iso27001办理费用:ISO 27001认证时间表

什么是ISO 27001 ?为什么它很重要?

在剑桥分析公司丑闻之后，谈话自然转向了数据安全，使其成为每个行业组织的热门话题。ISO 27001专注于改进和验证您的网络安全标准，并与GDPR一起确保您的信息和数字保护水平在游戏中处于领先地位。

我们将详细介绍ISO 27001是什么，以及为什么它对每个企业都如此重要。

什么是ISO 27001?

ISO 27001是一项指导您建立超安全数据安全管理体系的国际标准。它详细介绍了您的组织在可操作上下文中的信息安全更佳实践。

虽然你最初可能认为网络安全与你、你的业务或你的客户无关，但它实际上适用于所有组织，无论其规模或复杂程度如何。ISO 27001帮助您遵守数据法和您可能有义务履行的各种合同要求。

通过获得ISO 27001认证，您将在组织的核心实施系统和流程，这将保护您免受全球每天发生的数据滥用和安全漏洞的攻击。与其他ISO认证一样，它也将在您的工作场所启动更佳实践，要求您记录您的日常操作程序，并根据这些系统协助您在越来越依赖技术的世界中工作。

为什么ISO 27001很重要?

毫无疑问，数据是有价值的。现代商业的许多方面都依赖于信息系统，尽管它带来了很多好处，但它也意味着我们面临着更高的威胁风险，比如黑客攻击和数据泄露——我们都看到过这对任何组织或个人造成多大损害的例子。

ISO 27001通过覆盖您的数据(无论是银行详细信息、密码还是敏感信息)，帮助您保护您的客户、员工和供应商。通过获得认证，您允许人们在您的业务中灌输一定程度的信任，因为标准会向组织内外的人传递您正在保护他们的数据安全。

欺诈和盗窃的威胁可以避免，因为这些破坏性行为的影响可能会对您的企业声誉造成长期损害;它甚至可能导致起诉!由于ISO 27001对保持高标准的长期存在感兴趣，因此它会不断评估您的合规性，以便您与最新的技术改进保持同步。

已经拥有ISO 9001?

ISO 9001用户会很高兴地知道，获得此认证将使获得ISO 27001认证的过程更加顺利。这是因为数据安全是质量管理的一个组成部分。由于ISO 27001是个使用附录SL框架开发的标准，因此将网络安全纳入您业务的关键齿轮比以往任何时候都更容易。

ISO 27001认证需要多长时间?

获得ISO 27001认证的传统过程可能相当漫长和复杂，需要数月的准备和多次审核。

合规自动化软件可以将这个时间从几个月缩短到几周。通过自动监控您的ISMS并收集证据，它减少了数百小时的审核准备工作。

无论您选择哪种方法，ISO 27001认证都有四个阶段:预审核准备、阶段1和阶段2认证审核、监督审核和再认证审核。在本文中，我们将概述在使用和不使用自动化的情况下获得ISO 27001认证所需的时间。

ISO 27001认证时间表

审计前阶段:第1个月至第4个月

步骤1:定义ISMS范围

步骤2:执行风险评估和差距分析

步骤3:设计和实现策略和控制

第四步:记录和收集证据

步骤5:必要时进行内部审计和补救

阶段审核:第5个月

步骤6:审核员审核ISMS文件

第二阶段审核:6-8个月

步骤7:审计员评估安全控制和业务流程

第八步:获得ISO 27001认证，有效期为三年

监督和持续改进:9-12个月

步骤9:监控ISMS的运行有效性

步骤10:进行内部审核以确定改进的机会

重新认证:20-44个月

步骤11:在第1年和第2年进行年度监督审计

步骤12:在您的三年认证期限结束时进行重新认证审核。重新认证的有效期为三年。

获得ISO 27001认证需要多长时间?

这取决于公司的规模和所维护数据的复杂程度。

一家中小型企业平均需要4个月就可以准备好接受审计，然后在6个月内通过审计流程。较大的组织可能需要一年或更长时间。

这四个月的审核准备通常包括确定ISMS的范围、进行风险评估和差距分析、设计和实施控制、培训员工、准备文档以及进行内部审核。

认证审核过程可能需要2-3个月，分为两个阶段。在阶段1审核期间，审核员审查ISMS文件，以确保政策和程序设计正确。他们还可能对组织如何改进其ISMS以使其更安全提出建议。

