iso27001是什么:什么是ISO 27001?

什么是ISO 27001 ?为什么它很重要?

在剑桥分析公司丑闻之后，谈话自然转向了数据安全，使其成为每个行业组织的热门话题。ISO 27001专注于改进和验证您的网络安全标准，并与GDPR一起确保您的信息和数字保护水平在游戏中处于领先地位。

我们将详细介绍ISO 27001是什么，以及为什么它对每个企业都如此重要。

什么是ISO 27001?

ISO 27001是一项指导您建立超安全数据安全管理体系的国际标准。它详细介绍了您的组织在可操作上下文中的信息安全更佳实践。

虽然你最初可能认为网络安全与你、你的业务或你的客户无关，但它实际上适用于所有组织，无论其规模或复杂程度如何。ISO 27001帮助您遵守数据法和您可能有义务履行的各种合同要求。

通过获得ISO 27001认证，您将在组织的核心实施系统和流程，这将保护您免受全球每天发生的数据滥用和安全漏洞的攻击。与其他ISO认证一样，它也将在您的工作场所启动更佳实践，要求您记录您的日常操作程序，并根据这些系统协助您在越来越依赖技术的世界中工作。

为什么ISO 27001很重要?

毫无疑问，数据是有价值的。现代商业的许多方面都依赖于信息系统，尽管它带来了很多好处，但它也意味着我们面临着更高的威胁风险，比如黑客攻击和数据泄露——我们都看到过这对任何组织或个人造成多大损害的例子。

ISO 27001通过覆盖您的数据(无论是银行详细信息、密码还是敏感信息)，帮助您保护您的客户、员工和供应商。通过获得认证，您允许人们在您的业务中灌输一定程度的信任，因为标准会向组织内外的人传递您正在保护他们的数据安全。

欺诈和盗窃的威胁可以避免，因为这些破坏性行为的影响可能会对您的企业声誉造成长期损害;它甚至可能导致起诉!由于ISO 27001对保持高标准的长期存在感兴趣，因此它会不断评估您的合规性，以便您与最新的技术改进保持同步。

已经拥有ISO 9001?

ISO 9001用户会很高兴地知道，获得此认证将使获得ISO 27001认证的过程更加顺利。这是因为数据安全是质量管理的一个组成部分。由于ISO 27001是个使用附录SL框架开发的标准，因此将网络安全纳入您业务的关键齿轮比以往任何时候都更容易。

ISO 27001认证需要多长时间?

获得ISO 27001认证的传统过程可能相当漫长和复杂，需要数月的准备和多次审核。

合规自动化软件可以将这个时间从几个月缩短到几周。通过自动监控您的ISMS并收集证据，它减少了数百小时的审核准备工作。

无论您选择哪种方法，ISO 27001认证都有四个阶段:预审核准备、阶段1和阶段2认证审核、监督审核和再认证审核。在本文中，我们将概述在使用和不使用自动化的情况下获得ISO 27001认证所需的时间。

ISO 27001认证时间表

审计前阶段:第1个月至第4个月

步骤1:定义ISMS范围

步骤2:执行风险评估和差距分析

步骤3:设计和实现策略和控制

第四步:记录和收集证据

步骤5:必要时进行内部审计和补救

阶段审核:第5个月

步骤6:审核员审核ISMS文件

第二阶段审核:6-8个月

步骤7:审计员评估安全控制和业务流程

第八步:获得ISO 27001认证，有效期为三年

监督和持续改进:9-12个月

步骤9:监控ISMS的运行有效性

步骤10:进行内部审核以确定改进的机会

重新认证:20-44个月

步骤11:在第1年和第2年进行年度监督审计

步骤12:在您的三年认证期限结束时进行重新认证审核。重新认证的有效期为三年。

获得ISO 27001认证需要多长时间?

这取决于公司的规模和所维护数据的复杂程度。

一家中小型企业平均需要4个月就可以准备好接受审计，然后在6个月内通过审计流程。较大的组织可能需要一年或更长时间。

这四个月的审核准备通常包括确定ISMS的范围、进行风险评估和差距分析、设计和实施控制、培训员工、准备文档以及进行内部审核。

认证审核过程可能需要2-3个月，分为两个阶段。在阶段1审核期间，审核员审查ISMS文件，以确保政策和程序设计正确。他们还可能对组织如何改进其ISMS以使其更安全提出建议。

