ISO27001

隨著以計(jì)算機(jī)和網(wǎng)絡(luò)通信為代表的信息技術(shù)（IT）的迅猛發(fā)展，政府部門、金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)組織對IT 系統(tǒng)的依賴也日益加重，信息技術(shù)幾乎滲透到了世界各地和社會生活的方方面面。

所以，對信息加以保護(hù)，防范信息的損壞和泄露，已成為當(dāng)前組織迫切需要解決的問題。組織需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。

《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（ISO/IEC 27001）是目前世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC 27001的目的是有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。

建立信息安全管理體系可以給企業(yè)帶來如下收益：   

• 提升主動防范信息技術(shù)相關(guān)安全風(fēng)險(xiǎn)的能力，保障組織運(yùn)營的安全；

• 形成體系的監(jiān)督、檢查機(jī)制，建立可自我改進(jìn)和完善的管理體系；

• 提升組織內(nèi)部全員的安全意識，在組織內(nèi)部形成信息安全文化氛圍，以更有效地推動信息安全管理工作的持續(xù)改進(jìn)。

信息安全管理體系認(rèn)證業(yè)務(wù)范圍

認(rèn)證用標(biāo)準(zhǔn)：GB/T 22080

注：分類依據(jù)《CNAS-SC170》

詳細(xì)內(nèi)容請下載文件：

S-GK-004管理體系認(rèn)證證書和認(rèn)證標(biāo)志、認(rèn)可標(biāo)識使用規(guī)則.docx

1. 目的與使用范圍

為加強(qiáng)對認(rèn)證組織認(rèn)證收費(fèi)的管理，規(guī)范認(rèn)證收費(fèi)行為，保護(hù)認(rèn)證雙方的利益，促進(jìn)認(rèn)證工作的發(fā)展，特制訂本規(guī)則。

本規(guī)則適用于方圓標(biāo)志認(rèn)證集團(tuán)所開展的信息技術(shù)服務(wù)管理體系認(rèn)證服務(wù)收費(fèi)。

2. 基本原則

收費(fèi)項(xiàng)目和標(biāo)準(zhǔn)按照國家有關(guān)主管部門的規(guī)定制訂。

認(rèn)證審核的工作量（人日數(shù)）根據(jù)申請認(rèn)證組織的規(guī)模、認(rèn)證領(lǐng)域數(shù)量和專業(yè)特性等按國際準(zhǔn)則及國家主管部門有關(guān)要求確定。

3.  收費(fèi)項(xiàng)目與標(biāo)準(zhǔn)

3.1  認(rèn)證收費(fèi)項(xiàng)目

a) 申請費(fèi)：初次認(rèn)證、再認(rèn)證、增加認(rèn)證領(lǐng)域、變更認(rèn)證范圍等的申請費(fèi)用；

b) 審核費(fèi)：初審、監(jiān)督、再認(rèn)證、特殊審核等審核活動所發(fā)生的費(fèi)用；

c) 批準(zhǔn)與注冊費(fèi)（含證書費(fèi)）：初次認(rèn)證、再認(rèn)證、認(rèn)證變更等的批準(zhǔn)與注冊費(fèi)用，按不同認(rèn)證領(lǐng)域分別收??；

d) 年金（含標(biāo)志使用費(fèi)）、更換證書費(fèi)。

3.2 收費(fèi)標(biāo)準(zhǔn)

注：人日數(shù)是指認(rèn)證審核所需的工作人天數(shù)（即審核員人數(shù)×工作天數(shù)）

4.  收費(fèi)方法

a) 申請人向CQM提出認(rèn)證申請時支付申請費(fèi)。審核前支付審核費(fèi)。頒發(fā)認(rèn)證證書前支付批準(zhǔn)注冊費(fèi)。

b) 獲證組織在交付監(jiān)督審核費(fèi)的同時支付年金。

c) 更換證書費(fèi)在領(lǐng)取新證書前支付。

5.  審核人日數(shù)核算方法

5.1 單一領(lǐng)域管理體系認(rèn)證

信息技術(shù)服務(wù)管理體系審核人日數(shù)根據(jù)組織的審核類型（初審、監(jiān)督、再認(rèn)證、特殊審核等）、組織ITSMS范圍所涉及的服務(wù)活動種類、業(yè)務(wù)的復(fù)雜程度（包括SLA數(shù)量、供應(yīng)商數(shù)量、及認(rèn)證范圍內(nèi)所提供服務(wù)的行業(yè)的認(rèn)可風(fēng)險(xiǎn)等）、組織的規(guī)模以及場所數(shù)量與類型等因素相關(guān)。

人日數(shù)包括文件評審、審核準(zhǔn)備、現(xiàn)場審核和最終報(bào)告等時間；不包括路途時間。

5.2 多領(lǐng)域管理體系結(jié)合認(rèn)證

對于多領(lǐng)域管理體系結(jié)合認(rèn)證，審核人日數(shù)可在單一領(lǐng)域管理體系審核人日數(shù)之和的基礎(chǔ)上適當(dāng)減少，通?？紤]管理體系領(lǐng)域數(shù)量并按實(shí)際發(fā)生的審核人日數(shù)計(jì)算。

5.3 增加認(rèn)證領(lǐng)域?qū)徍?/h5>

獲證組織已經(jīng)獲得CQM某領(lǐng)域認(rèn)證以后提出其它認(rèn)證領(lǐng)域的申請，應(yīng)按該領(lǐng)域的審核人日數(shù)計(jì)算費(fèi)用。

5.4 擴(kuò)大認(rèn)證業(yè)務(wù)范圍審核

獲證組織在已取得的管理體系認(rèn)證的領(lǐng)域擴(kuò)大范圍，根據(jù)實(shí)際發(fā)生的審核工作量計(jì)算。

詳細(xì)內(nèi)容請下載文件：

S-FN-06-004信息技術(shù)服務(wù)管理體系和信息安全管理體系認(rèn)證實(shí)施方案.doc