在第二阶段审核期间，审核员审查业务流程和控制，以确保符合ISO 27001的ISMS和附件a要求。

预审计阶段:1-4个月

在此期间，您将定义ISMS的范围，并决定您希望在ISO 27001证书上表示哪些信息资产。

接下来，您需要执行风险评估以识别威胁并决定如何处理每个风险。你们也可以选择聘请外部顾问进行差距分析，并就你们如何满足ISO 27001要求提供指导。

在审计准备阶段，您还需要准备文档，包括编写安全和隐私策略、收集控制证据以及培训员工。

审核阶段:1-6个月

ISO 27001认证审核分为两个阶段。在第1阶段，审核员将审核你们的ISMS文件。他们会检查确保你有适当的政策和程序，并满足ISO 27001的要求

一旦您完成了第1阶段的审核，您将进入第2阶段，审核员将审查您的业务流程和安全实践。

在您完成阶段和第二阶段审核后，审核员将向您颁发ISO 27001认证，有效期为三年。

合规自动化如何简化ISO 27001认证

传统的ISO 27001审核需要大量的准备工作。您必须编写十多个策略，收集和组织数百个证据，查找供应商安全证书，并执行大量其他乏味而耗时的任务。这是一个艰难的过程。

Secureframe使整个过程更加高效。我们帮助公司在很短的时间内获得ISO 27001认证——甚至与其他合规自动化供应商相比也是如此。

方法如下:

自动证据收集

我们的平台会在您的审核窗口自动收集证据。它还通过提醒您技术堆栈中的任何漏洞并告诉您如何修复它们来确保您保持安全。

策略模板

您不必尝试从头开始编写复杂而具体的策略，而是可以从我们的ISO审计就绪策略库中进行选择，并从中进行自定义。它们都经过前审计人员和合规专家的审查和批准。

审计准备仪表盘

将任务分配给团队中的个人，并跟踪审计准备的进度。在引入审核员之前，您将实时了解哪些方面看起来不错，以及您可以做些什么来改进。

我们的客户在几周内就为成功的ISO 27001审核做好了准备。看看他们是怎么说安全框架的。

ISO 27001认证费用是多少?

‍

在您开始这个过程之前，您想知道您的ISO 27001认证将花费多少，以及它对您的业务是否可行。不出所料，成本将因情况而异。对于拥有复杂系统的大型企业来说，总费用从6000美元到超过4万美元不等。

之所以有如此广泛的范围，部分原因是获得认证涉及到一些成本。这些通常包括:

‍

与评估您当前的信息安全管理体系(ISMS)以确定其是否符合ISO 27001标准相关的成本

建立符合所有ISO 27001标准的安全系统的费用

聘请第三方审核员评估您的ISMS是否符合ISO 27001标准的费用

认证机构收取的任何额外费用

每个成本领域都存在差异。事实上，有许多因素会影响您的ISO 27001认证的总成本。

‍

ISMS的复杂性

ISO 27001是关于您的ISMS的。您的ISMS越复杂，就需要更多的工程和时间来确保它的每个组件正确地遵循ISO 27001中的标准。额外的时间和工程转化为更高的初始成本，以达到法规遵从性，并在将来监视您的系统以保持法规遵从性。

‍

你的组织规模

一般来说，小型企业的ISO 27001认证成本接近成本范围的低端(约6,000美元)，而大型企业的成本更有可能达到40,000美元或更多。这是因为较大的组织有更多的机会出现安全风险。当你必须考虑到更多的雇员和承包商时，访问控制系统和其他安全协议的成本会更高。

‍

您选择的认证组织

正如我们所提到的，ISO不颁发合规认证——认证只由第三方组织和企业提供。正如预期的那样，这将导致成本变化，因为每个组织都可以设置自己的价格点。

每个组织也可能需要不同数量和类型的文件来验证您的合规性，因此这也会影响您的ISO 27001认证成本。例如，有些可能需要比其他审计更广泛和详细的审计。

‍

你的外部审计师

审计是合规性认证过程的重要组成部分，因此它也是成本的关键部分。ISO 27001审核的费用是多少?这取决于你聘请的审计师。与认证提供商一样，每个审核员都可以设定自己的价格，因此您的ISO 27001审核成本将取决于您选择的审核员。

‍

我如何降低我的ISO 27001成本?

为向第三国或国际组织传输数据提供适当保障措施的文件

不同类别数据的保留期限

技术和组织安全措施的一般描述

确定您的Data Map是否包含以下有关供应商代表您执行的处理活动的信息

处理者或处理者以及处理者所代表的每个控制者的名称和联系方式，以及，在适用的情况下，控制者或处理者的代表以及数据保护官的名称和联系方式

代表每个控制器执行的处理类别

为向第三国或国际组织传输数据提供适当保障措施的文件

技术和组织安全措施的一般描述

3.

