iso27001信息安全体系认证多少钱:ISO 27001认证持续多久?

什么是ISO 27001?

ISO 27001是国际管理体系标准，定义了信息安全管理体系(ISMS)的要求。该标准提供了一个更佳实践框架，用于识别、分析和实施控制措施，以管理和减轻风险——降低信息安全漏洞的可能性。

任何组织-无论规模和行业-都可以利用ISO 27001中的要求和控制来实施有效的ISMS，并可以独立认证。

由信誉良好的独立认证机构提供的经认可的ISO 27001认证证明了对信息安全的承诺，对ISMS的稳健性和有效性提供了公正的看法。这有助于履行合同义务，并在许多情况下起到贸易许可证的作用。

ISO 27001的好处是什么?为什么它如此重要?

保护您的数据和声誉

ISO 27001认证表明您已经建立了系统的、基于风险的信息安全方法，并在以下方面推动了更佳实践:

识别信息和网络安全风险

基于影响和可能性分析风险

评估风险，并根据与业务相关的因素确定风险的优先级

选择风险处理方案

遵守法律、法规和合同要求

获得ISO 27001认证需要您识别适用的法规，例如EU GDPR或HIPAA之类的法规。这对风险管理和公司治理有积极的影响，帮助您证明合规性并履行合同要求。

竞争优势

LRQA的认证让客户和利益相关者相信，安全风险——可能与IT、人员、物理环境和业务连续性有关——已经得到充分解决，以保护他们的信息。

ISO 27001认证为您的能力提供了清晰的陈述，并证明您的运作符合国际公认的更佳实践-帮助您赢得新业务。

ISO 27001稽核如何运作?

ISO 27001审核遵循与其他基于附录SL的管理体系相同的方法。您可以从培训和差距分析开始，但正式流程包括对ISMS设计的审核(阶段)和对其运行的审核(第二阶段)。这些审核的输出将由LRQA的合格独立人员进行技术审核，以确保我们对认证机构定义的更佳实践的承诺的一致性和一致性。

一旦获得批准，您的ISO 27001证书将被颁发，您将开始为期三年的监督审核周期，直至在接下来的三年内重新建立更新审核。监督使LRQA和贵组织能够管理变更，并确保审核与当前行业需求相关。

ISO 27001认证持续多久?

一旦获得批准，认证有效期为三年，但须通过监督计划证明有效的系统维护。

典型的ISMS范围和适用性声明包括哪些内容?

典型的ISMS证书范围声明包括与产品和服务交付相关的活动。它不需要包括内部活动或ISMS过程。目的是向读者保证，在接受产品或服务时所提供的信息是受保护的。

适用性声明指的是所选控件的列表。它没有提供这些控制的细节，但提供了对控制声明的可追溯参考，作为上次ISO 27001审核的基础。有时组织有一个共享的公共版本，只是列出了从ISO 27001附录a中选择的控制措施，但这不是强制性要求。

获得ISO 27001认证需要多少费用?

成本基于审计天数，审计天数与ISMS范围内的员工数量有关。审核天数在认证标准ISO 27006中公布，所有人都可以看到。与LRQA这样的认可认证机构合作，可确保您获得与所有其他认可认证机构相媲美的基于行业更佳实践的建议审核持续时间。

例如，一个拥有100名全职员工(fte)的组织应该预期初始审计持续时间(阶段+第二阶段)在8至12天之间，具体取决于他们所处的行业、工作环境的复杂程度、是否参与开发软件，或者是否需要在产品中构建安全性。随后的监测计划为每年3-4天，续期为6-8天。

已通过ISO 9001认证。我可以将它与ISO 27001集成吗?

