2024-11-27 18:28:32
ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。...规划的ISO27000系列包含下列标准ISO 27000 原理与术语Principles and vocabulary
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南Information technology_Security techniques_ISMS auditor guidelines
其中ISO27001:2005 的最终标准草案(FDIS)已经在2005年7月发布,预计在2005年底或2006年初作为正式国际标准发布。
...应该是ISO27001认证吧点我头像,进去之后页面右上角获取联系电话。ISO27001】起源信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。发展2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。[编辑本段]ISO27001认证公司认监委批准的认证公司现在国内的认监委对ISO27001认证管控非常严格,至今只允许4家国内认证机构进行认证,分别是,中国信息安全认证中心华夏认证中心中国电子技术标准化研究所上海质量体系审核中心到目前为止就这四家标准的主要内容ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。ISO27001信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。[编辑本段]ISO27001认证公司认监委批准的认证公司现在国内的认监委对ISO27001认证管控非常严格,至今只允许4家国内认证机构进行认证,分别是,中国信息安全认证中心华夏认证中心中国电子技术标准化研究所上海质量体系审核中心到目前为止就这四家ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性ISO27001的效益1、通过定义、评估和控制风险,确保经营的持续性和能力2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任3、通过遵守国际标准提高企业竞争能力,提升企业形象4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失5、建立安全工具使用方针6、谨防技术诀窍的丢失7、在组织内部增强安全意识8、可作为公共会计审计的证据认识ISO27001国际标准ISO27001(BS7799/ISO17799)国际标准究竟是什么?它如何帮助一个组织更加有效地管理信息安全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全管理领域应该掌握哪些内容,以便组织发起信息安全管理项目?如何获得BS7799国际标准认证?IT治理和信息安全近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处理和储存各种信息,以保证业务正常运营,由此IT系统在企业治理中的作z用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事会和企业内部共同关注的领域。IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。与此同时,和信息安全相关的国际标准已经出台,成为标准IT治理框架中的一大基石。信息安全和法律法规业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。本质上说,信息安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁数据安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。过去的十年内,围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人数据保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。绝大多数人认为信息安全是一个纯粹的有关技术的话题,只有那些技术人员,尤其是计算机安全技术人员,才能够处理任何保障数据和计算机安全的相关事宜。这固然有一定道理。不过,实际上,恰恰是计算机用户本身需要考虑这样的问题:避免哪些威胁?在信息安全和信息通畅中如何平衡取舍?的确如此,一旦用户给出答案,计算机安全专家就可以设计并执行一个技术方案以达成用户需求。在组织内部,管理层应当负责决策,而不是IT部门。