ISO 27001认证、培训和资料下载

ISO 27001 是规定了信息安全管理体系 (ISMS) 要求的国际管理体系标准。该标准为识别、分析和实施信息安全控制措施提供了最佳实践框架，以管理和减轻风险，降低出现信息安全漏洞的可能性。

任何组织，无论其规模和所处行业，都可以利用ISO 27001的要求和控制措施来实施有效的、可独立认证的信息安全管理体系。

由信誉良好的独立认证机构提供的经认可的 ISO 27001 认证可展示您对信息安全的承诺，为您信息安全管理体系ISMS的稳健和有效性提供了公正的说明。这有助于履行合同义务，并在许多情况下充当交易通行证。

保护您的数据和声誉

ISO 27001认证可向利益相关方证明，您已建立系统的、基于风险的信息安全方法，推动了以下方面的最佳实践:

• 识别信息和网络安全风险
• 根据影响和可能性分析风险
• 根据与业务相关的因素评估风险并确定应对风险的优先级
• 选择风险处理方案

证明遵守法律、法规和合同要求

要获得ISO 27001认证，您需要确定适用的法律法规要求并予以满足，如欧盟通用数据保护条例GDPR或HIPAA等法规要求。这对风险管理和公司治理会产生积极影响，有助于您证明合规性，及满足合同要求。

竞争优势

获得LRQA认证可给予客户和利益相关方信心，相信您的安全风险（可能涉及 IT、人员、物理环境和业务连续性等的风险）已得到充分解决，可以保护他们的信息。

ISO 27001认证清晰地展示了您组织的能力，并证明您的运营符合国际公认的最佳做法，从而帮助您赢得新业务。

ISO 27001审核遵循与基于附录SL的其它管理体系相同的方法。您可以从标准培训和差距分析开始，但正式的审核过程包括对ISO 27001信息安全管理体系的设计的审核（第一阶段）以及对体系运行的审核（第二阶段）。相应的审核结果将由LRQA合格的独立人员进行技术评审，以确保符合我们对认可委定义的最佳实践的承诺。

顺利通过技术评审之后，您将获颁ISO 27001认证证书，同时将开始为期三年的监督审核周期，三年期结束时将进行证书更新审核，并开始新的三年周期。借助监督审核，LRQA可以和您组织一起管理变更，并确保审核与当前行业需求相吻合。

一旦通过审核，认证证书颁发后，有效期为三年，但须通过监督审核证明体系得到有效维护。

费用按审核天数收取；审核天数与体系认证范围内的员工数量有关。审核天数公布在认证标准 ISO 27006 中，所有人均可查看。与 LRQA 这样获得认可委认可的认证机构合作，可确保您根据行业最佳实践获得最实在的审核天数。

例如，一个拥有 100 名全职等效员工(FTE)的组织应预计初始审核时间（第一阶段 + 第二阶段）为 8 到 12 天，具体取决于他们所在的行业、他们的工作环境复杂程度、他们是否参与软件开发，以及他们是否需要在产品中建立安全。后续的监督审核时间将是 3-4 天/年，证书更新审核时间为 6-8 天。

可以的。ISO 9001和ISO 27001都基于ISO管理体系的通用高层次构架——附录SL，因此可以对这两个标准的核心管理过程进行优化，以同时满足两者要求。事实上，设计一个体系来解决两个标准问题，可以提高组织治理的有效性。例如，业务目标（如增长）经常需要开发新产品，其中安全性通常被认为是符合市场预期的质量标准。体系整合还可以尽量减少重复工作，从而减少审核时间，无疑是一个具有成本效益的选择。

企业获得ISO 27001认证的路径通常取决于企业在信息安全和更广泛的风险管理等方面的成熟水平。但是获得ISO 27001认证前后的典型过程通常包括以下三个主要步骤：

第一阶段审核——文件评审和策划：审核员将审核管理体系的设计和文件——大多数情况下，这一阶段可以远程执行。

第二阶段审核——评估实施情况：审核员将根据ISO 27001的要求对您的信息安全管理体系ISMS的实施情况和有效性进行评估。如果没有发现重大不符合，您将获得认证。这一阶段可以在远程或在客户现场进行。

宣传您的ISO 27001认证：您的认证证明了您对国际公认的最佳实践和持续改进的承诺——帮助您赢得新业务，满足客户需求。

ISO 27002:2022的发布更新了ISO 27001中的控制措施清单，该清单可追溯到2013年。修订后的控制措施反映了与威胁和当前最佳做法相关的发展，而ISO 27002范围的扩大有助于确保风险管理措施的广泛性和有效性。组织可以使用全面的控制措施清单来处理他们已经识别的风险或发现潜在的差距——帮助他们在当今企业面临的复杂且不断变化的威胁环境中保持领先一步。

新版ISO 27001标准已于2022年10月25日发布。因应ISO 27002:2022中的新控制措施要求，组织需要重新评估其已完成的风险评估，并确定是否需要实施新的风险处理方法。