后，就可以與之聯(lián)系提交認(rèn)證申請，在雙方協(xié)商一致的情況下簽訂認(rèn)證合同，認(rèn)證費(fèi)用是按照審核員的審核人天數(shù)（包括文件審核與完成審核報(bào)告的人天）與每人天的審核價(jià)格來計(jì)算。不同的認(rèn)證機(jī)構(gòu)費(fèi)用標(biāo)準(zhǔn)也不相同。認(rèn)證合同中應(yīng)明確認(rèn)證機(jī)構(gòu)保守組織商業(yè)秘密，在組織現(xiàn)場遵守組織的有關(guān)信息安全規(guī)章的要求。審核所需的人天數(shù)取決于以下因素：

受審核的員工數(shù)

持有的信息量

場所數(shù)據(jù)與地理位置分布

與外界的接觸面

所利用的信息技術(shù)的復(fù)雜程度

組織是否已具有一個相關(guān)的管理體系認(rèn)證證書，如ISO9001

業(yè)務(wù)功能

企業(yè)類型

風(fēng)險(xiǎn)程度