一个规范的信息安全管理体系必须明确指出,组织机构董事会和管理层应当负责相关信息安全管理体系的决策,同时,这个体系也应当能够反映这种决策,并且在运行过程中能够提供证据证明其有效性。所以机构组织内部的信息安全管理体系的建立项目不必由一个技术专家来领导。事实上,技术专家在很多情况下起到相反的作用,可能会阻碍项目进程。因此,这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。1995年,英国标准机构(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在规范、引导信息安全管理体系的发展过程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当,BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。从企业外部来看,BS7799关注信息的可用性、机密性和完整性,至今这仍然是这项标准致力达到的目标。BS7799集中关注企业组织层面上的风险规避(一定程度上主要是商业和金融风险),而不包括避免每一个潜在风险的保护措施——尽管它们至关重要。BS7799最初仅有一份文档,且具有明显的实践指南性质。也就是说,它为组织提供信息安全指引,但没有形成规范,不能为外部第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息安全的威胁波及范围越来越广,影响程度越来越大,并且关于数据和隐私权保护的法律法规不断出台,信息安全标准认证的需求开始不断增加。这种需求的增加最终促成了该项标准第二部分的出台,即标准规范。实践指南和标准规范之间的关系是这样的:标准规范是认证方案的基础,同时标准规范要求实践者遵从实践指南的指引。这个实践指南最近被修订为ISO/IEC 17799:2005,标准规范也被修订为ISO/IEC 27001:2005,逐步得到国际认同。许多国家也已发布了自己的相关标准,比如AS/NZS7799。这些标准的国际化版本可以在世界任何国家得到认可,这促使了本土化标准的消退(除了基于两个标准号码基础上的本土化标准以外)。一个组织可以仅遵从ISO17799来建立和发展ISMS(信息安全管理体系),因为实践指南中的内容是普遍适用的。然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个完全符合认证具体要求的ISMS,同时这个ISMS体系也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证。ISO27001认证要求与其他管理标准ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。风险评估和风险应对计划任何一个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化,他们对待风险的态度倾向也大相径庭。换句话说,同一个东西,一个机构组织认为是必须提防的威胁,在另一个组织看来可能是一个必须抓住的机遇。同样地,各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因,每个运行ISMS的组织,其内部成员必须对风险评估有一个共识,这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。着手准备ISMS项目和PDCA流程ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短,成功的案例比较少。从务实的角度考虑,这表明在项目计划过程中,必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。ISO27001标准指导一个企业如何着手开展ISMS项目,并且关注整个项目进程中的若干重要元素。1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差(即潜在改进的可能性),最后向管理层提出如何运行的最终报告。
区别一:ISO认证是体系认证,针对企业管理体系认证,,例如ISO9001质量管理体系认证,ISO14001环境管理体系认证等3C认证是产品认证,针对企业生产的产品区别二:ISO认证是自愿认证,企业可以选择是否认证3C认证是国家强制性认证,国家有3C产品认证目录,只要哪一家企业生产的产品是在该目录下的,就必须接受强制性3C认证。区别三:ISO认证是国际体系认证是国际化的认证3C是我国主导的强制性认证,是我国主导的认证你说的那种可能是存在的企业生产的产品属于3C目录下的,接受3C认证,该企业又进行了ISO认证很正常!