是的，因为ISO 9001和ISO 27001都是基于管理体系的通用更佳实践模型-附录SL -核心管理过程可以优化以满足两个标准的要求。事实上，设计一个系统来解决这两个问题可以提高组织治理的有效性。例如，业务目标(如增长)通常需要开发新产品，其中安全性通常被视为符合市场期望的质量标准。集成还可以更大限度地减少重复，从而减少审计时间，提供具有成本效益的选择。

典型的ISO 27001认证流程是什么?

您的组织获得ISO 27001认证的途径通常取决于您的业务在信息安全和更广泛的风险管理方面的成熟程度，以及其他因素。但是获得ISO 27001认证的典型过程包括三个主要步骤。

阶段1审核——文件评审和策划:审核员将审核你们管理体系的设计和文件——在大多数情况下，这是远程进行的。

第二阶段审核—评估你们的实施情况:你们的审核员将根据ISO 27001的要求评估你们ISMS的实施情况和有效性。如果没有不符合项，您将获得认证。这一阶段可以远程或现场进行。

推广您的ISO 27001认证:您的认证证明了您对国际公认的更佳实践和持续改进的承诺-帮助您赢得新业务并满足客户需求。

什么是ISO 27002:2022及其影响是什么?

ISO 27002:2022的发布更新了ISO 27001中存在的控制列表，该列表可追溯到2013年。修订后的控制措施反映了与威胁和当前更佳实践相关的发展，ISO 27002的范围扩大有助于确保风险管理措施的广泛和有效。组织可以使用全面的控制列表来处理他们已经识别的风险或发现潜在的差距-帮助他们在当今企业面临的复杂和不断变化的威胁环境中保持领先一步。

新版本的ISO 27001是否正在开发中?

新版ISO 27001于2022年10月25日发布。以ISO 27002:22概述的新控制为特色，组织将需要重新审视其风险评估，并确定是否需要实施新的风险处理

新的ISO/IEC 27001:2022标准

红色覆盖

ISO/IEC 27001 -资讯保安的现代方法

全球数字格局正在发生变化。新的业务实践，如远程工作、“自带设备”和工业4.0等，已经变得普遍，核心业务实践越来越基于云计算和数字依赖。

为此，ISO/IEC 27001资讯安全管理和ISO/IEC 27002资讯安全控制标准正在更新，以反映这一演变。

这些更新提供了更健壮的控制，使您的组织能够处理日益复杂的安全风险，确保业务连续性，并获得竞争优势。尽快了解这些变化及其对您组织的影响将确保您的信息得到保护，并继续更大化您的竞争优势。

观看ISO/IEC 27001:2022视频，了解这些变化

ISO 27001标准的变更

有编辑上的改动，包括:

“国际标准”改为“文件”

重新排列一些英语短语，以便于翻译

与ISO协调一致的方法也有变化:

编号重新架构

定义实现ISMS及其相互作用所需的过程的需求

明确要求在组织内部沟通与信息安全相关的组织角色

新增条款6.3 -变更计划

作为条款7.4的一部分，确保组织确定如何沟通的新要求

建立操作过程标准和实施过程控制的新需求

本次修订的主要变化在附件A中，反映了ISO/IEC 27002:2022中所做的更改。这些变化是:

该结构被整合为四个关键区域

组织，人，物理和技术，而不是以前版本的14

所列的控制措施从114项减少到93项

一些控件被合并了，一些控件被删除了，新的控件被引入了，还有一些控件被更新了

引入了属性的概念

根据数字安全中使用的常用术语，这五个属性是:控制类型、信息安全属性、网络安全概念、操作能力和安全域

加强你的资讯保安态势

通过完成过渡并采用ISO/IEC 27001:2022标准，您将加强组织的信息安全态势，支持数字化战略，降低信息泄露风险，建立品牌信任，并建立组织的信息弹性。

顺利完成ISO 27001的过渡

从下一版标准发布的刻起，BSI就准备好为您提供支持，通过您对变更的理解，检查对您组织的影响，实施并最终过渡您的认证。

在您的过渡审核期间，您的BSI审核员对您的流程、活动和组织的经验和知识将帮助您识别任何差距和改进机会。此外，我们将帮助您利用您正在做的事情来加强您的信息安全流程。

