隨著以計(jì)算機(jī)和網(wǎng)絡(luò)通信為代表的信息技術(shù)(IT)的迅猛發(fā)展,政府部門、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)組織對IT 系統(tǒng)的依賴也日益加重,信息技術(shù)幾乎滲透到了世界各地和社會生活的方方面面。
所以,對信息加以保護(hù),防范信息的損壞和泄露,已成為當(dāng)前組織迫切需要解決的問題。組織需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系,從預(yù)防控制的角度出發(fā),保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。
《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》(ISO/IEC 27001)是目前世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC 27001的目的是有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。
建立信息安全管理體系可以給企業(yè)帶來如下收益:
提升主動防范信息技術(shù)相關(guān)安全風(fēng)險(xiǎn)的能力,保障組織運(yùn)營的安全;
形成體系的監(jiān)督、檢查機(jī)制,建立可自我改進(jìn)和完善的管理體系;
提升組織內(nèi)部全員的安全意識,在組織內(nèi)部形成信息安全文化氛圍,以更有效地推動信息安全管理工作的持續(xù)改進(jìn)。
信息安全管理體系認(rèn)證業(yè)務(wù)范圍
認(rèn)證用標(biāo)準(zhǔn):GB/T 22080
大類 | 中類 | 描述 | 備注 |
01政務(wù) | 01.01 | 國家機(jī)構(gòu) | 包括人大、政府、法院、檢察院 ,不含稅務(wù)和海關(guān) |
01.02 | 稅務(wù)機(jī)關(guān) |
| |
01.03 | 海關(guān) |
| |
01.04 | 其他 | 包括政黨、政協(xié)、人民團(tuán)體等 | |
02公共 | 02.01 | 通信、廣播電視 |
|
02.02 | 新聞出版 | 包括互聯(lián)網(wǎng)內(nèi)容的提供 | |
02.03 | 科研 | 涉及特別重大項(xiàng)目的應(yīng)提升為一級 | |
02.04 | 社會保障 | 例如社會保險(xiǎn)基金管理、慈善團(tuán)體等。包括醫(yī)療保險(xiǎn) | |
02.05 | 醫(yī)療服務(wù) |
| |
02.06 | 教育 |
| |
02.07 | 其他 | 包括市政公用事業(yè)(水的生產(chǎn)和供應(yīng)、污水處理、燃?xì)馍a(chǎn)和供應(yīng)、熱力生產(chǎn)和供應(yīng)、城市水陸交通設(shè)施的維護(hù)管理等) | |
03商務(wù) | 03.01 | 金融 | 包括:銀行、證券、期貨、保險(xiǎn)、資產(chǎn)管理等 |
03.02 | 電子商務(wù) | 以在線交易為主要特點(diǎn),含網(wǎng)絡(luò)游戲 | |
03.03 | 物流 | 包括郵政 | |
03.04 | 咨詢中介 | 包括法律、會計(jì)、審計(jì)、公證等 | |
03.05 | 旅游、賓館、飯店 |
| |
03.06 | 其他 | 包括金融服務(wù)、銷售、廣告、公關(guān)等。 | |
04產(chǎn)品的生產(chǎn) | 04.01 | 電力 | 包括發(fā)電和輸、變、配電等 |
04.02 | 鐵路 |
| |
04.03 | 民航 |
| |
04.04 | 化工 |
| |
04.05 | 航空航天 |
| |
04.06 | 水利 |
| |
04.07 | 交通運(yùn)輸 | 包括公路、水路、城市公共客運(yùn)交通等,不含航空和鐵路 | |
04.08 | 信息與通信技術(shù) | 包括軟、硬件生產(chǎn)及其服務(wù),系統(tǒng)集成及其服務(wù),數(shù)字版權(quán)保護(hù)等 | |
