ISO27001认证审核费用及周期
除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了费用问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开始,到终通过审核,至少要有半年时间(不包括获*书的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。
1.申请方授权代表签署的产品质量认证申请书、质量体系认证申请书;
2.申请单位质量手册,必要时提供企业的程序文件;
3.申请认证的产品或质量体系覆盖的产品标准;
4.申请方声明执行的标准;
5.器械产品注册证(复印件);
6.产品生产全过程情况总结,产品生产流程及过程、关键过程说明;
7.近三年产品销售情况及用户反馈信息;
8.主要外购、外协件清单;
9.其他材料,如企业产品目录、产品简介、产品宣传材料等;为其提供过认证咨询的组织和人员的信息。
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息*的问题也纷纷出现:系统瘫痪、入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至都带来严重的影响。*问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
·直接损失
丢失订单,减少直接收入,损失生产率;
·间接损失
恢复成本,竞争力受损,、声誉受损,的公众影响,失去未来的业务机会,影响市值或声誉;
·法律损失
法律、法规的制裁,带来相关联的诉讼或追索等。
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息*方针、完整的信息*管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息*事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息*管理体系,从预防控制的角度出发,**组织的信息系统与业务之*与正常运作。
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构**得到一个地区机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数地区都有自己的地区机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
适用范围
编辑
信息*对每个企业或组织来说都是需要的,所以信息*管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
证书有效期
编辑
ISO27001信息*管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。
国内认证机构
编辑
颁发ISO27001信息*管理体系证书的认证机构必需是经过CNCA监督会(认监委)认可的认证机构方可在国内进行审核发证,所有通过认证且合法的证书均可在CNCA的上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示证书在国内无效。经CNCA认可的认证机构可以在CNCA上查询。
http://550604zrzc000.b2b168.com
