颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督委员会(认监委)授权的认证机构方可在国内进行审核发证,所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示证书在国内无效。经CNCA授权的认证机构可以在CNCA网站上查询。
认监委批准的认证公司
截止到2011年5月11日,国家认监委对ISO27001认证管控非常严格,至今只允许8家认证机构进行认证,分别是:
中国信息安全认证中心
北京埃尔维质量认证中心
华夏认证中心
中国电子技术标准化研究所
上海质量体系审核中心
广州赛宝认证中心服务有限公司
北京新世纪认证有限公司(BCC)
英国标准协会(BSI)
北京挪华威认证有限公司(DNV)
通标标准技术服务有限公司(SGS)
江苏艾凯艾国际标准认证有限公司
除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常…
自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001:2005发布以来,此标准在国际上获得了空前的认可,相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底,国际上颁发的ISO 27001认证证书总数约为15625张(其中,BSI的市场占有率达约为45.65%)。