Man and a woman with a laptop in a server room

ISO 27001认证

您的咨询


用系统保障信息安全

在数字化转型的过程中,"信息安全 "这个话题对企业来说变得越来越紧迫。如果没有足够的安全防范措施,就会有数据丢失和被黑客窃取的风险,有通过网络攻击或滥用数据导致业务中断的风险。结构化方法的一个选择是根据ISO 27001建立的信息安全管理系统(ISMS)。

可证明的数据和信息安全

安全是企业文化的一部分

有效实施风险管理过程

不断提高你的安全水平

Business10.png

什么是ISO 27001?

ISO/IEC 27001是实施信息安全整体管理系统的领先国际标准。它的重点是识别、评估和管理信息处理过程中的风险。保密信息的安全被强调为一个重要的战略要素。

信息到处围绕着我们,是每个过程的一部分。有时它可能是无关紧要的,但往往是关键和机密的。为了对你的组织进行这一重要区分,有必要对信息进行分类。这是因为根据ISO/IEC 27001,信息安全管理系统(ISMS)的保护措施是基于这种分类。

ISMS为保护业务数据及其机密性建立了框架。同时,全球公认的标准确保了参与企业流程的IT系统的可用性。在这种情况下,ISO 27001认证向市场发出了一个强烈的信号:即对你的ISMS的有效性进行独立的外部评估和确认。

随着EN ISO/IEC 27001:2017-06,由欧洲标准化委员会(CEN)协调的版本已经发布。它结合了Cor 1:2014和Cor 2:2015这两个更正(勘误表)。与更正相关的变化只包括对相关要求的改进描述,但没有新的、额外的要求。因此,根据ISO/IEC 27001:2013版本的证书保留其有效性。

显示更多
显示更少
SEO19.png

ISO 27001认证适用于谁?

ISMS标准ISO 27001适用于全世界。它为各种规模和行业的公司提供了一个规划、实施和监控其信息安全的框架。这些要求是适用的,适用于私人和公共公司以及非营利组织。

例如,在德国,属于关键基础设施部门(KRITIS)并超过一个门槛的公司必须提供他们如何确保其信息安全的证据。KRITIS部门包括能源、水、卫生、金融和保险、食品、运输和交通、信息技术和电信。相应的实施证明可以通过安全审计、测试或认证来提供。为此,无论是公认的标准,如ISO 27001,还是由德国联邦信息安全局(BSI)认可的特定行业安全标准,都可以作为审计的基础。

显示更多
显示更少
Business11.png

什么使ISO 27001标准对我的公司有用?

根据ISO/IEC 27001引入ISMS是贵公司的一项战略决策。对标准中特意提出的一般要求的满足必须反映公司的具体情况。在公司的实施取决于需求和目标、安全要求和组织流程,以及公司的规模和结构。

对实践特别有价值的是标准附件A中措施的实施。除了以管理系统为导向的要求部分(第4至10章),ISO标准还包含了一个广泛的清单,其中有35个措施目标(控制),有114项具体措施,涉及到附件A的14个章节的各种安全方面。这些措施必须在管理系统的框架内实施。这些措施必须作为管理体系的一部分来实施,只要它们与贵公司有关。

事实证明,将公司流程与ISO 27001保持一致会带来很多好处。

  • 不断提高安全水平
  • 减少现有的风险
  • 遵守合规要求
  • 提高员工的意识
  • 提高客户满意度

有高层管理人员参与的内部审计和管理审查是实现这一目标的内部杠杆。

其他积极的方面是,有关各方,如监管机构、保险公司、银行、合作伙伴公司,对你的公司建立了更高的信任。这是因为经过认证的管理系统表明,你的组织以结构化的方式处理风险,并赞同持续改进(CIP),使其更能抵抗不受欢迎的影响。

国际标准ISO/IEC 27001也可以独立于其他管理系统,如ISO 9001 (质量管理)或ISO 14001(环境管理)来实施、运行和认证。

显示更多
显示更少
Business36.png

谁可以根据ISO 27001进行认证?