04.09 | 冶金 |
| |
04.10 | 采礦 | 含石油、天然氣開采 | |
04.11 | 食品、藥品、煙草 |
| |
04.12 | 農(nóng)、林、牧、副、漁業(yè) |
| |
04.13 | 其他 |
|
注:分類依據(jù)《CNAS-SC170》
為加強(qiáng)對認(rèn)證組織認(rèn)證收費(fèi)的管理,規(guī)范認(rèn)證收費(fèi)行為,保護(hù)認(rèn)證雙方的利益,促進(jìn)認(rèn)證工作的發(fā)展,特制訂本規(guī)則。
本規(guī)則適用于方圓標(biāo)志認(rèn)證集團(tuán)所開展的信息技術(shù)服務(wù)管理體系認(rèn)證服務(wù)收費(fèi)。
收費(fèi)項(xiàng)目和標(biāo)準(zhǔn)按照國家有關(guān)主管部門的規(guī)定制訂。
認(rèn)證審核的工作量(人日數(shù))根據(jù)申請認(rèn)證組織的規(guī)模、認(rèn)證領(lǐng)域數(shù)量和專業(yè)特性等按國際準(zhǔn)則及國家主管部門有關(guān)要求確定。
a) 申請費(fèi):初次認(rèn)證、再認(rèn)證、增加認(rèn)證領(lǐng)域、變更認(rèn)證范圍等的申請費(fèi)用;
b) 審核費(fèi):初審、監(jiān)督、再認(rèn)證、特殊審核等審核活動所發(fā)生的費(fèi)用;
c) 批準(zhǔn)與注冊費(fèi)(含證書費(fèi)):初次認(rèn)證、再認(rèn)證、認(rèn)證變更等的批準(zhǔn)與注冊費(fèi)用,按不同認(rèn)證領(lǐng)域分別收??;
d) 年金(含標(biāo)志使用費(fèi))、更換證書費(fèi)。
序號 | 收費(fèi)項(xiàng)目 | 收費(fèi)標(biāo)準(zhǔn)(單位:元(RMB)) | 備 注 |
1 | 申請費(fèi) | 1000×n | n為認(rèn)證領(lǐng)域數(shù) |
2 | 審核費(fèi) | 6000×人日數(shù) | |
3 | 批準(zhǔn)與注冊費(fèi)(含證書費(fèi)) | 2000×n | |
4 | 年金(含標(biāo)志使用費(fèi)) | 2000×n | |
5 | (監(jiān)督)審核費(fèi) | 6000×人日數(shù) |
注:人日數(shù)是指認(rèn)證審核所需的工作人天數(shù)(即審核員人數(shù)×工作天數(shù))
a) 申請人向CQM提出認(rèn)證申請時支付申請費(fèi)。審核前支付審核費(fèi)。頒發(fā)認(rèn)證證書前支付批準(zhǔn)注冊費(fèi)。
b) 獲證組織在交付監(jiān)督審核費(fèi)的同時支付年金。
c) 更換證書費(fèi)在領(lǐng)取新證書前支付。
信息技術(shù)服務(wù)管理體系審核人日數(shù)根據(jù)組織的審核類型(初審、監(jiān)督、再認(rèn)證、特殊審核等)、組織ITSMS范圍所涉及的服務(wù)活動種類、業(yè)務(wù)的復(fù)雜程度(包括SLA數(shù)量、供應(yīng)商數(shù)量、及認(rèn)證范圍內(nèi)所提供服務(wù)的行業(yè)的認(rèn)可風(fēng)險(xiǎn)等)、組織的規(guī)模以及場所數(shù)量與類型等因素相關(guān)。
人日數(shù)包括文件評審、審核準(zhǔn)備、現(xiàn)場審核和最終報(bào)告等時間;不包括路途時間。
對于多領(lǐng)域管理體系結(jié)合認(rèn)證,審核人日數(shù)可在單一領(lǐng)域管理體系審核人日數(shù)之和的基礎(chǔ)上適當(dāng)減少,通??紤]管理體系領(lǐng)域數(shù)量并按實(shí)際發(fā)生的審核人日數(shù)計(jì)算。
獲證組織已經(jīng)獲得CQM某領(lǐng)域認(rèn)證以后提出其它認(rèn)證領(lǐng)域的申請,應(yīng)按該領(lǐng)域的審核人日數(shù)計(jì)算費(fèi)用。
獲證組織在已取得的管理體系認(rèn)證的領(lǐng)域擴(kuò)大范圍,根據(jù)實(shí)際發(fā)生的審核工作量計(jì)算。