对于任何组织,无论其规模或所处行业,ISO/IEC 27001为其实现全面的信息和网络安全战略构建了坚实的基础。该标准概述了信息安全管理体系ISMS最佳实践框架,以通过识别、分析和可操作的控制来降低风险并保护业务关键数据。经认可的 ISO 27001 认证表明您具备充分的过程和控制措施来保护您组织和您客户的信息免受日益复杂的威胁环境的影响。点击这里查看有关标准和LRQA服务的常见问题解答。
我们的ISO/IEC 27001服务
我们的认证和培训服务可以通过现场审核、远程审核或两种方式相混合来交付,为您提供灵活的服务模式,以满足您的需求。
培训
通过多种学习途径,为不同的经验水平设计的一系列课程,帮助您掌握ISO 27001知识及其运用。
差距分析
差距分析为可选性服务,即在ISO 27001正式审核前,我们的专家审核员可以帮助您识别体系相关的任何关键、高风险或薄弱的环节。
经认可的认证
认证过程包含独立的两阶段审核,能清晰证明您的能力;经认可委认可的认证更能帮助您赢得新业务,建立利益相关方对您的信任。
整合的审核
如果您实施了多个管理体系,那么整合的审核和监督方案将会更有效、更具成本效益,让您获益匪浅。
实现信息和网络安全的360⁰方法
凭借我们深厚的技术洞察力和专业知识,加上我们全面的网络安全服务组合,我们能够与您组织开展紧密合作,帮助您识别面临的各种威胁,提供减轻威胁的解决方案。我们可以对您体系进行审核认证,识别漏洞,并帮助防止可能影响您品牌完整性、财务绩效和运营状况的网络攻击和安全事件的发生。
为什么与LRQA合作?
本土及全球的专业技能
您在哪里,我们就在哪里。我们在全球拥有300多名专业水平优异的审核员以及250多名专门网络安全专家,可以提供全球一致的、追求卓越的本地服务。我们的人员是技术专家,对信息和网络安全的风险、挑战、标准、法规和框架了如指掌。
服务交付灵活
大多数情况下,我们所有的 ISO 27001 培训和认证服务都可以在客户现场进行,或通过使用安全可靠的技术远程提供。如果您选择我们的远程交付方式,您将获得同样优质的服务,同时也有其他额外优势,包括交付灵活快速,以及可获取全球专业知识。
第一之荣誉
我们是第一家获得英国皇家认可委员会 UKAS 认可的机构,可在全球范围内提供一系列标准的认证服务。我们持续在不同行业制定各种具体标准和框架方面发挥重要作用。
超越合规
与我们屡获殊荣的网络安全专门公司Nettitude一起,我们可以通过先进的服务,为您筑牢第一道防线,并对所有威胁和漏洞做出响应,帮助您在复杂的网络威胁面前保持领先一步。
您准备好进行下一步了吗?
-
ISO 27001是什么?
ISO 27001 是规定了信息安全管理体系 (ISMS) 要求的国际管理体系标准。该标准为识别、分析和实施信息安全控制措施提供了最佳实践框架,以管理和减轻风险,降低出现信息安全漏洞的可能性。
任何组织,无论其规模和所处行业,都可以利用ISO 27001的要求和控制措施来实施有效的、可独立认证的信息安全管理体系。
由信誉良好的独立认证机构提供的经认可的 ISO 27001 认证可展示您对信息安全的承诺,为您信息安全管理体系ISMS的稳健和有效性提供了公正的说明。这有助于履行合同义务,并在许多情况下充当交易通行证。
-
ISO 27001 有什么好处,为何它如此重要?
保护您的数据和声誉
ISO 27001认证可向利益相关方证明,您已建立系统的、基于风险的信息安全方法,推动了以下方面的最佳实践:
- 识别信息和网络安全风险
- 根据影响和可能性分析风险
- 根据与业务相关的因素评估风险并确定应对风险的优先级
- 选择风险处理方案
证明遵守法律、法规和合同要求
要获得ISO 27001认证,您需要确定适用的法律法规要求并予以满足,如欧盟通用数据保护条例GDPR或HIPAA等法规要求。这对风险管理和公司治理会产生积极影响,有助于您证明合规性,及满足合同要求。
竞争优势
获得LRQA认证可给予客户和利益相关方信心,相信您的安全风险(可能涉及 IT、人员、物理环境和业务连续性等的风险)已得到充分解决,可以保护他们的信息。
ISO 27001认证清晰地展示了您组织的能力,并证明您的运营符合国际公认的最佳做法,从而帮助您赢得新业务。
-
ISO 27001审核如何进行?
