认证概况
ISO 27001是国际最权威的信息安全管理体系标准,中国等同采用为GB/T 22080,由CNCA认可认证机构发证
3年
证书有效期,每年监督审核
3-6个月
从体系建立到获证
运行≥3个月
申请前体系需运行满3个月
50+认可机构
全国CNCA认可发证机构
适用企业
IT服务公司
投标政府/金融信息化项目的刚需门槛
软件开发企业
证明开发过程的信息安全管理能力
云计算服务商
客户对数据安全合规的审核要求
数据密集型企业
数据安全法/个保法下的合规需求
认证条件
✓ 合法主体资格
取得相关行政许可(适用时)
✓ 体系运行满3个月
已建立ISMS并正常运行
✓ 无严重失信记录
未被列入严重违法失信名单
✓ 无重大安全事件
一年内未发生重大网络安全事件
认证流程
1
差距分析
对照标准审查现有管理体系
2
风险评估
识别信息资产+威胁+脆弱性
3
体系建设
编写ISMS文件(手册/程序/作业指导)
4
运行辅导
指导体系运行3个月+
5
内审+管审
培训内审员+组织内部审核+管理评审
✓
认证审核
一阶段(文件)+二阶段(现场)+获证
咨询费参考
| 组织规模 | 咨询费范围 (¥) | 含认证费总计 (¥) | 审核人日参考 |
|---|---|---|---|
| 小型 (<50人) | ¥30,000-50,000 | ¥50,000-80,000 | 5-8人日 |
| 中型 (50-200人) | ¥50,000-100,000 | ¥80,000-150,000 | 8-15人日 |
| 大型 (>200人) | ¥100,000-200,000+ | ¥150,000-300,000+ | 15-25人日 |
ISMS vs ITSMS vs CCRC
| ISO 27001 (ISMS) | ISO 20000 (ITSMS) | CCRC | |
|---|---|---|---|
| 关注点 | 信息安全 | IT服务管理 | 安全服务能力 |
| 核心 | 保密性+完整性+可用性 | 服务质量+SLA | 服务资质等级 |
| 证明什么 | "安全管理做得好" | "IT运维能力达标" | "安全服务能力强" |
| 关系 | 互补,客户可同时申请 | 互补,客户可同时申请 | 互补,客户可同时申请 |
常见问题
ISO 27001需要多长时间?
从零开始的典型周期3-6个月:前2-3月做体系建立+运行,后1-2月做审核+整改。已有部分基础的(如已有ISO 9001)可缩短至2-3个月。
小型IT企业(10-20人)能做ISO 27001吗?
可以。小型组织的审核人日一般5-8天,费用约5-8万。关键是按标准要求建立适合自身规模的ISMS,不需要复杂的文档体系。
已经做了ISO 9001,再做27001能省多少?
已有ISO 9001的组织,管理体系基础(文件控制/内审/管审等)已建立,ISO 27001只需补充信息安全特定部分(风险评估、SoA、安全控制),可节省约30-40%的工作量。