當(dāng)企業(yè)組織具備系統(tǒng)認(rèn)證的基本條件時，他們可以向認(rèn)證機(jī)構(gòu)申請系統(tǒng)認(rèn)證。與ISO27001系統(tǒng)認(rèn)證成本相關(guān)的因素有哪些？2022年ISO27001系統(tǒng)認(rèn)證所需流以及認(rèn)證費(fèi)又有哪些，相信很多企業(yè)都非常關(guān)注這些問題。今天，興悅達(dá)收集了相關(guān)信息與大家分享。

　　2022年ISO27001體系認(rèn)證所需流以及認(rèn)證費(fèi)

　　一.ISO27001企業(yè)信息安全管理體系認(rèn)證流程。

　　1.認(rèn)證準(zhǔn)備。

　　認(rèn)證前，認(rèn)證人和被認(rèn)證人應(yīng)進(jìn)行相應(yīng)的準(zhǔn)備活動。被認(rèn)證人應(yīng)當(dāng)按照ISO/IEC27001建立信息安全管理體系，向認(rèn)證機(jī)構(gòu)提交正式申請，確認(rèn)符合認(rèn)證基本條件；認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對認(rèn)證人的申請材料進(jìn)行初步檢查，確定是否接受申請。如果受理申請，認(rèn)證機(jī)構(gòu)將評估認(rèn)證費(fèi)用和正式審核時間。

　　2.實(shí)施認(rèn)證。

　　階段：文件審核和初步訪問。

　　階段主要是了解受審計方ISMS的基本情況，確認(rèn)受審計方是否具備認(rèn)證和審計條件，為第二階段的審計和規(guī)劃提供依據(jù)。審計的重點(diǎn)是審計ISMS文件是否符合ISO17799標(biāo)準(zhǔn)的要求。了解受審計方的活動。產(chǎn)品或服務(wù)的整個過程，判斷風(fēng)險評估和風(fēng)險管理狀況，并對受審計方ISMS的規(guī)劃和內(nèi)部審計進(jìn)行初步審查。

　　第二階段：全面審核評價。

　　第二階段審計是對信息安全管理體系的綜合審計和評價，目的是驗(yàn)證組織信息安全管理體系是否按照認(rèn)證標(biāo)準(zhǔn)和組織體系文件的要求有效實(shí)施，組織安全風(fēng)險是否控制在組織可接受的水平，組織信息安全管理體系的運(yùn)行是否符合標(biāo)準(zhǔn)和文件的規(guī)定，信息安全管理體系認(rèn)證的結(jié)論。

　　3.證書和標(biāo)志。

　　組織采取必要的糾正措施后，經(jīng)認(rèn)證機(jī)構(gòu)驗(yàn)證通過。認(rèn)證機(jī)構(gòu)將向組織頒發(fā)ISMS證書，包括以下內(nèi)容：

　　a關(guān)于認(rèn)證機(jī)構(gòu)的信息。

　　b有關(guān)組織的全稱。

　　c業(yè)務(wù)相關(guān)地點(diǎn)。

　　d業(yè)務(wù)的流程

　　e相關(guān)的業(yè)務(wù)功能和活動。

　　f認(rèn)證的范圍

　　g特定版本的適用性聲明和描述。

　　h信息安全系統(tǒng)符合ISO/IEC27001認(rèn)證標(biāo)準(zhǔn)的聲明。

　　i證書開始生效。

　　j證書號

　　k只有認(rèn)證機(jī)構(gòu)認(rèn)可組織的認(rèn)證范圍，才能在證書上顯示認(rèn)證標(biāo)志。

　　4.保持認(rèn)證。

　　審計和證書頒發(fā)并不意味著認(rèn)證的結(jié)束。認(rèn)證機(jī)構(gòu)將繼續(xù)監(jiān)控ISMS符合標(biāo)準(zhǔn)的情況，并通過每年至少實(shí)施一次的監(jiān)督審計。這些監(jiān)督審計的重點(diǎn)是抽樣檢查系統(tǒng)的某些領(lǐng)域，因此比初始審計時間短，審計時間約為初始現(xiàn)場審計時間的三分之一。雖然審計團(tuán)隊(duì)可能會隨著時間的推移而變化，但他們的能力要求與初始審計人員相同。

　　認(rèn)證機(jī)構(gòu)有義務(wù)通知認(rèn)證機(jī)構(gòu)可能影響系統(tǒng)或證書的變更。這些變化包括：如組織變更、人員變更、業(yè)務(wù)核心變更、技術(shù)變更、外部界面變更等。

　　認(rèn)證的有效期一般為三年。三年后，系統(tǒng)需要認(rèn)證機(jī)構(gòu)重新審核。

　　二.2022年ISO27001體系認(rèn)證費(fèi)。

　　當(dāng)組織具備系統(tǒng)認(rèn)證的基本條件時，可以向認(rèn)證機(jī)構(gòu)申請系統(tǒng)認(rèn)證。組織選擇認(rèn)證機(jī)構(gòu)后，可以聯(lián)系提交認(rèn)證申請，并在雙方同意的情況下簽訂認(rèn)證合同。認(rèn)證費(fèi)用按審計人員的審計價格計算（包括文件審計和完成審計報告的人員）。不同認(rèn)證機(jī)構(gòu)的成本標(biāo)準(zhǔn)也有所不同。認(rèn)證合同應(yīng)當(dāng)明確認(rèn)證機(jī)構(gòu)保守組織的商業(yè)秘密，并遵守組織現(xiàn)場有關(guān)信息安全規(guī)章的要求。審計所需的人數(shù)取決于以下因素：

　　a審核員工人數(shù)。

　　b持有的信息量。

　　c場地數(shù)據(jù)和地理位置分布。

　　d與外界接觸。

　　e信息技術(shù)的復(fù)雜性。

　　fISO9001等9001等相關(guān)管理體系認(rèn)證證書。

　　g業(yè)務(wù)功能

　　h企業(yè)類型

　　i風(fēng)險程度