iso/iec 20000是 it服务管理体系,适用于企业的it服务部门,通常是it部门iso/iec 27001 信息安全管理体系,适用于整个企业,不仅仅是it部门,还包括业务部门、财务、人事等部门
...1、认证费用。此部分费用需支付给认证机构,50人的企业,认证费用一般约4000元。
ISO9001质量体系认证
2、审核员的差旅费。此部分费用需支付给审核员个人,认证机构受理企业的认证申请后,会派出审核组去企业进行审核,审核组往返企业的交通费、住宿费及审核期间的餐饮费由企业承担,根据审核员和企业的距离及企业经营场所的数量,该部分费用会有所不同,一般单场所的企业,省内审核的差旅费在500元以内。企业在提交认证时,可以向认证机构申请就近派遣审核员。
3、材料撰写费用,又称建立体系咨询费。有些企业有体系建设方面的专业人才,可自行建立体系,则无需支出该费用;部分企业不能自行建立体系,则需委托专业的辅导机构进行体系诊断、辅导培训、材料撰写等工作,此部分费用需支付给辅导机构,最低约500元。
一、ISO27000认证收费项目及收费标准
1.申请费需要花费一千(对认证申请书的二次复议及加大认证范围的情况不收费)
审查费:包括初次审核(根据需要),文件审核部分以及现场审查的部分,审核费用是按照要多少人每天的原则进行收取,每人每天收费标准一般为三千元。企业大小,员工数量的不同,ISO27000认证费用也就不同了。
认证收费标准,仅供参考:
二、预审费
被认证方要求预审时,预审费按每1人/日3000元收取。
三、其他产生费用
1、审核现场被同时分开在不同的地点(类似性质的制造现场),每多加一个地点一个人一天工作量,不同性质的另议。
2、全部审核产生的车旅费用(包括初次审核、预审过程、监督审核环节及复评环节)应当由受审核方独自承担。
3、如果需要加印证书则另外收工本费,每套证书一般为100元。
4、因为受审核方自己的原因而需要延长审核的时间,费用理应受审核单方支付费用。
四、监督审核费用
甲方在拿到认证注册的证书之后,在3年有效期之前,乙方有义务对甲方进行后续监督和审核。首次监督审核将在获证后六个月进行,此后2次监督审核期间不超过
一年,每次监督所产生审核费则按审核费的1/3收取
五、复评费用
证书3年有效期提前至3个月,递交复评申请必须要与认证中心取得联系,再次签合同,复评费用为首次审核费的百分之八十。
六、收费时间
1、如过需要提前预审,在预审之前前十天一次性交完费用。
2、申请费用、审核费用、审核与注册费用应该在审核的一个月之前支付完(如企业没有拿到证书,审核以及注册费用将会退还给企业)。
3、年费与监督审核所产生的费用在每次监督审核一个月期限内交清,年费为两千元/年。
4、ISO27000证书印制费用在发放证书前付款。
...条件如下参考:
1.在定义的范围内进行审计。
2.保持客观性。
3.收集和分析与审核质量体系相关的证据,以得出结论。
4.小心可能影响审计结果的证据,并可能需要更广泛的审计。
5.回答以下问题:
(1)被审核方人员是否理解、获取、理解和使用描述或支持质量体系要素所需的程序、文件或其他材料。
(2)用于描述质量体系的所有文件和其他材料是否足以满足达到规定的质量目标的要求。
始终坚持道德标准。
扩展资料:
实施产品质量认证的目的是保证产品质量,提高产品声誉,保护用户和消费者的利益,促进国际贸易,开展国际质量认证合作。
Iso9001:2008质量管理体系
Iso14001:2004环境管理体系
Ohsas18001:2001职业健康安全体系
Iso22000:2005食品安全管理体系
HACCP:危害分析关键控制点
ISO/ts16949:2009汽车行业技术规范(又称:汽车行业质量管理体系认证)
Iso13485:2003医疗器械质量管理体系
ISO10012:计量管理体系认证
Iso27001:2005信息安全管理系统
ISO20000:信息技术服务管理系统
ISO26000:社会责任管理体系(代替SA8000)
与质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准类似,信息安全管理体系(InformationSecurityManagementSystem,ISMS)是ISO发展的-个信息安全管理标准族,预留了ISO/IEC27000系列编号。
ISO27001在其中具有核心作用,ISO270000信息安全标准族其中最主要的几个标准图示如下:
更多标准罗列如下,从行业、技术、应用等角度涵盖了信息安全的方方面面:
ISO27000
信息技术—安全技术—信息安全管理体系—概况与术语
该标准对构成ISMS标准族的信息安全管理标准进行了概述,并规定了与ISMS系列标准相关的术语。
ISO27001
信息技术—安全技术—信息安全管理体系—要求
该标准源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式发布。
ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。上海信息化培训中心提供IRCA认可ISO27001LA信息安全管理体系主任审核师培训。
ISO27002
信息技术—安全技术—信息安全管理实用规则该标准取代了ISO/IEC17799:2005,直接由ISO/IEC17799:2005更改标准编号为ISO/IEC27002,已于2007年4月实施。
本标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。
本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。
ISO27003
信息技术—安全技术—信息安全管理体系实施指南
该标准已于2010年2月正式发布。该标准为按照ISO/IEC27001建立信息安全管理体系(ISMS)实施计划提供应用指南。通常将ISMS作为一个项目实施。
ISO27004
信息技术—安全技术—信息安全管理—测量
该标准已于2009年12月正式发布。该标准旨在帮助组织测量、报告和系统性的改进其信息安全管理体系的有效性。该标准为制订测量项和实施测量提供指南,以评估信息安全管理体系和ISO/IEC27001规定的控制措施的实施效果。
ISO27005
信息技术—安全技术—信息安全风险管理
该标准以BS7799-3和ISO13335为基础,已于2008年6月正式发布。本标准描述了信息安全风险管理的要求,可以用于风险评估,识别安全要求,支撑信息安全管理体系的建立和维持。
ISO27006
信息技术—安全技术—信息安全管理体系审核认证机构要求
该标准已于2007年2月正式发布。该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。
ISO27007
信息技术—安全技术—信息安全管理体系审核指南
该标准为按照ISO/IEC27001对信息安全管理体系进行审核的认证机构、内部审核员、外部/第三方审核员以及其它审核活动提供指南。
ISO27008
信息技术—安全技术—ISMS控制措施的审核员指南
该标准为所有的信息安全管理体系审核员提供关于“基于风险方法选择ISMS控制措施”指南。该标准通过阐明ISMS与所选择的控制之间的关系,为信息安全风险管理过程,以及内外部的ISMS审核提供支持。并为如何验证“ISMS控制措施”的实施程度提供指南。
ISO/IEC27009:信息安全治理框架
ISO27010
信息技术—安全技术—组织间的信息安全管理
该标准将包含多个部分,为跨行业、跨领域、跨国家间分享有关信息安全风险、控制措施、争议以及安全事件的信息提供指南。
ISO27011
信息技术—安全技术—电信机构基于ISO/IEC27002的信息安全管理指南
该标准已于2008年12月正式发布。该标准用于电信行业,由ITU-T和ISO/IECJTC1/SC27共同制订,并联合发布ITU-TX.1051和ISO/IEC27011。
对电信机构而言,信息及其支撑流程、通信设施、网络和线路是重要的经营资产,信息安全对于电信机构恰当的管理其经营资产,正确并成功地保持其经营活动的连续性至关重要。本标准为电信机构的信息安全管理提供了要求,规定了电信企业在整体经营风险框架下建立、实施、运行、监视、评审、维持和改进其文件化的信息安全管理体系(ISMS)的要求。
ISO/IEC27012:电子政府服务
ISO27013
IT技术—安全技术—ISO/IEC20000-1和ISO/IEC27001整合实施指南
该标准为整合实施ISO/IEC27001(信息安全管理体系)和ISO/IEC20000-1(IT服务管理规范)提供指南。
ISO27014
信息技术—安全技术—信息安全治理架构
该标准旨在帮助组织治理信息安全。信息安全治理将考虑:组织的经营战略、方针和目标;符合适用的、与治理相关的法律法规;符合组织对第三方的合同义务或其它法律义务,反之亦然;为向第三方提供保证所需的审核,以及证书需求。
ISO27015
信息技术—安全技术—金融保险行业信息安全管理体系指南
该标准旨在帮助金融服务行业的组织(如:银行、保险公司、信用卡公司等)使用ISO27000系列标准实施ISMS。虽然该行业已经有了一些风险和安全管理标准,如:ISOTR13569—银行业信息安全指南,但由SC27开发的ISMS实施指南将会更直接的体现ISO/IEC27001和ISO/IEC27002。
ISO27031
信息技术—安全技术—业务连续性的ICT准备能力指南
ISO/IEC27031将说明ICT(信息和通信技术)在确保业务连续性方面所起作用的概念和原则。该标准将:为所有类型的组织(私人、政府、非政府)提供框架(方法和流程);为改进作为组织ISMS一部分的ICT准备能力、保证业务连续性,识别和规定全部有关的内容,包括:绩效准则、实施细节等;使一个组织能够测量其持续性、安全性,从而具备以一种一致的、验证过的方法从灾难中恢复的准备能力。