在第二阶段审核期间，审核员审查业务流程和控制，以确保符合ISO 27001的ISMS和附件a要求。

预审计阶段:1-4个月

在此期间，您将定义ISMS的范围，并决定您希望在ISO 27001证书上表示哪些信息资产。

接下来，您需要执行风险评估以识别威胁并决定如何处理每个风险。你们也可以选择聘请外部顾问进行差距分析，并就你们如何满足ISO 27001要求提供指导。

在审计准备阶段，您还需要准备文档，包括编写安全和隐私策略、收集控制证据以及培训员工。

审核阶段:1-6个月

ISO 27001认证审核分为两个阶段。在第1阶段，审核员将审核你们的ISMS文件。他们会检查确保你有适当的政策和程序，并满足ISO 27001的要求

一旦您完成了第1阶段的审核，您将进入第2阶段，审核员将审查您的业务流程和安全实践。

在您完成阶段和第二阶段审核后，审核员将向您颁发ISO 27001认证，有效期为三年。

合规自动化如何简化ISO 27001认证

传统的ISO 27001审核需要大量的准备工作。您必须编写十多个策略，收集和组织数百个证据，查找供应商安全证书，并执行大量其他乏味而耗时的任务。这是一个艰难的过程。

Secureframe使整个过程更加高效。我们帮助公司在很短的时间内获得ISO 27001认证——甚至与其他合规自动化供应商相比也是如此。

方法如下:

自动证据收集

我们的平台会在您的审核窗口自动收集证据。它还通过提醒您技术堆栈中的任何漏洞并告诉您如何修复它们来确保您保持安全。

策略模板

您不必尝试从头开始编写复杂而具体的策略，而是可以从我们的ISO审计就绪策略库中进行选择，并从中进行自定义。它们都经过前审计人员和合规专家的审查和批准。

审计准备仪表盘

将任务分配给团队中的个人，并跟踪审计准备的进度。在引入审核员之前，您将实时了解哪些方面看起来不错，以及您可以做些什么来改进。

我们的客户在几周内就为成功的ISO 27001审核做好了准备。看看他们是怎么说安全框架的。

获得ISO 27001认证需要多少费用?

随着公司的发展，你的成本会以很多方式增长——更多的员工，更多的法律保护，等等。其中一个增加的成本是你证明你的业务技术是安全的能力。事实上，您的业务扩展得越多，客户和其他利益相关者在与您开展业务之前就越需要一定的安全标准。

对于许多企业来说，这些要求是他们开始更多地了解ISO 27001合规性和认证的原因。随着您了解的越来越多，总会有一个迫在眉睫的问题:您的ISO 27001认证将花费多少钱?让我们看看所涉及的关键成本以及您可以预期的成本。

‍

获得ISO 27001认证意味着什么?

‍

在我们深入研究具体成本之前，重要的是要了解ISO 27001认证的实际含义。总部位于瑞士的国际标准化组织(ISO)是一个备受尊敬的组织，它制定了包括ISO 27001安全标准在内的各种标准。然而，他们不提供合规性认证。

验证您的ISO 27001合规性的证书是由第三方组织颁发的，这些组织将此作为付费服务执行。重要的是要认识到，当您申请认证时，您将向第三方组织申请，而不是ISO本身。这是ISO 27001认证价格差异很大的部分原因。

虽然ISO不颁发证书，但它确实有一套认证机构应该遵守的标准。它还建议您应确保您的认证提供商在您的获得认可。如果您选择了符合这些标准的认证提供商，您的ISO 27001认证应该被全球的客户和顾客所接受。

‍

ISO 27001认证费用是多少?

‍

在您开始这个过程之前，您想知道您的ISO 27001认证将花费多少，以及它对您的业务是否可行。不出所料，成本将因情况而异。对于拥有复杂系统的大型企业来说，总费用从6000美元到超过4万美元不等。

之所以有如此广泛的范围，部分原因是获得认证涉及到一些成本。这些通常包括:

‍

与评估您当前的信息安全管理体系(ISMS)以确定其是否符合ISO 27001标准相关的成本

建立符合所有ISO 27001标准的安全系统的费用

聘请第三方审核员评估您的ISMS是否符合ISO 27001标准的费用

认证机构收取的任何额外费用

每个成本领域都存在差异。事实上，有许多因素会影响您的ISO 27001认证的总成本。

‍

ISMS的复杂性

ISO 27001是关于您的ISMS的。您的ISMS越复杂，就需要更多的工程和时间来确保它的每个组件正确地遵循ISO 27001中的标准。额外的时间和工程转化为更高的初始成本，以达到法规遵从性，并在将来监视您的系统以保持法规遵从性。

