Skip content
信息安全认证ISO 27001

ISO 27001认证、培训和资料下载

ISO 27001信息安全管理体系

LRQA是ISO 27001认证的市场领导者之一

 

 对于任何组织,无论其规模或所处行业,ISO/IEC 27001为其实现全面的信息和网络安全战略构建了坚实的基础。该标准概述了信息安全管理体系ISMS最佳实践框架,以通过识别、分析和可操作的控制来降低风险并保护业务关键数据。经认可的 ISO 27001 认证表明您具备充分的过程和控制措施来保护您组织和您客户的信息免受日益复杂的威胁环境的影响。点击这里查看有关标准和LRQA服务的常见问题解答

ISO/IEC 27001:2022现已发布

2022年10月25日,新版ISO 27001发布,标志着信息安全最佳实践进入新时代。

ISO/IEC 27001:2022现已发布
Person using a tablet

我们的ISO/IEC 27001服务

LRQA审核员精通ISO 27001审核,可帮助您确保您的信息安全系统符合最新的要求和指南。我们不仅提供认证服务,还提供行业领先的培训,旨在提升您团队的技能。

computer screen icon

培训

通过多种学习途径,为不同的经验水平设计的一系列课程,帮助您掌握ISO 27001知识及其运用。

 

image94kd3.png
差距分析

差距分析为可选性服务,即在ISO 27001正式审核前,我们的专家审核员可以帮助您识别体系相关的任何关键、高风险或薄弱的环节。

imageao21.png
经认可的认证

认证过程包含独立的两阶段审核,能清晰证明您的能力;经认可委认可的认证更能帮助您赢得新业务,建立利益相关方对您的信任。

intgerated services icon.png
整合的审核

如果您实施了多个管理体系,那么整合的审核和监督方案将会更有效、更具成本效益,让您获益匪浅。

实现信息和网络安全的360⁰方法

凭借我们深厚的技术洞察力和专业知识,加上我们全面的网络安全服务组合,我们能够与您组织开展紧密合作,帮助您识别面临的各种威胁,提供减轻威胁的解决方案。我们可以对您体系进行审核认证,识别漏洞,并帮助防止可能影响您品牌完整性、财务绩效和运营状况的网络攻击和安全事件的发生。

infosecurity and cyber services from LRQA - 360 view.png

LRQA差距分析服务

ISO/IEC 27001:2022管理层工作坊

该工作坊为期一天,专为管理层、决策者和风险责任人设计,它将ISO 27001标准转化为具体的、可测量的、可实现的、相关的和有时限的(SMART)活动和目标,这些活动和目标可以纳入项目或常规业务活动中。

完成后,您将能够确定信息安全管理体系的认证范围,之后可作为标准第4条的一部分用于管理评审和其他相关过程中。

该工作坊还将探讨组织其他成员参与过程的情况,以及如何将您为其他安全或合规制度(如PCI DSS)所做的工作纳入您的ISO/IEC 27001:2022信息安全管理体系中。

信息安全管理体系(ISMS)评审

该评审以标准的核心要求为中心,专为最高管理层、决策者和风险责任人设计。它将确定您的组织是否符合ISO/IEC 27001:2022第4至第10条的要求,并为您提供针对您的业务目标量身定制的路线图,以实现完全合规。  

安全控制措施评审

LRQA专家将参考 ISO/IEC 27002:2017标准,并结合使用实质性和合规性方法,根据 ISO/IEC 27001附录A中的控制措施要求评估您的安全控制措施。该评审将对整个组织进行全面审视,为您提供安全措施状况和风险级别的说明,并让您有能力创建SMART活动/目标来应对这些风险。其他主要可交付的输出包括适用性声明(针对第 6 条)以及创建实施路线图。

实施过程的支持服务

风险管理

风险管理是 ISO/IEC 27001 的核心。我们与您一起,创建一套为您组织量身定制的符合标准要求的风险管理系统,该系统将融入您的信息安全管理体系,并与适用性声明一起,作为认证所需的风险评估过程(包括信息安全风险评估和风险处理)的基础。

 

第三方风险服务

第三方风险管理对于保护您的数据和满足ISO 27001标准要求至关重要。LRQA的专家将与您合作,确定第三方风险水平,并设计评估过程来管理这些风险。我们提供的支持还包括代您完成风险评估,向您组织内部的风险责任人报告风险,并提供建议的补救措施。

内部审核(内审)服务

内部审核(内审)是维护信息安全管理体系完整性和有效性的基础。定期进行内审不仅可以帮助您确定需要改进的领域,还可以确保符合ISO 27001和相关法规要求。

我们的团队可以无缝介入,代您执行全面的内审,确保符合ISO 27001第9.2条要求,并建立持续改进的文化。在LRQA的帮助下,您可以自信地推动审核过程,识别改进机会,并保持对卓越信息安全的承诺和良好实践。随着您对标准和流程的熟悉程度的提高,您可以选择由您组织内部自行开展内审来满足这一核心要求,或继续由LRQA进行。