ISO27032
信息技术—安全技术—网络空间安全指南
ISO/IEC27032将阐述“网络空间”所面临的独特的安全问题。“网络空间”在标准中定义为:不以任何物理方式存在的,通过技术设施和网络互相联接的因特网中人员、软件、服务相互作用所导致的复杂环境。网络空间存在着目前信息安全、互联网安全、网络安全和ICT安全所不能涵盖的安全问题,原因是这些安全领域之间存在差距。网络空间安全将解决在网络空间中,由于不同的安全领域差距导致的安全问题。同时,网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。
ISO27033
信息技术—安全技术—网络安全
(其中的第一部分ISO/IEC27033-1已于2009年12月正式发布)。
ISO/IEC27033将是一个包含多个部分的标准,来自于已经存在的网络安全标准ISO/IEC18028的五个部分。现有的标准将不仅是改换名称,而是被大幅修改。
ISO/IEC27033为实施ISO/IEC27002所介绍的网络安全控制提供详细指南,包含以下部分:
ISO/IEC27033-1:2009Informationtechnology--Securitytechniques--Networksecurity--Part1:Overviewandconcepts
ISO/IEC27033-2:Guidelinesforthedesignandimplementationofnetworksecurity
ISO/IEC27033-3:Referencenetworkingscenarios--threats,designtechniquesandcontrolissues
ISO/IEC27033-4:Securingcommunicationsbetweennetworksusingsecuritygateways--threats,designtechniquesandcontrolissues
ISO/IEC27033-5:SecuringVirtualPrivateNetworks--threats,designtechniquesandcontrolissues
ISO/IEC27033-6:IPconvergence
ISO/IEC27033-7:Guidelinesforsecuringwirelessnetworking--Risks,designtechniquesandcontrolissues
ISO/IEC27033-8:Guidelinesforsecuring[insertothernetworksecurityaspects]--Risks,designtechniquesandcontrolissues
ISO27034
信息技术—安全技术—应用安全
ISO/IEC27034将是一个包含多个部分的标准。该标准通过一组与组织的系统开发生命周期相整合的过程,为规化、设计、选择和实施信息安全控制措施提供指南。该标准包含如下部分:
ISO/IEC27034-1-Informationtechnology—Securitytechniques—Applicationsecurityoverviewandconcepts
ISO/IEC27034-2-OrganizationNormativeFramework
ISO/IEC27034-3-ApplicationSecurityManagementProcess
ISO/IEC27034-4-Applicationsecurityvalidation
ISO/IEC27034-5-Protocolsandapplicationsecuritycontroldatastructure
ISO/IEC27034-6-Securityguidanceforspecificapplications
ISO27035
信息技术—安全技术—安全事件管理
ISO/IEC27035将由ISOTR18044升级而成。
ISO27036
IT安全—安全技术—外包安全管理指南
ISO/IEC27036将指导组织评价和消除包含在采购、使用外包服务中的安全风险,支持对外包实施ISO/IEC27002的安全控制措施。
ISO27037
IT安全—安全技术—数字证据的识别、收集、获取和保存指南
该标准将为电子证据的识别、收集、获取、标识、储存、搬运和保护提供详细的指南。
目前,该标准的名称和范围仍未确定。
ISO27799
医疗信息学—使用ISO/IEC27002的医疗信息安全管理