‍

你的组织规模

一般来说，小型企业的ISO 27001认证成本接近成本范围的低端(约6,000美元)，而大型企业的成本更有可能达到40,000美元或更多。这是因为较大的组织有更多的机会出现安全风险。当你必须考虑到更多的雇员和承包商时，访问控制系统和其他安全协议的成本会更高。

‍

您选择的认证组织

正如我们所提到的，ISO不颁发合规认证——认证只由第三方组织和企业提供。正如预期的那样，这将导致成本变化，因为每个组织都可以设置自己的价格点。

每个组织也可能需要不同数量和类型的文件来验证您的合规性，因此这也会影响您的ISO 27001认证成本。例如，有些可能需要比其他审计更广泛和详细的审计。

‍

你的外部审计师

审计是合规性认证过程的重要组成部分，因此它也是成本的关键部分。ISO 27001审核的费用是多少?这取决于你聘请的审计师。与认证提供商一样，每个审核员都可以设定自己的价格，因此您的ISO 27001审核成本将取决于您选择的审核员。

‍

我如何降低我的ISO 27001成本?

为向第三国或国际组织传输数据提供适当保障措施的文件

不同类别数据的保留期限

技术和组织安全措施的一般描述

确定您的Data Map是否包含以下有关供应商代表您执行的处理活动的信息

处理者或处理者以及处理者所代表的每个控制者的名称和联系方式，以及，在适用的情况下，控制者或处理者的代表以及数据保护官的名称和联系方式

代表每个控制器执行的处理类别

为向第三国或国际组织传输数据提供适当保障措施的文件

技术和组织安全措施的一般描述

3.

确定处理数据的理由

对于每一类数据和系统/应用程序，您是否根据以下条件之一确定了处理的合法依据?

资料当事人的同意

与资料当事人订立合约

履行法律义务所必需的

为保护数据主体或第三方的切身利益所必需

为履行公共利益或行使赋予管理人的官方权力所必需的

对于控制者或第三方追求合法利益的目的是必要的，除非这些利益被数据主体的权利所压倒

4

对现有的客户和供应商合同进行盘点，以确认包括新的gdp要求的流程条款

审查所有客户合同，以确定他们有适当的合同语言(即带有标准合同条款的数据保护附录)

审查所有范围内的供应商合同，以确定他们是否有适当的合同语言(即带有标准合同条款的数据保护附录)

你们的协议包括下列条款吗?

除非欧盟或成员国法律另有要求，供应商仅应根据书面指示处理个人数据(包括在进行个人数据的国际转移时)

供应商确保获授权处理个人资料的人士须遵守保密承诺或专业或法定的保密义务。

供应商有足够的信息安全、技术和组织措施来支持数据主体的请求或泄露

除非得到要求或授权，供应商不得指定或向任何子处理器披露任何个人数据

供应商应在提供与处理相关的服务结束后删除或返回所有个人数据，并删除现有副本，除非欧盟或成员国法律要求存储个人数据;

供应商提供所有必要的信息，以证明合规性，并允许和有助于审计，包括检查

您是否对处理您的PII的供应商进行了风险评估?

5

确定是否需要进行数据保护影响评估

你的数据处理是否考虑了处理的性质、范围、背景和目的，可能会对自然人的权利和自由造成高风险?

您的处理是否涉及以下任何一项?

自动处理，包括分析，以及产生法律效果的决策的基础

特殊类别的数据或与刑事定罪和犯罪有关的数据

大规模监控公众可进入的区域。

如果上述任何情况属实，您可能需要对现有和新的数据项目进行数据保护影响评估。

6

审查产品和服务设计(包括您的网站或应用程序)，以确保隐私通知链接，营销同意和其他要求得到整合

您是否有一个面向公众的隐私政策，涵盖您所有产品、服务和网站的使用?

发给资料当事人的通知是否包括下列事项?

该组织及其代表的身份和联系方式

资料保护主任的联络资料(如适用)

处理个人资料的目的及处理的法律依据

个人资料的接收人或接收人类别(如有)

有关将个人资料转移至第三国的详情及所采取的适用保障措施

通知还包括以下内容吗?

保留期限，或者如果不可能保留期限，则用于确定保留期限的标准

数据主体权利的存在(即要求提供信息、修改或删除PII)

随时撤回同意的权利

向监管机构提出申诉的权利

提供个人资料是否属法定或合约规定，或属订立合约所必须的规定，以及资料当事人是否有责任提供该等个人资料，以及未能提供该等资料的可能后果

自动化决策的存在，包括分析，以及有关所涉及的逻辑的有意义的信息，以及重要性和后果

你是否有机制让人们改变或撤销同意?

