隨著(zhù)以計算機和網(wǎng)絡(luò )通信為代表的信息技術(shù)(IT)的迅猛發(fā)展,政府部門(mén)、金融機構、企事業(yè)單位和商業(yè)組織對IT 系統的依賴(lài)也日益加重,信息技術(shù)幾乎滲透到了世界各地和社會(huì )生活的方方面面。
所以,對信息加以保護,防范信息的損壞和泄露,已成為當前組織迫切需要解決的問(wèn)題。組織需要一個(gè)系統的、整體規劃的信息安全管理體系,從預防控制的角度出發(fā),保障組織的信息系統與業(yè)務(wù)之安全與正常運作。
《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》(ISO/IEC 27001)是目前世界上應用最廣泛與典型的信息安全管理標準。ISO/IEC 27001的目的是有效保護信息資源,保護信息化進(jìn)程健康、有序、可持續發(fā)展。
建立信息安全管理體系可以給企業(yè)帶來(lái)如下收益:
提升主動(dòng)防范信息技術(shù)相關(guān)安全風(fēng)險的能力,保障組織運營(yíng)的安全;
形成體系的監督、檢查機制,建立可自我改進(jìn)和完善的管理體系;
提升組織內部全員的安全意識,在組織內部形成信息安全文化氛圍,以更有效地推動(dòng)信息安全管理工作的持續改進(jìn)。
信息安全管理體系認證業(yè)務(wù)范圍
認證用標準:GB/T 22080
大類(lèi) | 中類(lèi) | 描述 | 備注 |
01政務(wù) | 01.01 | 國家機構 | 包括人大、政府、法院、檢察院 ,不含稅務(wù)和海關(guān) |
01.02 | 稅務(wù)機關(guān) |
| |
01.03 | 海關(guān) |
| |
01.04 | 其他 | 包括政黨、政協(xié)、人民團體等 | |
02公共 | 02.01 | 通信、廣播電視 |
|
02.02 | 新聞出版 | 包括互聯(lián)網(wǎng)內容的提供 | |
02.03 | 科研 | 涉及特別重大項目的應提升為一級 | |
02.04 | 社會(huì )保障 | 例如社會(huì )保險基金管理、慈善團體等。包括醫療保險 | |
02.05 | 醫療服務(wù) |
| |
02.06 | 教育 |
| |
02.07 | 其他 | 包括市政公用事業(yè)(水的生產(chǎn)和供應、污水處理、燃氣生產(chǎn)和供應、熱力生產(chǎn)和供應、城市水陸交通設施的維護管理等) | |
03商務(wù) | 03.01 | 金融 | 包括:銀行、證券、期貨、保險、資產(chǎn)管理等 |
03.02 | 電子商務(wù) | 以在線(xiàn)交易為主要特點(diǎn),含網(wǎng)絡(luò )游戲 | |
03.03 | 物流 | 包括郵政 | |
03.04 | 咨詢(xún)中介 | 包括法律、會(huì )計、審計、公證等 | |
03.05 | 旅游、賓館、飯店 |
| |
03.06 | 其他 | 包括金融服務(wù)、銷(xiāo)售、廣告、公關(guān)等。 | |
04產(chǎn)品的生產(chǎn) | 04.01 | 電力 | 包括發(fā)電和輸、變、配電等 |
04.02 | 鐵路 |
| |
04.03 | 民航 |
| |
04.04 | 化工 |
| |
04.05 | 航空航天 |
| |
04.06 | 水利 |
| |
04.07 | 交通運輸 | 包括公路、水路、城市公共客運交通等,不含航空和鐵路 | |
04.08 | 信息與通信技術(shù) | 包括軟、硬件生產(chǎn)及其服務(wù),系統集成及其服務(wù),數字版權保護等 | |
04.09 | 冶金 |
| |
04.10 | 采礦 | 含石油、天然氣開(kāi)采 | |
04.11 | 食品、藥品、煙草 |
| |
04.12 | 農、林、牧、副、漁業(yè) |
| |
04.13 | 其他 |
|
注:分類(lèi)依據《CNAS-SC170》
為加強對認證組織認證收費的管理,規范認證收費行為,保護認證雙方的利益,促進(jìn)認證工作的發(fā)展,特制訂本規則。
本規則適用于方圓標志認證集團所開(kāi)展的信息技術(shù)服務(wù)管理體系認證服務(wù)收費。
收費項目和標準按照國家有關(guān)主管部門(mén)的規定制訂。
認證審核的工作量(人日數)根據申請認證組織的規模、認證領(lǐng)域數量和專(zhuān)業(yè)特性等按國際準則及國家主管部門(mén)有關(guān)要求確定。
a) 申請費:初次認證、再認證、增加認證領(lǐng)域、變更認證范圍等的申請費用;
b) 審核費:初審、監督、再認證、特殊審核等審核活動(dòng)所發(fā)生的費用;
c) 批準與注冊費(含證書(shū)費):初次認證、再認證、認證變更等的批準與注冊費用,按不同認證領(lǐng)域分別收??;
d) 年金(含標志使用費)、更換證書(shū)費。
序號 | 收費項目 | 收費標準(單位:元(RMB)) | 備 注 |
1 | 申請費 | 1000×n | n為認證領(lǐng)域數 |
2 | 審核費 | 6000×人日數 | |
3 | 批準與注冊費(含證書(shū)費) | 2000×n | |
4 | 年金(含標志使用費) | 2000×n | |
5 | (監督)審核費 | 6000×人日數 |
注:人日數是指認證審核所需的工作人天數(即審核員人數×工作天數)
a) 申請人向CQM提出認證申請時(shí)支付申請費。審核前支付審核費。頒發(fā)認證證書(shū)前支付批準注冊費。
b) 獲證組織在交付監督審核費的同時(shí)支付年金。
c) 更換證書(shū)費在領(lǐng)取新證書(shū)前支付。
信息技術(shù)服務(wù)管理體系審核人日數根據組織的審核類(lèi)型(初審、監督、再認證、特殊審核等)、組織ITSMS范圍所涉及的服務(wù)活動(dòng)種類(lèi)、業(yè)務(wù)的復雜程度(包括SLA數量、供應商數量、及認證范圍內所提供服務(wù)的行業(yè)的認可風(fēng)險等)、組織的規模以及場(chǎng)所數量與類(lèi)型等因素相關(guān)。
人日數包括文件評審、審核準備、現場(chǎng)審核和最終報告等時(shí)間;不包括路途時(shí)間。
對于多領(lǐng)域管理體系結合認證,審核人日數可在單一領(lǐng)域管理體系審核人日數之和的基礎上適當減少,通??紤]管理體系領(lǐng)域數量并按實(shí)際發(fā)生的審核人日數計算。
獲證組織已經(jīng)獲得CQM某領(lǐng)域認證以后提出其它認證領(lǐng)域的申請,應按該領(lǐng)域的審核人日數計算費用。
獲證組織在已取得的管理體系認證的領(lǐng)域擴大范圍,根據實(shí)際發(fā)生的審核工作量計算。