ISO/IEC 27001的重要性和好处

您的ISMS的强度取决于所实施的保护系统的强度，这就是为什么ISO/IEC 27001被誉为全球ISM的黄金标准。

由于ISO/IEC 27001是由国际标准化组织(International Organization for Standardization)处理的，因此它为遵守其要求的组织和利益相关者带来了不同的好处。其中包括……

保证网络弹性

由于大规模数字化，网络攻击有所增加。世界经济论坛的全球网络安全展望报告基于对120多位网络的调查，建议公司建立网络弹性，以表明他们对客户和客户信息安全的承诺。

遵守ISO 27001标准表明了在任何攻击情况下处理ISMS和加强网络安全的承诺。特别是当框架帮助组织:

识别风险。

处理问题。

以更高标准保证ISMS的效率。

检查组织流程和工作文化

由于ISO 27001规定了一个更全面的处理ISMS的框架，它的方法跨越了人员、流程和技术——在保持信息安全架构安全方面没有任何限制。因此，必须审查流程中的漏洞，并确保符合ISO标准。

员工还将接受培训，如何处理送到他们桌上的信息，以保持信息的完整性和保密性。此外，即使是在监管职责中，领导层也不会被排除在外。所有这些将导致:

改善所有人的工作文化。

更好的安全意识将防止与员工相关的网络事故。

管理影响生产力的信息相关问题的工作流清晰度。

确保利益相关者和客户满意

通过实施ISO 27001并坚持其标准，展示您的组织对信息安全的奉献精神，为您的客户和利益相关者减少担心的问题。该框架涵盖了信息安全的各个方面，使客户更有理由相信贵公司有能力处理他们的需求。反过来，这保证:

更好地控制你的业务

优质的服务和产品交付

保持业务合规

违反法规和法律政策会给您的组织带来不好的印象。由于对法律的无知不是借口，你需要保持积极主动，以避免陷入这种混乱。

ISO 27001也通过强调合规方面需要做的事情来涵盖这方面。这样做的好处是，你可以节省本来可以用来摆脱监管危机的资金。

(看看合规作为一种服务是否适合你。)

增加销售和改善市场营销

因为这个框架是如此的受人尊敬，ISO 27001的验证对公司来说是一个重要的营销时刻。首先，它给人以信任，这对于让人们与你达成交易是很重要的。如果您的竞争对手尚未获得认证，那么它也可以作为一种竞争优势。

这样做可以吸引客户到你的企业。例如，您可以发出新闻稿，宣布您的组织通过了ISO 27001认证。看看Splunk自己关于ISO 2700认证的新闻-一直追溯到2016年!

ISO 27001要求

ISO 27001分为两个部分:条款和附件A。

条款

这些条款共11条，但我们的重点是第4-10条，它规定了执行的强制性要求。在那里，我们发现ISO 27001的结构是:

条款4:组织的背景。在这里，你定义了组织结构，以及与公司的市场、政治和经济状况有关的一切。

条款5:领导力。ISO 27001的实施取决于组织的目标。因此，该条款要求您与管理层协商，以确保角色和职责的一致性和澄清

第6条:规划。由于ISO 27001的目标是风险评估，因此必须制定符合上述条款的风险处理计划，并将为组织提供更佳结果。

第7条:支持。ISO 27001在正确的结构中茁壮成长。包括资源、人员和文件。

第8条:操作。以上这些在实际操作中是什么样子的呢?这就是本条款所关注的。当你的计划受到考验时，必须有一些程序来确保它们的成功。

第9条:绩效评估。有了你的想法，工作还在继续。必须进行监测、测量和分析，以防止并将问题扼杀在萌芽状态。

条款10:改进。这是你开始修改行为的时候。

附件一个

在附件A中，我们发现了前面提到的93种不同的安全控制。这些控制进一步分为四个部分:

建立过程和文件的组织控制(37)。

人力资源管理的人员控制(8)。

操作工作设备的物理控制(14)。

IT和通信控制的技术控制(34)。

如何获得ISO/IEC 270001认证?