7

更新内部隐私政策以遵守通知义务

更新欧盟员工的内部隐私通知

您是否有管理收集和使用欧盟和英国员工数据的员工隐私政策?

决定你是否需要委任一名资料保障主任，并在需要时委任一名

您是否已经决定是否必须根据以下条件之一指定数据保护官(DPO)(第37条)?

数据处理由公共机构执行

控制器或处理器的核心活动需要对数据主体进行定期和系统的大规模监控

8

如果您从欧盟导出数据，请考虑是否需要遵循机制来覆盖数据传输，例如模型条款

如果您在欧盟或英国境外传输、存储或处理数据，您是否确定了数据传输的法律依据(注意:很可能包含在标准合同条款中)?

你们是否执行并记录了转移影响评估(TIA)?

9

确认您遵守了其他数据主体的权利(即除了通知之外)

您是否有一个明确的流程来及时响应数据主体访问请求(DSAR)(即要求提供信息、修改或删除个人身份信息)?

你是否能够使用清晰易懂的语言，以简洁、透明、易懂和易于理解的形式提供主题信息?

当被要求时，您是否有纠正或删除数据的程序?

对于执法部门强制披露信息，你们有什么内部政策吗?

10

决定你是否需要指定一个欧盟代表，如果需要的话，就指定一个

您是否已指定欧盟代表或根据以下条件之一确定不需要欧盟代表?

数据处理是偶然的

数据处理规模不大

数据处理不包括与刑事定罪和犯罪有关的特殊类别或数据

不会危及数据主体的权利和自由

公共权力机构，公共机构

11

如果在多个欧盟运营，请确定牵头的数据保护机构(DPA)

您是否在不止一个欧盟开展业务?

如果是，您是否指定主要机构的监管机构作为您的主要监管机构?

12

实施员工培训，以证明遵守GDPR原则和数据主体权利

你们是否为员工提供了适当的安全意识和隐私培训?

13

更新内部程序和政策，以确保您能够遵守数据泄露响应要求

您是否创建并实施了事件响应计划，其中包括向欧盟和英国数据主体以及适当的数据当局报告违规行为的程序?

违规报告政策是否符合所有规定的时间表，并包括所有接收方，即当局、控制者和数据主体?

14

实施适当的技术和组织措施，以确保安全级别与风险相适应

这包括假名化/加密、保持机密性、在物理/技术事件发生后恢复访问以及定期测试措施

您是否对静态和传输中的PII实施了加密?

你实施过假名化吗?

您是否实施了适当的物理安全控制?

您是否实施了信息安全政策和程序?

你能清楚地访问欧盟或英国的PII数据吗?

您的技术和组织措施是否确保在默认情况下，只处理每个特定处理目的所必需的个人数据?

15

考虑通过自动化简化GDPR合规性

探索用于自动化安全性和遵从性的工具

将人工数据收集和观察过程转换为连续监测

ISO 27001认证成本

如果您试图确定ISO 27001认证的预算，那么很难找到关于ISO 27001成本的明确答案。

这是有原因的。ISO 27001认证的成本取决于以下因素:

组织的规模

办公地点数目

您的ISMS存储的数据类型

内部专家vs.雇佣顾问

当然，您的组织越小、越不复杂，您可能支付的费用就越少。

也就是说，在估计自己的ISO 27001合规成本时，记住具体的数字可能会有所帮助。

平均而言，公司在审核准备过程中可能需要支付高达40,000美元，认证审核本身需要支付15,000美元以上，每年需要支付10,000美元用于维护和监督审核。

下面我们将分解ISO 27001认证的典型成本，以便您了解相关成本，大致估算预算，并了解可以在哪些方面省钱。

ISO 27001认证费用是多少?

符合ISO 27001标准的总成本可分为三类:

制备成本

实现成本

审计成本

制备成本

准备ISO 27001认证审核是一项重要的工作。您需要定义您的认证范围，执行风险评估和设计控制。这张准备费用清单列出了你需要考虑的一些最常见的费用。

ISO 27001和27002标准要求:~$350.00

学习ISO 27001标准及其114项控制措施是准备过程的关键部分。由于ISO没有公开提供这些标准，所以您必须购买它们。

目前，ISO网站列出的ISO 27001的价格约为125美元，下载一份标准。ISO 27002标准分享了实施控制的指导，下载价格为225美元。

ISO 27001顾问(可选):~ 38k美元

聘请外部ISO 27001顾问是节省公司资源并从合规专家处理安全管理中获益的好方法。顾问对ISO 27001的所有方面都有专门的知识，使他们成为导航合规过程的理想指南。