更多持续的支持服务

体系整合工作坊

维护多个有竞争力和有效的认证可能是一项复杂且具有挑战性的任务,尤其是发生更改时。LRQA专家可为您提供具有前瞻性的可实践的指导,确保治理和合规成为一项战略资产,而不是一项艰巨任务。

作为整合工作坊的一部分,我们将评审您每个合规标准的实施情况,并确定每个标准如何通过简化文档和交叉的认证保障活动来实现彼此受益。 然后,我们将提供建议,以切实可行的方式调整整个组织的不同管理体系和合规态势,从而更好地利用管理体系,增强保障并减少管理工作。

认证和监管支持

商业环境的变化是不可避免的,无论是劳动力构成、战略方向还是组织结构,都会发生变化。最重要的是,快速发展的监管环境使维持认证变得复杂且具有挑战性。LRQA致力于了解所有行业和市场的全球监管要求,并提供量身定制的策略来帮助您满足这些要求。

LRQA的认证和监管支持服务完全根据您的需求量身定制,包括领导您的管理评审和帮助审查风险管理方案等。无论您需要什么,LRQA都能确保您的业务和供应链在不影响业务增长的情况下保持合规。 

方针和文件化支持

在瞬息万变的环境中,技术将不同地点的企业连接起来,同样在这个环境中,数据的收集、监控和分析有可能带来变革,组织需要确保其方针符合不断变化的法规。违反法律可能会导致产生重大成本,包括巨额罚款和声誉受损。

众所周知,创建和监控所有方针策略是一项耗时的任务。许多组织不具备制定或维护方针的内部经验或知识,因此难以解答方针相关的疑问。LRQA可以帮助您解决这个问题。

无论是在现场还是远程,LRQA专家都将为您创建方针文件模板,并与您一起创建文件以供最终评审和批准。如果这些文件已经存在,那我们将按照您选择的时间间隔进行定期评审,以确保您的企业保持合规,让您能够专注于推动组织安全可靠地向前发展。 

为什么与LRQA合作?

本土及全球的专业技能

您在哪里,我们就在哪里。我们在全球拥有300多名专业水平优异的审核员以及250多名专门网络安全专家,可以提供全球一致的、追求卓越的本地服务。我们的人员是技术专家,对信息和网络安全的风险、挑战、标准、法规和框架了如指掌。

LRQA auditors having a conversation with a client

服务交付灵活

大多数情况下,我们所有的 ISO 27001 培训和认证服务都可以在客户现场进行,或通过使用安全可靠的技术远程提供。如果您选择我们的远程交付方式,您将获得同样优质的服务,同时也有其他额外优势,包括交付灵活快速,以及可获取全球专业知识。

Group video call on a laptop

第一之荣誉

我们是第一家获得英国皇家认可委员会 UKAS 认可的机构,可在全球范围内提供一系列标准的认证服务。我们持续在不同行业制定各种具体标准和框架方面发挥重要作用。

Group of people having a discussion in a meeting room

专业知识

LRQA网络安全专家拥有多项供应商认证和行业资格认可,包括 CREST、PCI SSC、ISC2、BCI、英国特许IT协会和 NCSC CHECK。

常 见 问 题 解 答 

ISO 27001是什么?

ISO 27001 是规定了信息安全管理体系 (ISMS) 要求的国际管理体系标准。该标准为识别、分析和实施信息安全控制措施提供了最佳实践框架,以管理和减轻风险,降低出现信息安全漏洞的可能性。

任何组织,无论其规模和所处行业,都可以利用ISO 27001的要求和控制措施来实施有效的、可独立认证的信息安全管理体系。

由信誉良好的独立认证机构提供的经认可的 ISO 27001 认证可展示您对信息安全的承诺,为您信息安全管理体系ISMS的稳健和有效性提供了公正的说明。这有助于履行合同义务,并在许多情况下充当交易通行证。

ISO 27001 有什么好处,为何它如此重要?
保护您的数据和声誉

ISO 27001认证可向利益相关方证明,您已建立系统的、基于风险的信息安全方法,推动了以下方面的最佳实践:

  • 识别信息和网络安全风险
  • 根据影响和可能性分析风险
  • 根据与业务相关的因素评估风险并确定应对风险的优先级
  • 选择风险处理方案
证明遵守法律、法规和合同要求

要获得ISO 27001认证,您需要确定适用的法律法规要求并予以满足,如欧盟通用数据保护条例GDPR或HIPAA等法规要求。这对风险管理和公司治理会产生积极影响,有助于您证明合规性,及满足合同要求。

竞争优势

获得LRQA认证可给予客户和利益相关方信心,相信您的安全风险(可能涉及 IT、人员、物理环境和业务连续性等的风险)已得到充分解决,可以保护他们的信息。

ISO 27001认证清晰地展示了您组织的能力,并证明您的运营符合国际公认的最佳做法,从而帮助您赢得新业务。

ISO 27001审核如何进行?