确定处理数据的理由

对于每一类数据和系统/应用程序，您是否根据以下条件之一确定了处理的合法依据?

资料当事人的同意

与资料当事人订立合约

履行法律义务所必需的

为保护数据主体或第三方的切身利益所必需

为履行公共利益或行使赋予管理人的官方权力所必需的

对于控制者或第三方追求合法利益的目的是必要的，除非这些利益被数据主体的权利所压倒

4

对现有的客户和供应商合同进行盘点，以确认包括新的gdp要求的流程条款

审查所有客户合同，以确定他们有适当的合同语言(即带有标准合同条款的数据保护附录)

审查所有范围内的供应商合同，以确定他们是否有适当的合同语言(即带有标准合同条款的数据保护附录)

你们的协议包括下列条款吗?

除非欧盟或成员国法律另有要求，供应商仅应根据书面指示处理个人数据(包括在进行个人数据的国际转移时)

供应商确保获授权处理个人资料的人士须遵守保密承诺或专业或法定的保密义务。

供应商有足够的信息安全、技术和组织措施来支持数据主体的请求或泄露

除非得到要求或授权，供应商不得指定或向任何子处理器披露任何个人数据

供应商应在提供与处理相关的服务结束后删除或返回所有个人数据，并删除现有副本，除非欧盟或成员国法律要求存储个人数据;

供应商提供所有必要的信息，以证明合规性，并允许和有助于审计，包括检查

您是否对处理您的PII的供应商进行了风险评估?

5

确定是否需要进行数据保护影响评估

你的数据处理是否考虑了处理的性质、范围、背景和目的，可能会对自然人的权利和自由造成高风险?

您的处理是否涉及以下任何一项?

自动处理，包括分析，以及产生法律效果的决策的基础

特殊类别的数据或与刑事定罪和犯罪有关的数据

大规模监控公众可进入的区域。

如果上述任何情况属实，您可能需要对现有和新的数据项目进行数据保护影响评估。

6

审查产品和服务设计(包括您的网站或应用程序)，以确保隐私通知链接，营销同意和其他要求得到整合

您是否有一个面向公众的隐私政策，涵盖您所有产品、服务和网站的使用?

发给资料当事人的通知是否包括下列事项?

该组织及其代表的身份和联系方式

资料保护主任的联络资料(如适用)

处理个人资料的目的及处理的法律依据

个人资料的接收人或接收人类别(如有)

有关将个人资料转移至第三国的详情及所采取的适用保障措施

通知还包括以下内容吗?

保留期限，或者如果不可能保留期限，则用于确定保留期限的标准

数据主体权利的存在(即要求提供信息、修改或删除PII)

随时撤回同意的权利

向监管机构提出申诉的权利

提供个人资料是否属法定或合约规定，或属订立合约所必须的规定，以及资料当事人是否有责任提供该等个人资料，以及未能提供该等资料的可能后果

自动化决策的存在，包括分析，以及有关所涉及的逻辑的有意义的信息，以及重要性和后果

你是否有机制让人们改变或撤销同意?

7

更新内部隐私政策以遵守通知义务

更新欧盟员工的内部隐私通知

您是否有管理收集和使用欧盟和英国员工数据的员工隐私政策?

决定你是否需要委任一名资料保障主任，并在需要时委任一名

您是否已经决定是否必须根据以下条件之一指定数据保护官(DPO)(第37条)?

数据处理由公共机构执行

控制器或处理器的核心活动需要对数据主体进行定期和系统的大规模监控

8

如果您从欧盟导出数据，请考虑是否需要遵循机制来覆盖数据传输，例如模型条款

如果您在欧盟或英国境外传输、存储或处理数据，您是否确定了数据传输的法律依据(注意:很可能包含在标准合同条款中)?

你们是否执行并记录了转移影响评估(TIA)?

9

确认您遵守了其他数据主体的权利(即除了通知之外)

您是否有一个明确的流程来及时响应数据主体访问请求(DSAR)(即要求提供信息、修改或删除个人身份信息)?

你是否能够使用清晰易懂的语言，以简洁、透明、易懂和易于理解的形式提供主题信息?

当被要求时，您是否有纠正或删除数据的程序?

对于执法部门强制披露信息，你们有什么内部政策吗?

10

决定你是否需要指定一个欧盟代表，如果需要的话，就指定一个

您是否已指定欧盟代表或根据以下条件之一确定不需要欧盟代表?

数据处理是偶然的

数据处理规模不大

数据处理不包括与刑事定罪和犯罪有关的特殊类别或数据

不会危及数据主体的权利和自由

公共权力机构，公共机构

11

如果在多个欧盟运营，请确定牵头的数据保护机构(DPA)

您是否在不止一个欧盟开展业务?