个人和组织可以选择通过满足ISO要求来获得认证。该认证通常由外部机构处理- ISO全权负责制定标准。

个人ISO 27001认证

想要获得认证的人通常将其作为一种获得职业阶梯的途径，并验证他们处理(审核、管理和保护)ISMS的能力。这项技能将使你在任何信息安全领域都很有价值。有了这个认证，您甚至可以成为ISO/IEC 27001首席实施者或ISO/IEC 27001首席审核员。

(您可能也对其他安全认证感兴趣。)

组织ISO 27001认证

要获得组织级认证，您的组织必须由ISO 27001顾问(他们主要是自由职业者)或独立机构进行审核，然后您才能申请此头衔。关于认证所用语言的说明:

遵循ISO 27001的要求意味着贵公司是合规的。

只有经过独立和认可机构的验证，您的组织才被称为ISO 27001认证。

完成这个过程是资本密集型的，可能需要三个月到一年的时间，这取决于你的组织的规模。贵组织将接受以下方面的审核:

风险评估计划

风险处理计划(RTP)

组织的信息安全政策

适用性声明(SoA)

使用中的技术

加上其他文档。每件事都要考虑周全——小到在公司购买新设备，甚至是领导结构的变动。

认证的挑战

在这个ISO中变得合规或进一步获得认证并不容易。考虑到上述所有要求，再加上其他因素，如:

负责认证的外部机构或顾问的费用。

即使在颁发证书之后，也要进行定期更新和检查。

这也就难怪小公司会羞于进行并购，而那些已经进行了并购的公司却引以为豪了。

ISO/IEC 27001帮助您的组织保持合规

当你的企业试图保持弹性时，跟上行业趋势和技术是完成这一任务的一种方法。ISO 27001可帮助您在全球层面保持相关性，并使您的组织免受合规性和网络问题的影响。

在Splunk，实施ISO 27001帮助我们保证了信息资产的保密性、完整性和可用性。

ISO 27001认证费用是多少?

符合ISO 27001标准的总成本可分为三类:

制备成本

实现成本

审计成本

制备成本

准备ISO 27001认证审核是一项重要的工作。您需要定义您的认证范围，执行风险评估和设计控制。这张准备费用清单列出了你需要考虑的一些最常见的费用。

ISO 27001和27002标准要求:~$350.00

学习ISO 27001标准及其114项控制措施是准备过程的关键部分。由于ISO没有公开提供这些标准，所以您必须购买它们。

目前，ISO网站列出的ISO 27001的价格约为125美元，下载一份标准。ISO 27002标准分享了实施控制的指导，下载价格为225美元。

ISO 27001顾问(可选):~ 38k美元

聘请外部ISO 27001顾问是节省公司资源并从合规专家处理安全管理中获益的好方法。顾问对ISO 27001的所有方面都有专门的知识，使他们成为导航合规过程的理想指南。

经验丰富的顾问知道合规过程的每一步的更佳实践，从构建ISMS到执行审计。他们可以帮助您确定认证范围、完成风险评估并进行差距分析。

ISO 27001顾问的费用是多少?与任何其他类型的专业咨询一样，答案取决于您的顾问的经验和您需要的具体服务。

然而，ISO顾问的平均成本徘徊在3.8万美元左右。Pivot Point Security将这些成本分为两个预认证阶段，指出ISO 27001顾问费用为每天1,400至1,800美元:

