ISO27001认证相关知识点

1.定义与目的：ISO27001认证是由英国标准协会（BSI）提出的信息安全管理体系标准，旨在帮助企业建立、实施、运行、监控、评审、维护和改进信息安全管理体系，以保护公司信息资产，确保信息的保密性、完整性和可用性。

2.适用范围：ISO27001认证适用于任何组织和企业在信息安全管理方面的应用，特别是那些涉及信息传输、储存与利用的企业，如金融、通信、外贸、制造、医药、精细化工、研究机构、IT和技术服务提供商、零售和电子商务、政府公共部门以及教育机构等。

3.核心要素：ISO27001认证的核心要素包括信息安全政策、信息安全目标、信息安全程序、工作指导书等文件，以及信息安全管理体系的运行、监控、评审和改进等过程。

ISO27001认证办理流程

1.理解标准：组织需要深入理解ISO27001标准的要求和原则，确保对标准的理解准确无误。

2.建立信息安全管理体系：根据ISO27001标准的要求，建立符合组织实际情况的信息安全管理体系（ISMS），包括制定信息安全政策、目标、程序等文件。

3.内部审核：组织进行内部审核，检查信息安全管理体系是否满足ISO27001标准的要求，并准备相应的文件和记录。

4.选择认证机构：选择一个经过认可的、具有ISO27001认证资质的认证机构。

5.提交申请书：向选定的认证机构提交ISO27001认证申请书，包括组织的基本信息、信息安全管理体系的概述、认证范围等。

6.文件审核与现场审核：

A.认证机构对组织提交的文件进行审核，确保信息安全管理体系文件符合ISO27001标准的要求；

B.认证机构派遣审核员对组织进行现场审核，检查组织的实际运作是否符合信息安全管理体系文件的要求。

7.不符合项整改：针对现场审核中发现的不符合项，组织需要制定整改计划并按时完成整改。

8.改进信息安全管理体系：组织根据审核结果，对信息安全管理体系进行必要的改进和优化。

9.审核关闭与颁发证书：认证机构对组织的整改情况进行审核，确认不符合项已得到整改，且信息安全管理体系符合ISO27001标准的要求后，颁发ISO27001认证证书。

ISO27001认证的费用因企业规模、认证机构、办理周期等因素而异，但通常包括以下几个方面：

1.申请费：一般为固定费用，用于提交认证申请。

2.审定与注册费（含证书费）：认证机构对组织的信息安全管理体系进行审定并注册后，会收取一定的费用，包括证书的制作费用。

3.审核费：审核费按实际所需人·日收取，每审核人/日的收费标准因认证机构而异。审核费用通常包括文件审核和现场审核两部分。

4.年金（含标志使用费）：证书有效期内，组织需要每年交纳一定的年金，用于维持认证资格和标志使用权。

5.监督审核费：在证书有效期内，认证机构会定期对组织进行监督和审核，以确保信息安全管理体系的持续有效性。监督审核费也按实际所需人·日收取。

6.再认证费用：证书三年有效期满后，组织需要申请再认证。再认证费用包括审定与注册费（含证书费）和审核费。