为了认证一个信息安全管理系统,相关的认证机构本身必须得到ISO/IEC 17021和ISO/IEC 27006的认可。ISO/IEC 17021规定了与符合性评估有关的主题,特别是对审核和认证管理系统的检查机构的要求。

此外,ISO/IEC 27006定义了认证机构必须遵守的严格要求,以便根据ISO 27001对ISMS进行认证。

这些要求包括

  • 指定审计工作的证据
  • 对审核员资格的要求。

DQS是由德国国家认证机构DakkS(Deutsche Akkreditierungsstelle GmbH)认可的,因此被授权根据ISO 27001进行审核和认证。

无论您的公司在哪个行业经营,您都可以信赖DQS审核员的独特专长。他们在评估各行业的信息安全管理系统方面有多年的经验。

显示更多
显示更少
Business28.png

ISO 27001认证是如何进行的?

一旦ISO 27001的所有要求得到实施,您就可以对您的管理系统进行认证。您将在DQS经历一个多阶段的认证过程。如果公司已经建立了认证的管理体系,那么这个过程就可以缩短。

在第一步,您与我们讨论您的公司和ISO 27001认证的目标。在此基础上,您将收到一份针对贵公司个别需求的详细报价。

认证审计从对您的ISMS进行系统分析和评估开始(审计阶段1)。在这里,您的审核员确定您的管理系统是否已经充分发展并准备好进行认证。在下一步(系统审核阶段2),您的审核员应用ISO 27001标准,对现场所有管理流程的有效性进行评估。审计结果将在最后一次会议上提交。如有必要,将就行动计划达成一致。

认证审核结束后,由DQS的独立认证委员会对结果进行评估。如果所有的标准要求得到满足,您将获得ISO 27001证书。

成功认证后,您的ISMS的关键部分每年至少在现场重新审核一次,以确保持续改进。

ISO 27001证书的有效期最长为三年。重新认证在到期前适时进行,以确保持续符合适用的标准要求。一旦符合要求,将颁发新的证书。

Banking13.png

ISO 27001认证的费用是多少?

四个评估标准

尽管ISO 27001审核要按照结构化的规范进行,但费用取决于各种因素,如你的组织的复杂性。因此,对于任何特定的公司来说,不可能有一个放之四海而皆准的报价。

根据ISO 27001认证的费用是根据以下四个标准确定的,其中包括。

1.你的信息安全管理系统的复杂性。

考虑到贵公司的关键价值(例如专利、个人数据、设施、流程)。认证费用主要基于信息安全要求以及信息的保密性、完整性和可用性(VIV)受到影响的程度。

2.贵公司在ISMS范围内的核心业务

在这一点上,特别是与你的业务流程相关的风险在确定必要的审计工作中起着重要作用。法律要求以及复杂的、个性化的客户要求都被考虑在内。

3.你的ISMS中使用的主要技术和组件

在审计过程中,技术以及ISMS的各个组成部分都会被检查。这包括IT平台、服务器、数据库、应用程序以及网络段。这里的基本规则是。标准系统的比例越高,你的IT的复杂性越低,所需的努力就越少。ISO 27001认证的成本也取决于此。

4 你的ISMS中内部开发的比例

如果没有内部开发,并且你主要使用标准化的软件平台,那么评估的工作量就会降低。如果你的ISMS的特点是大量使用自主开发的软件,并且这些软件是用于中心业务领域的,那么认证的工作量就会比较大。

为了使我们能够给您提供一个ISMS认证费用的概况,我们需要事先获得有关您的商业模式和应用领域的准确信息。这样,我们就可以为您提供一个量身定做的报价。

显示更多
显示更少
Business2.png

您可以从我们这里期待什么

  • 超过35年的管理体系和流程认证经验
  • 具有丰富行业经验的审核员和专家,具有很强的技术知识
  • 对您的公司有增值的洞察力
  • 具有国际认可的证书
  • 所有相关标准的专业知识和认证
  • 我们的专家在地区、国家和国际范围内提供个人的、顺利的支持
  • 灵活的合同条款和无隐性费用的个性化报价

要求报价

您的当地联系人

"我们很乐意为您的ISMS的ISO 27001认证提供定制的报价。"

请求咨询

DQS在线服务

即刻与我们联络
联系我们