阶段:20,000美元——定义审计范围、风险评估、风险缓解、差距分析和补救计划

第二阶段:18,000美元—缺口修复、注册商选择、ISMS开发、事件响应、内部审计和审计支持

差距分析(可选):~ 5.7万美元

构建ISMS可能是一个主要的挑战，特别是当您次尝试解码ISO 27001要求时。差距分析将告诉你你目前所处的位置，以及你还需要做些什么来为审计做好准备。

在进行专业差距分析期间，合规专家将检查您的安全状况，并将其与ISO 27001标准进行比较。然后，他们将向您提供一份报告，详细说明您的ISMS的范围，您需要修复的任何差距，以及您需要多长时间才能准备好进行审核。

一家提供ISO 27001差距分析服务的公司，对拥有250名员工和一个办公地点的组织收费5700美元。

渗透测试和漏洞评估:~ 2-8万美元

ISO 27001的要求之一是控制目标A12.6:技术漏洞管理。报告指出，企业需要积极主动地发现漏洞，并采取行动加以解决。对于大多数公司来说，这意味着定期的渗透测试或漏洞评估。

通过渗透测试，您的公司雇佣第三方对您的基础设施、系统和应用程序发起模拟攻击。此攻击旨在暴露任何漏洞，以加强您的整体安全状态。

漏洞评估具有类似的目标，即发现安全防护中的任何漏洞。它涉及到对ISMS的系统审查，以查找漏洞并确定其优先级，然后确定您的组织应该如何响应。

大多数渗透测试的成本在5,000- 20,000美元之间，平均成本在8,000- 10,000美元之间。另一方面，漏洞评估的成本从2000美元到2500美元不等，这取决于需要分析的IP地址、服务器和应用程序的数量。

实现成本

您的安全控制是符合ISO 27001标准的关键。

当控制组在2022年发生变化时，控制组的总数从最初的114个减少到93个。这些控制包括安全策略、资产管理、访问控制和许多其他需求。

实现所有这些控制既昂贵又耗时。

下面我们将列出在实施阶段可能出现的一些相关费用。

员工培训:每年约1000美元

正式的安全培训是ISO 27001认证的要求。此外，它有助于建立一种理解和重视数据安全的公司文化。

网络安全培训通常每年花费1000美元或更少，这取决于内容的类型、实践培训的水平和你选择的公司。

安全软件和工具:各不相同

根据差距分析的结果，您可能需要(或希望)在完成审计之前投资于能够帮助增强整体安全状态的软件。这可能是网络安全监控、漏洞扫描、加密工具，或者像诺顿或卡巴斯基这样的一体化安全套件。

您也可以选择购买合规软件，以简化实现和维护ISO 27001认证。这对于次通过认证过程的公司尤其有价值，并且每一步都将受益于专家的支持。

生产力损失:各不相同

生产力成本是ISO 27001认证成本中更高的一部分，也是最难估计的一部分。

您可能需要工程、人力资源、法律和IT团队的成员来专注于ISO 27001认证。编写策略、实现控制和收集文档都是耗时的、长期的项目。当您的团队将他们的注意力转移到实现和维护遵从性时，他们自然会有更少的时间来关注其他项目。

在您获得认证后，您团队中的某些人还需要使您的ISMS保持最新。这意味着除了完成定期的内部审计外，还要监测新的风险，更新政策和控制措施。

认证审核费用

ISO 27001审核费用:$ 10- 50,000

最初的ISO 27001认证由阶段1和阶段2审核组成。

在阶段，审核员将审查你们的ISMS设计和文件，并指出任何不符合ISO 27001标准的地方。

在阶段2审核期间，审核员将评估您的业务流程和控制，以确定您的组织是否符合ISO 27001。

ISO 27001认证有效期为三年，需要定期监督审核。这些都是你需要考虑的经常性费用。您可以在年和第二年结束时支付监督审核费用，并在第三年结束时支付重新认证审核费用。

节省ISO 27001认证费用

获得ISO 27001认证是贵公司的一项主要投资，但并不一定要如此昂贵。

遵从性自动化可以显著降低成本