Man and a woman with a laptop in a server room

ISO 27001认证

您的咨询


系统信息安全

对于正在进行数字化转型的企业来说,"信息安全 "这一话题正变得日益紧迫。如果没有足够的安全防范措施,就会有数据丢失和被黑客窃取的风险,也会有因网络攻击或数据滥用而导致业务中断的风险。根据 ISO 27001 标准建立信息安全管理系统(ISMS)是结构化方法的一种选择。

可证明的数据和信息安全

信息安全是企业文化的一部分

有效实施风险管理过程

不断提高你的安全水平

Business10.png

什么是ISO 27001?

ISO/IEC 27001 是实施信息安全综合管理系统的领先国际标准。它侧重于识别、评估和管理信息处理流程的风险。保密信息的安全作为一个重要的战略要素得到了强调。

信息无处不在,是每个流程的一部分。有时,它可能无关紧要,但很多时候,它却是至关重要的机密信息。为了对组织进行这一重要区分,有必要对信息进行分类。因为根据 ISO/IEC 27001 标准,信息安全管理系统(ISMS)的保护措施就是基于这种分类。

ISMS 为保护操作数据及其机密性建立了框架。同时,这一全球公认的标准还能确保企业流程中所涉及的 IT 系统的可用性。在这种情况下,ISO 27001 认证向市场发出了一个强烈的信号:即对 ISMS 的有效性进行独立的外部评估和确认。

ISO/IEC 27001 的第二版可追溯到 2013 年。现在,这项国际公认的 ISMS 标准已更新,并于 2022 年 10 月 25 日重新发布了第三版,即 ISO/IEC 27001:2022。作为 ISO 27001 附件 A 的实施指南,ISO/IEC 27002 于 2022 年 2 月进行了全面修订并发布,此次修订是修订后的必然结果。

现有 ISO 27001 证书的过渡期为三年,从新版 ISO/IEC 27001:2022 发布月的最后一天算起,这意味着所有根据 ISO/IEC 27001:2013 颁发的证书必须在 2025 年 10 月 31 日之前转换为 2022 版 ISO 27001,您可以在我们的文章 "新版 ISO/IEC 27001:2022 - 主要变化 "中了解 ISO 27001 更新的新功能。

 

 

显示更多
显示更少
SEO19.png

ISO 27001认证适用于谁?

ISMS 标准 ISO 27001 适用于全球。它为各种规模和行业的公司提供了规划、实施和监控信息安全的框架。这些要求适用于私营和上市公司以及非营利组织。

例如,在德国,隶属于关键基础设施部门(KRITIS)并超过一定门槛的公司必须提供证据,证明其如何确保信息安全。KRITIS 部门包括能源、水、卫生、金融和保险、食品、运输和交通、信息技术和电信。相应的实施证明可通过安全审计、测试或认证来提供。为此,可将 ISO 27001 等公认标准或德国联邦信息安全办公室 (BSI) 认可的特定行业安全标准作为审核依据。

Business11.png

什么使ISO 27001标准对我的公司有用?

根據 ISO/IEC 27001 引入 資訊安全管理體系是貴公司的戰略決策。標準的一般要求的實現必須反映公司的具體情況。公司的實施取決於需求和目標、安全要求和組織流程,以及公司的規模和結構。

對實踐特別有價值的是標準附錄 A 中措施的實施。除了面向管理系統的要求部分(第 4 章至第 10 章)外,ISO 標準還包含 35 個措施目標(控制)的詳盡列表,其中包含 114 項具體措施,涉及附件 A 中的 14 個章節中的各種安全方面。措施必須在管理系統的框架內實施。這些措施必須作為管理系統的一部分實施,只要它們與您的公司相關。

事實證明,公司流程與 ISO 27001 保持一致可帶來許多好處:

  • 安全等級持續提升
  • 降低現有風險
  • 遵守合規要求
  • 提高員工的意識
  • 提高客戶滿意度

高層管理人員參與的內部審核和管理評審是實現這一目標的內部有效槓桿。

其他積極方面是監管機構、保險公司、銀行、合作夥伴公司等利益相關方對貴公司建立了更高水平的信任。這是因為經過認證的管理體系表明您的組織以結構化的方式處理風險並支持持續改進,從而使其更能抵抗不必要的影響。

ISO/IEC 27001 国际标准也可独立于其他管理体系(如 ISO 9001(质量管理)或 ISO 14001(环境管理))实施、运行和认证。

 

 

显示更多
显示更少
Business36.png

谁可以根据 ISO 27001 进行认证?