该标准是由ISO负责医疗信息学的技术委员会TC215发布的,而不是由负责ISO27K的ISOIEC联合技术委员会JTC1/SC27发布。因此,ISO27799是否是ISO/IEC27000系列标准中的一个还存在争议。ISO27799:2008为在医疗信息领域理解和实施ISO/IEC27002提供支持,是ISO/IEC27002的伴随标准。
除了合法的资料外,其他的体系的建立,都是需要专业的人辅导,特别是这个行业出身的咨询师来辅导才可以很好的建立符合企业本身的管理体系。(虽然一般行业在网上都能找到相应的文件,但是还有很多细节也是关键的东西,都是要通过咨询师来达成的。)
...一、ISO27000认证收费项目及收费标准
1.申请费需要花费一千(对认证申请书的二次复议及加大认证范围的情况不收费)
审查费:包括初次审核(根据需要),文件审核部分以及现场审查的部分,审核费用是按照要多少人每天的原则进行收取,每人每天收费标准一般为三千元。企业大小,员工数量的不同,ISO27000认证费用也就不同了。
认证收费标准,仅供参考:
二、预审费
被认证方要求预审时,预审费按每1人/日3000元收取。
三、其他产生费用
1、审核现场被同时分开在不同的地点(类似性质的制造现场),每多加一个地点一个人一天工作量,不同性质的另议。
2、全部审核产生的车旅费用(包括初次审核、预审过程、监督审核环节及复评环节)应当由受审核方独自承担。
3、如果需要加印证书则另外收工本费,每套证书一般为100元。
4、因为受审核方自己的原因而需要延长审核的时间,费用理应受审核单方支付费用。
四、监督审核费用
甲方在拿到认证注册的证书之后,在3年有效期之前,乙方有义务对甲方进行后续监督和审核。首次监督审核将在获证后六个月进行,此后2次监督审核期间不超过
一年,每次监督所产生审核费则按审核费的1/3收取
五、复评费用
证书3年有效期提前至3个月,递交复评申请必须要与认证中心取得联系,再次签合同,复评费用为首次审核费的百分之八十。
六、收费时间
1、如过需要提前预审,在预审之前前十天一次性交完费用。
2、申请费用、审核费用、审核与注册费用应该在审核的一个月之前支付完(如企业没有拿到证书,审核以及注册费用将会退还给企业)。
3、年费与监督审核所产生的费用在每次监督审核一个月期限内交清,年费为两千元/年。
4、ISO27000证书印制费用在发放证书前付款。
茶企ISO认证包含9大类项目体系:
ISO9001;
ISO14000;
ISO14001;
ISO13485;
ISO27000;
ISO14064;
ISO22000;
ISO20000;
ISO/TS16949。
茶企ISO初次认证的步骤为:
企业将填写好的《ISO产品认证申请表》连同认证要求中有关材料报给我们中环联合(北京)认证中心。我们中心收到申请认证材料后,会对文件进行初审,符合要求后发放《受理通知书》(这意味着如果材料提交不全,就取得不了受理的资格,更谈不上签合同缴费了。这一点请申请认证的企业和十环认证咨询辅导机构的工作人员给以足够重视,以免因此影响进度),申请认证的企业根据《受理通知书》来与我中心签订合同;
我们认证中心收到企业的全额认证费后,向企业发出组成现场检查组的通知,并在现场检查一周前将检查组组成和检查计划正式报企业确认;
现场检查按环境标志产品保障措施指南的要求和相对应的环境标志产品认证技术要求进行,对需要进行检验的产品,由检查组负责对申请认证的产品进行抽样并封样,送指定的检验机构检验;
检查组根据企业申请材料、现场检查情况、产品环境行为检验报告撰写环境标志产品综合评价报告,提交技术委员会审查;
认证中心收到技术委员会审查意见后,汇总审查意见,报认证中心总经理批准;
认证中心向认证合格企业颁发环境标志认证证书,组织公告和宣传;
获证企业如需标识,可向认证中心订购;如有特殊印制要求,应向认证中心提出申请并备案;
年度监督审核每年一次。
ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。
你好,我们是专业的认证机构,这个费用的话大概在4万以上,不含官费以及一些其他的费用,如果需要帮助,你可以加我,我发一份资料给你。
iso27000认证费用,跟企业的实际情况有一定关系的。不同的企业做下来费用也是不一样的。
有需要的话可以帮您推荐。
申请 iso27001信息安全管理体系认证的基本条件
(1)中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件:外国企业持
有关机构的登记注册证明。
(2)申请方的信息安全管理体系已按iso/iec 27001 : 2005标准的要求建立并实施运行3个月以上。
(3)至少完成一次内部审核,并进行了管理评审。
(4)信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
找清方认证的陈经理,一条龙的服务;包辅导,包拿证。
...