內容摘要：深圳ISO27000務必了解的事項企業建立ISO27001認證有哪些步驟？不同的組織在建立與完善ISO27001信息安全管理體系時，可根據自己的特點和具體情況，采取不同的步驟和方法?？傮w上，建立ISO ...

深圳ISO27000務必了解的事項

企業建立ISO27001認證有哪些步驟？不同的組織在建立與完善ISO27001信息安全管理體系時，可根據自己的特點和具體情況，采取不同的步驟和方法?？傮w上，建立ISO27001信息安全管理體系一般要經過下列PDCA四個基本階段：Plan信息安全管理體系的策劃與準備；Do信息安全管理體系文件的編制；Check信息安全管理體系運行；Action信息安全管理體系審核、評審和持續改進。

ISO27001認證審核費用及周期：除了企業自身投入之外，ISO27001認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之后，認證機構會初步了解組織現狀，確定審核范圍，提出審核報價。認證機構的報價通常是根據其投入的時間和人員來確定的，決定因素包括：1、受審核組織的員工數量；2、納入審核范圍的信息量；3、場所數量；4、組織與外界的關聯；5、組織IT的復雜性；6、組織類型和業務性質等。除了費用問題，認證審核的周期通常也是組織比較關心的。一般來說，從組織啟動ISMS建設項目開始，到最終通過審核，至少要有半年時間（不包括獲取證書的時間）。對于很多因為外部驅動力而決心實施ISO27001認證項目的組織來說，提早進行規劃是必要的。

ISO27000認證的步驟是：步驟1–SGS根據組織的規模及業務類型提供定制化的建議，在您簽署建議書后，審核即可開始。步驟2–SGS提供可選擇的針對準備情況與薄弱環節的“預審”服務。步驟3–正式審核。第一階段——準備情況評估：對組織建立的文件化體系及其他重要體系進行評估，提出不符合項。步驟4–第二階段：包括與工作人員面談、文件記錄的檢查以及對工作實踐的現場考察，提出審核發現，審核合格后會簽發證書。步驟5–根據合同，每半年或一年對體系和整改計劃的實施進行監督審核。步驟6–證書簽發滿3年期后，實施再認證審核。價錢需要結合企業的情況，覆蓋人數等等來衡量的。

ISO27001認證是什么？英國標準協會在1995年提出的BS7799標準是信息安全管理要求ISO27001的前身，分為信息安全管理實施規則和信息安全管理體系規范兩個部分。隨著信息化水平的高速發展，信息安全也成為了焦點，于是國際標準化組織就信息安全管理方面通過了ISO27001信息安全管理體系，目前應用最廣泛的是ISO27001:2005，當前的最新版本是ISO27001:2013信息安全管理體系。

ISO27001認證要求：ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質量管理的經驗舉足輕重。但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權，才能為認證組織提供認證服務，并發放認證證書。大多數國家都有自己的國家鑒定機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。

關鍵詞：深圳ISO27000事項,深圳ISO27000