如果是，您是否指定主要机构的监管机构作为您的主要监管机构?

12

实施员工培训，以证明遵守GDPR原则和数据主体权利

你们是否为员工提供了适当的安全意识和隐私培训?

13

更新内部程序和政策，以确保您能够遵守数据泄露响应要求

您是否创建并实施了事件响应计划，其中包括向欧盟和英国数据主体以及适当的数据当局报告违规行为的程序?

违规报告政策是否符合所有规定的时间表，并包括所有接收方，即当局、控制者和数据主体?

14

实施适当的技术和组织措施，以确保安全级别与风险相适应

这包括假名化/加密、保持机密性、在物理/技术事件发生后恢复访问以及定期测试措施

您是否对静态和传输中的PII实施了加密?

你实施过假名化吗?

您是否实施了适当的物理安全控制?

您是否实施了信息安全政策和程序?

你能清楚地访问欧盟或英国的PII数据吗?

您的技术和组织措施是否确保在默认情况下，只处理每个特定处理目的所必需的个人数据?

15

考虑通过自动化简化GDPR合规性

探索用于自动化安全性和遵从性的工具

将人工数据收集和观察过程转换为连续监测

下载此清单以方便参考

1

制定成功实施ISMS和ISO 27001认证的路线图

实施“计划、执行、检查、行动”(PDCA)流程，以识别挑战并确定补救差距考虑与组织规模和员工数量相关的ISO 27001认证成本

明确定义工作范围，计划完成认证的时间

选择ISO 27001审核员

2

设置组织ISMS的范围

决定ISMS涵盖哪些业务领域，哪些业务领域不在其范围之内

考虑对跨信任边界传递受isms保护的信息所需的业务流程进行额外的安全控制

告知涉众有关ISMS的范围

3.

建立ISMS管理机构

建立一个具有管理监督的治理团队

整合高层管理的主要成员，例如领导和行政管理人员，负责战略和资源分配

4

对信息资产进行盘点

考虑存储、处理和访问信息的所有资产

‍

记录信息资产:数据和人

记录物理资产:笔记本电脑、服务器和物理建筑位置

记录无形资产:知识产权、品牌和声誉

为每项资产分配一个分类和所有者，以确保资产得到适当的盘点、分类、保护和处理

5

执行风险评估

建立并记录风险管理框架以确保一致性

识别可能危及信息、系统或服务的场景

确定这些情景 发生的可能性或频率

评估每个场景对信息、系统和服务的机密性、完整性或可用性的潜在影响

根据对组织目标的总体风险对风险情景进行排序

6

建立风险登记册

记录和管理组织的风险

总结每个已识别的风险

指出每个风险的影响和可能性

7

记录风险处理计划

为每个风险设计响应(风险处理)

为每一个确定的风险分配一个负责任的所有者

分配风险缓解活动的所有者

确定完成风险处理活动的目标日期

8

完成适用性陈述表

审核ISO 27001标准附件A中的114项控制

选择控制以处理已识别的风险

完成列出所有附录A控制的适用性声明，证明在ISMS实施中包括或排除每个控制

9

持续评估和管理风险

建立建立、实施、维护和持续改进ISMS的框架

包括以下方面的信息或对支持性文件的参考:

‍

资讯保安目标

领导与承诺

角色、职责和权限

评估和处理风险的方法

文件化信息的控制

沟通

内部审计

管理评审

纠正措施和持续改进

违反政策

10

整理所需文件和记录

审核ISO 27001要求的文件和记录清单

使用特定于组织的策略、流程和语言自定义策略模板

11

建立员工培训和意识项目

定期进行培训，以确保对新政策和程序的认识

定义人员在ISMS维护中的角色期望

培训人员了解组织面临的常见威胁以及如何应对

对发现不符合信息安全要求的人员建立纪律或制裁政策或程序

12

执行内部审计

分配内部资源与必要的能力，谁是独立于ISMS开发和维护，或聘请独立的第三方

验证是否符合附录A中被认为适用于你们ISMS适用性声明的要求

与ISMS管理机构和管理层共享内部审核结果，包括不符合项

在进行外部审计之前，先解决已发现的问题

13

接受ISMS外部审核，获得ISO 27001认证

聘请独立的ISO 27001审核员

进行阶段审计，包括广泛的文件审查;获得关于进入第二阶段审核的准备情况的反馈

进行第二阶段审核，包括对ISMS进行测试，以确保正确的设计、实施和持续的功能;评估控制措施的公平性、适宜性以及有效实施和操作