为了对信息安全管理系统进行认证,相关认证机构本身必须获得 ISO/IEC 17021 和 ISO/IEC 27006 的认可。ISO/IEC 17021 规定了与符合性评估相关的主题,特别是对审核和认证管理系统的检查机构的要求。

此外,ISO/IEC 27006 规定了认证机构根据 ISO 27001 认证 ISMS 时必须遵守的严格要求。

这些要求包括:

  • 特定审核工作的证据
  • 审核员资格要求。

DQS 已获得德国国家认证机构 DakkS(Deutsche Akkreditierungsstelle GmbH)的认可,因此有权根据 ISO 27001 执行审核和认证。

无论贵公司在哪个行业开展业务,您都可以信赖DQS 审核员与众不同的专业知识。他们在评估各行业信息安全管理系统方面拥有多年经验。

Business28.png

ISO 27001认证是如何进行的?

一旦ISO 27001的所有要求得到实施,您就可以对您的管理系统进行认证。您将在DQS经历一个多阶段的认证过程。如果公司已经建立了认证的管理系统,那么这个过程可以缩短。

在第一步,您与我们讨论您的公司和ISO 27001认证的目标。在此基础上,您将收到一份根据贵公司的个别需求而定制的详细报价。

项目规划会议对较大的项目来说是有用的,例如,为了更好地协调时间表和有多个地点或部门的审计工作的执行。预审为您提供了一个机会,提前确定您管理系统的优势和改进潜力。这两项服务都是可选的。

认证审核始于对您的ISMS的系统分析和评估(审核阶段1)。在这里,您的审核员确定您的管理系统是否已经充分发展并准备好进行认证。在下一步(系统审核阶段2),您的审核员运用ISO 27001标准,对现场所有管理流程的有效性进行评估。审计结果将在最后一次会议上提交。如有必要,将就行动计划达成一致。

认证审核结束后,由DQS的独立认证委员会对结果进行评估。如果所有标准要求都得到满足,您将获得ISO 27001证书。

成功认证后,您的ISMS的关键部分每年至少在现场重新审核一次,以确保持续改进。

ISO 27001证书的有效期最长为三年。重新认证在到期前适时进行,以确保持续符合适用的标准要求。一旦符合要求,将颁发新的证书。

Banking13.png

ISO 27001认证的费用是多少?

四个评估标准

尽管ISO 27001审核要按照结构化的规范进行,但费用取决于各种因素,如你的组织的复杂性。因此,对于任何特定的公司来说,不可能有一个放之四海而皆准的报价。

尽管 ISO 27001 审核是根据结构化规范进行的,但其成本取决于各种因素,如企业的复杂程度。因此,不可能为任何特定公司提供 "一刀切 "的报价。

ISO 27001 认证费用主要根据以下四项标准确定:

1. 信息安全管理系统的复杂程度。

考虑贵公司的关键价值(如专利、个人数据、设施、流程)。认证费用主要基于信息安全要求以及信息的保密性、完整性和可用性(VIV)受影响的程度。

2. 贵公司在 ISMS 范围内的核心业务

此时,与贵公司业务流程相关的风险尤其对确定必要的审计工作起着重要作用。法律要求以及复杂、个性化的客户要求都要考虑在内。

3. ISMS 中使用的主要技术和组件

在审核过程中,将对贵公司 ISMS 的技术和各个组成部分进行检查。其中包括 IT 平台、服务器、数据库、应用程序和网段。这里的基本规则是 标准系统的比例越高,IT 的复杂程度越低,所需的工作量就越小。ISO 27001 认证的成本也取决于此。

4 内部开发在 ISMS 中的比例

如果没有内部开发,主要使用标准化的软件平台,那么评估的工作量就会降低。如果贵公司 ISMS 的特点是大量使用自主开发的软件,而且这些软件主要用于中心业务领域,则认证工作的工作量会更大。

为了让我们能够为您提供 ISMS 认证的成本概况,我们需要您事先提供有关您的业务模式和应用领域的准确信息。这样我们才能为您提供量身定制的服务。

显示更多
显示更少

您可以从我们这里期待什么

  • 超过35年的管理体系和流程认证经验
  • 具有丰富行业经验的审核员和专家,具有很强的技术知识
  • 对您的公司有增值的洞察力
  • 具有国际认可的证书
  • 所有相关标准的专业知识和认证
  • 我们的专家在地区、国家和国际范围内提供个人的、顺利的支持
  • 灵活的合同条款和无隐性费用的个性化报价
Contact-South-Asia-woman-shutterstock_1766529371.jpg

要求报价

您的当地联系人

我们很乐意为您提供您的ISMS的ISO 27001认证的个别报价。

查询

新版 ISO/IEC 27001:2022 - 主要变化

在本篇 DQS 博文中,您将了解到有关 ISO 27001:2022 标准修订版中主要变更和新增内容的最重要信息。

到博客文章

有任何问题吗?

我们在这里为你服务。
联系我们