ISO 27001审核遵循与基于附录SL的其它管理体系相同的方法。您可以从标准培训和差距分析开始,但正式的审核过程包括对ISO 27001信息安全管理体系的设计的审核(第一阶段)以及对体系运行的审核(第二阶段)。相应的审核结果将由LRQA合格的独立人员进行技术评审,以确保符合我们对认可委定义的最佳实践的承诺。
顺利通过技术评审之后,您将获颁ISO 27001认证证书,同时将开始为期三年的监督审核周期,三年期结束时将进行证书更新审核,并开始新的三年周期。借助监督审核,LRQA可以和您组织一起管理变更,并确保审核与当前行业需求相吻合。
-
ISO 27001 认证的有效期多久?
一旦通过审核,认证证书颁发后,有效期为三年,但须通过监督审核证明体系得到有效维护。
-
ISO 27001认证范围和适用性声明中一般包含哪些内容?
典型的信息安全管理体系ISMS证书范围声明包括与产品和服务的交付有关的活动。它不需要包括内部活动或体系过程。目的是向读者保证他们在接受产品或服务时提供的信息是受到保护的。
适用性声明是指所选控制措施的清单。它不提供控制措施详情,而是作为对用作上次 ISO 27001 审核基础的控制声明的可追溯参考。有时组织可创建一个共享的公共版本,里面简单列出从 ISO 27001 附录 A 中选择的控制措施,但这不是强制性要求。
-
要获得ISO 27001认证,费用如何?
费用按审核天数收取;审核天数与体系认证范围内的员工数量有关。审核天数公布在认证标准 ISO 27006 中,所有人均可查看。与 LRQA 这样获得认可委认可的认证机构合作,可确保您根据行业最佳实践获得最实在的审核天数。
例如,一个拥有 100 名全职等效员工(FTE)的组织应预计初始审核时间(第一阶段 + 第二阶段)为 8 到 12 天,具体取决于他们所在的行业、他们的工作环境复杂程度、他们是否参与软件开发,以及他们是否需要在产品中建立安全。后续的监督审核时间将是 3-4 天/年,证书更新审核时间为 6-8 天。
-
我司已通过ISO 9001认证,我可以把它与ISO 27001整合吗?
可以的。ISO 9001和ISO 27001都基于ISO管理体系的通用高层次构架——附录SL,因此可以对这两个标准的核心管理过程进行优化,以同时满足两者要求。事实上,设计一个体系来解决两个标准问题,可以提高组织治理的有效性。例如,业务目标(如增长)经常需要开发新产品,其中安全性通常被认为是符合市场预期的质量标准。体系整合还可以尽量减少重复工作,从而减少审核时间,无疑是一个具有成本效益的选择。
-
正常ISO 27001认证过程是怎样的?
-
ISO 27002:2022是什么?它产生哪些影响?
ISO 27002:2022的发布更新了ISO 27001中的控制措施清单,该清单可追溯到2013年。修订后的控制措施反映了与威胁和当前最佳做法相关的发展,而ISO 27002范围的扩大有助于确保风险管理措施的广泛性和有效性。组织可以使用全面的控制措施清单来处理他们已经识别的风险或发现潜在的差距——帮助他们在当今企业面临的复杂且不断变化的威胁环境中保持领先一步。
-
新版ISO 27001标准是否正在制定中?
转换认证机构申请
查看其他相关的认证服务
从管理体系认证和培训,到公司治理、风险和合规,我们提供 360⁰ 全方位服务。
案例研究
我们的客户故事
我们帮助众多行业的企业实现了进步,并取得了突破性成果。 我们如何为您提供帮助?
洞见
我们的想法
LRQA专家定期分享他们的研究和洞见
网络安全威胁格局:回顾2022,展望2023