经验丰富的顾问知道合规过程的每一步的更佳实践，从构建ISMS到执行审计。他们可以帮助您确定认证范围、完成风险评估并进行差距分析。

ISO 27001顾问的费用是多少?与任何其他类型的专业咨询一样，答案取决于您的顾问的经验和您需要的具体服务。

然而，ISO顾问的平均成本徘徊在3.8万美元左右。Pivot Point Security将这些成本分为两个预认证阶段，指出ISO 27001顾问费用为每天1,400至1,800美元:

阶段:20,000美元——定义审计范围、风险评估、风险缓解、差距分析和补救计划

第二阶段:18,000美元—缺口修复、注册商选择、ISMS开发、事件响应、内部审计和审计支持

差距分析(可选):~ 5.7万美元

构建ISMS可能是一个主要的挑战，特别是当您次尝试解码ISO 27001要求时。差距分析将告诉你你目前所处的位置，以及你还需要做些什么来为审计做好准备。

在进行专业差距分析期间，合规专家将检查您的安全状况，并将其与ISO 27001标准进行比较。然后，他们将向您提供一份报告，详细说明您的ISMS的范围，您需要修复的任何差距，以及您需要多长时间才能准备好进行审核。

一家提供ISO 27001差距分析服务的公司，对拥有250名员工和一个办公地点的组织收费5700美元。

渗透测试和漏洞评估:~ 2-8万美元

ISO 27001的要求之一是控制目标A12.6:技术漏洞管理。报告指出，企业需要积极主动地发现漏洞，并采取行动加以解决。对于大多数公司来说，这意味着定期的渗透测试或漏洞评估。

通过渗透测试，您的公司雇佣第三方对您的基础设施、系统和应用程序发起模拟攻击。此攻击旨在暴露任何漏洞，以加强您的整体安全状态。

漏洞评估具有类似的目标，即发现安全防护中的任何漏洞。它涉及到对ISMS的系统审查，以查找漏洞并确定其优先级，然后确定您的组织应该如何响应。

大多数渗透测试的成本在5,000- 20,000美元之间，平均成本在8,000- 10,000美元之间。另一方面，漏洞评估的成本从2000美元到2500美元不等，这取决于需要分析的IP地址、服务器和应用程序的数量。

实现成本

您的安全控制是符合ISO 27001标准的关键。

当控制组在2022年发生变化时，控制组的总数从最初的114个减少到93个。这些控制包括安全策略、资产管理、访问控制和许多其他需求。

实现所有这些控制既昂贵又耗时。

下面我们将列出在实施阶段可能出现的一些相关费用。

员工培训:每年约1000美元

正式的安全培训是ISO 27001认证的要求。此外，它有助于建立一种理解和重视数据安全的公司文化。

网络安全培训通常每年花费1000美元或更少，这取决于内容的类型、实践培训的水平和你选择的公司。

安全软件和工具:各不相同

根据差距分析的结果，您可能需要(或希望)在完成审计之前投资于能够帮助增强整体安全状态的软件。这可能是网络安全监控、漏洞扫描、加密工具，或者像诺顿或卡巴斯基这样的一体化安全套件。

您也可以选择购买合规软件，以简化实现和维护ISO 27001认证。这对于次通过认证过程的公司尤其有价值，并且每一步都将受益于专家的支持。

生产力损失:各不相同

生产力成本是ISO 27001认证成本中更高的一部分，也是最难估计的一部分。

您可能需要工程、人力资源、法律和IT团队的成员来专注于ISO 27001认证。编写策略、实现控制和收集文档都是耗时的、长期的项目。当您的团队将他们的注意力转移到实现和维护遵从性时，他们自然会有更少的时间来关注其他项目。

在您获得认证后，您团队中的某些人还需要使您的ISMS保持最新。这意味着除了完成定期的内部审计外，还要监测新的风险，更新政策和控制措施。

认证审核费用

ISO 27001审核费用:$ 10- 50,000

最初的ISO 27001认证由阶段1和阶段2审核组成。

在阶段，审核员将审查你们的ISMS设计和文件，并指出任何不符合ISO 27001标准的地方。

在阶段2审核期间，审核员将评估您的业务流程和控制，以确定您的组织是否符合ISO 27001。

ISO 27001认证有效期为三年，需要定期监督审核。这些都是你需要考虑的经常性费用。您可以在年和第二年结束时支付监督审核费用，并在第三年结束时支付重新认证审核费用。