ISO 27001审核遵循与基于附录SL的其它管理体系相同的方法。您可以从标准培训和差距分析开始,但正式的审核过程包括对ISO 27001信息安全管理体系的设计的审核(第一阶段)以及对体系运行的审核(第二阶段)。相应的审核结果将由LRQA合格的独立人员进行技术评审,以确保符合我们对认可委定义的最佳实践的承诺。

顺利通过技术评审之后,您将获颁ISO 27001认证证书,同时将开始为期三年的监督审核周期,三年期结束时将进行证书更新审核,并开始新的三年周期。借助监督审核,LRQA可以和您组织一起管理变更,并确保审核与当前行业需求相吻合。

ISO 27001 认证的有效期多久?

一旦通过审核,认证证书颁发后,有效期为三年,但须通过监督审核证明体系得到有效维护。

ISO 27001认证范围和适用性声明中一般包含哪些内容?

典型的信息安全管理体系ISMS证书范围声明包括与产品和服务的交付有关的活动。它不需要包括内部活动或体系过程。目的是向读者保证他们在接受产品或服务时提供的信息是受到保护的。

 

适用性声明是指所选控制措施的清单。它不提供控制措施详情,而是作为对用作上次 ISO 27001 审核基础的控制声明的可追溯参考。有时组织可创建一个共享的公共版本,里面简单列出从 ISO 27001 附录 A 中选择的控制措施,但这不是强制性要求。

要获得ISO 27001认证,费用如何?

费用按审核天数收取;审核天数与体系认证范围内的员工数量有关。审核天数公布在认证标准 ISO 27006 中,所有人均可查看。与 LRQA 这样获得认可委认可的认证机构合作,可确保您根据行业最佳实践获得最实在的审核天数。

例如,一个拥有 100 名全职等效员工(FTE)的组织应预计初始审核时间(第一阶段 + 第二阶段)为 8 到 12 天,具体取决于他们所在的行业、他们的工作环境复杂程度、他们是否参与软件开发,以及他们是否需要在产品中建立安全。后续的监督审核时间将是 3-4 天/年,证书更新审核时间为 6-8 天。

我司已通过ISO 9001认证,我可以把它与ISO 27001整合吗?

可以的。ISO 9001和ISO 27001都基于ISO管理体系的通用高层次构架——附录SL,因此可以对这两个标准的核心管理过程进行优化,以同时满足两者要求。事实上,设计一个体系来解决两个标准问题,可以提高组织治理的有效性。例如,业务目标(如增长)经常需要开发新产品,其中安全性通常被认为是符合市场预期的质量标准。体系整合还可以尽量减少重复工作,从而减少审核时间,无疑是一个具有成本效益的选择。

正常ISO 27001认证过程是怎样的?

企业获得ISO 27001认证的路径通常取决于企业在信息安全和更广泛的风险管理等方面的成熟水平。但是获得ISO 27001认证前后的典型过程通常包括以下三个主要步骤:

第一阶段审核——文件评审和策划:审核员将审核管理体系的设计和文件——大多数情况下,这一阶段可以远程执行。

第二阶段审核——评估实施情况:审核员将根据ISO 27001的要求对您的信息安全管理体系ISMS的实施情况和有效性进行评估。如果没有发现重大不符合,您将获得认证。这一阶段可以在远程或在客户现场进行。

宣传您的ISO 27001认证:您的认证证明了您对国际公认的最佳实践和持续改进的承诺——帮助您赢得新业务,满足客户需求。

ISO 27002:2022是什么?它产生哪些影响?

ISO 27002:2022的发布更新了ISO 27001中的控制措施清单,该清单可追溯到2013年。修订后的控制措施反映了与威胁和当前最佳做法相关的发展,而ISO 27002范围的扩大有助于确保风险管理措施的广泛性和有效性。组织可以使用全面的控制措施清单来处理他们已经识别的风险或发现潜在的差距——帮助他们在当今企业面临的复杂且不断变化的威胁环境中保持领先一步。

新版ISO 27001标准是否正在制定中?

新版ISO 27001标准已于2022年10月25日发布。因应ISO 27002:2022中的新控制措施要求,组织需要重新评估其已完成的风险评估,并确定是否需要实施新的风险处理方法。

 

您是否已获得ISO 27001认证,现想要转换认证机构到LRQA?

如果您持有另一家认证机构有效的经认可的ISO 27001证书,且您需要转换认证机构,那敬请联系我们。我们将与您合作,确保您的转换过程尽可能顺畅。

咨询

*必填项

*必填项

*注意:电话号码请按+86 xxxxxxxxxxx格式填写。

*注意:电话号码请按+86 xxxxxxxxxxx格式填写。

保持获取最新资讯

隐私保证 - 我们不会对外分享您的信息

隐私保证 - 我们不会对外分享您的信息

下载 LRQA 2025年培训课程计划

与LRQA开启学习及能力提升之旅,了解适合您组织及个人发展需求的课程。欢迎下载浏览。

下载 LRQA 2025年培训课程计划
培训 2022

案例研究

洞见