ISO27001 信息安全
信息安全管理体系认证,适用于数据与信息密集型企业。
我们会先对产品做归类与全球通用市场的合规路径评估,确认适用法规、测试项目与责任主体后再启动,避免重复投入与“做了认证却不能上架”的情况。
适用产品 / 场景
- 数据、互联网与信息密集型企业
- 面向全球通用市场销售并需满足当地准入要求
办理流程
- 信息安全体系诊断与范围界定
- 开展信息资产识别与风险评估
- 编制适用性声明(SoA)并落实安全控制
- 体系运行、内审与管理评审后两阶段审核
- 取得证书并按周期监督审核、复评
资料清单
- 营业执照与组织架构
- 信息资产清单
- 风险评估报告与适用性声明(SoA)
- 安全策略、控制措施与运行记录
周期与维护参考
| 项目 | 常见口径 |
|---|---|
| 目标市场 | 全球通用 |
| 办理周期 | 约 1-3 个月 |
| 有效期/维护 | 每年监督审核,三年复评 |
周期为公开与经验口径,实际受产品复杂度、测试项目与机构档期影响。
参考费用
| 费用构成 | 说明 |
|---|---|
| 测试/审核费 | 按测试项目、产品复杂度与实验室/机构标准计 |
| 证书/注册费 | 按发证机构或注册平台当期标准执行 |
| 代理服务费 | 按办理范围与跟进工作量评估报价 |
| 维护费用 | 年审、监督审核、续期等按需产生 |
费用受产品类别、测试项目与目标市场影响较大,建议先做合规路径评估再报价,具体以正式方案与合同约定为准。
常见问题(FAQ)
哪些企业需要ISO27001认证?
IT服务公司、SaaS平台、数据处理企业、金融科技公司、面向欧美客户的外包服务商。政府采购、大型企业供应商资质要求越来越普遍,GDPR合规也常以ISO27001为参考依据。
ISO27001认证费用多少?
约1.5-5万元人民币,依企业规模、信息资产复杂度和风险等级而定。中小型互联网企业通常在2-3万元范围内。
ISO27001认证需要多长时间?
体系建立到发证通常3-6个月。包括信息资产识别、风险评估、控制措施实施、内审、管理评审和外部审核。
ISO27001认证包含哪些核心控制措施?
信息资产管理、访问控制、密码学、物理与环境安全、供应商安全、事件管理、业务连续性等14个控制域114个控制措施(ISO27001:2013版),2022版更新为93个控制措施。
ISO27001证书有效期和年审要求?
证书3年有效,每年监督审核,内容包括风险评估更新、控制措施有效性验证和事件处理记录审查。三年换证时进行完整再认证。
服务建议
- 立项阶段同步核验平台后台要求、证书适用范围与实验室资质认可度
- 组合品类提前规划,避免单一证书替代全部要求
- 关注法规更新,及时复测或换证