信息安全体系认证iso27001:获得ISO 27001认证意味着什么?
获得iso.com/' target='_blank' title='ISO' >ISO 27001认证意味着什么?
在我们深入研究具体成本之前,重要的是要了解ISO 27001认证的实际含义。总部位于瑞士的国际标准化组织(ISO)是一个备受尊敬的组织,它制定了包括ISO 27001安全标准在内的各种标准。然而,他们不提供合规性认证。
验证您的ISO 27001合规性的证书是由第三方组织颁发的,这些组织将此作为付费服务执行。重要的是要认识到,当您申请认证时,您将向第三方组织申请,而不是ISO本身。这是ISO 27001认证价格差异很大的部分原因。
虽然ISO不颁发证书,但它确实有一套认证机构应该遵守的标准。它还建议您应确保您的认证提供商在您的获得认可。如果您选择了符合这些标准的认证提供商,您的ISO 27001认证应该被全球的客户和顾客所接受。
ISO 27001认证费用是多少?
在您开始这个过程之前,您想知道您的ISO 27001认证将花费多少,以及它对您的业务是否可行。不出所料,成本将因情况而异。对于拥有复杂系统的大型企业来说,总费用从6000美元到超过4万美元不等。
之所以有如此广泛的范围,部分原因是获得认证涉及到一些成本。这些通常包括:
与评估您当前的信息安全管理体系(ISMS)以确定其是否符合ISO 27001标准相关的成本
建立符合所有ISO 27001标准的安全系统的费用
聘请第三方审核员评估您的ISMS是否符合ISO 27001标准的费用
认证机构收取的任何额外费用
每个成本领域都存在差异。事实上,有许多因素会影响您的ISO 27001认证的总成本。
ISMS的复杂性
ISO 27001是关于您的ISMS的。您的ISMS越复杂,就需要更多的工程和时间来确保它的每个组件正确地遵循ISO 27001中的标准。额外的时间和工程转化为更高的初始成本,以达到法规遵从性,并在将来监视您的系统以保持法规遵从性。
你的组织规模
一般来说,小型企业的ISO 27001认证成本接近成本范围的低端(约6,000美元),而大型企业的成本更有可能达到40,000美元或更多。这是因为较大的组织有更多的机会出现安全风险。当你必须考虑到更多的雇员和承包商时,访问控制系统和其他安全协议的成本会更高。
您选择的认证组织
正如我们所提到的,ISO不颁发合规认证——认证只由第三方组织和企业提供。正如预期的那样,这将导致成本变化,因为每个组织都可以设置自己的价格点。
每个组织也可能需要不同数量和类型的文件来验证您的合规性,因此这也会影响您的ISO 27001认证成本。例如,有些可能需要比其他审计更广泛和详细的审计。
你的外部审计师
审计是合规性认证过程的重要组成部分,因此它也是成本的关键部分。ISO 27001审核的费用是多少?这取决于你聘请的审计师。与认证提供商一样,每个审核员都可以设定自己的价格,因此您的ISO 27001审核成本将取决于您选择的审核员。
我如何降低我的ISO 27001成本?
为向第三国或国际组织传输数据提供适当保障措施的文件
不同类别数据的保留期限
技术和组织安全措施的一般描述
确定您的Data Map是否包含以下有关供应商代表您执行的处理活动的信息
处理者或处理者以及处理者所代表的每个控制者的名称和联系方式,以及,在适用的情况下,控制者或处理者的代表以及数据保护官的名称和联系方式
代表每个控制器执行的处理类别
为向第三国或国际组织传输数据提供适当保障措施的文件
技术和组织安全措施的一般描述
3.
确定处理数据的理由
对于每一类数据和系统/应用程序,您是否根据以下条件之一确定了处理的合法依据?
资料当事人的同意
与资料当事人订立合约
履行法律义务所必需的
为保护数据主体或第三方的切身利益所必需
为履行公共利益或行使赋予管理人的官方权力所必需的
对于控制者或第三方追求合法利益的目的是必要的,除非这些利益被数据主体的权利所压倒
4
对现有的客户和供应商合同进行盘点,以确认包括新的gdp要求的流程条款
审查所有客户合同,以确定他们有适当的合同语言(即带有标准合同条款的数据保护附录)
审查所有范围内的供应商合同,以确定他们是否有适当的合同语言(即带有标准合同条款的数据保护附录)
你们的协议包括下列条款吗?
除非欧盟或成员国法律另有要求,供应商仅应根据书面指示处理个人数据(包括在进行个人数据的国际转移时)
供应商确保获授权处理个人资料的人士须遵守保密承诺或专业或法定的保密义务。
供应商有足够的信息安全、技术和组织措施来支持数据主体的请求或泄露
除非得到要求或授权,供应商不得指定或向任何子处理器披露任何个人数据
供应商应在提供与处理相关的服务结束后删除或返回所有个人数据,并删除现有副本,除非欧盟或成员国法律要求存储个人数据;
供应商提供所有必要的信息,以证明合规性,并允许和有助于审计,包括检查
您是否对处理您的PII的供应商进行了风险评估?
5
确定是否需要进行数据保护影响评估
你的数据处理是否考虑了处理的性质、范围、背景和目的,可能会对自然人的权利和自由造成高风险?
您的处理是否涉及以下任何一项?
自动处理,包括分析,以及产生法律效果的决策的基础
特殊类别的数据或与刑事定罪和犯罪有关的数据
大规模监控公众可进入的区域。
如果上述任何情况属实,您可能需要对现有和新的数据项目进行数据保护影响评估。
6
审查产品和服务设计(包括您的网站或应用程序),以确保隐私通知链接,营销同意和其他要求得到整合
您是否有一个面向公众的隐私政策,涵盖您所有产品、服务和网站的使用?
发给资料当事人的通知是否包括下列事项?
该组织及其代表的身份和联系方式
资料保护主任的联络资料(如适用)
处理个人资料的目的及处理的法律依据
个人资料的接收人或接收人类别(如有)
有关将个人资料转移至第三国的详情及所采取的适用保障措施
通知还包括以下内容吗?
保留期限,或者如果不可能保留期限,则用于确定保留期限的标准
数据主体权利的存在(即要求提供信息、修改或删除PII)
随时撤回同意的权利
向监管机构提出申诉的权利
提供个人资料是否属法定或合约规定,或属订立合约所必须的规定,以及资料当事人是否有责任提供该等个人资料,以及未能提供该等资料的可能后果
自动化决策的存在,包括分析,以及有关所涉及的逻辑的有意义的信息,以及重要性和后果
你是否有机制让人们改变或撤销同意?
7
更新内部隐私政策以遵守通知义务
更新欧盟员工的内部隐私通知
您是否有管理收集和使用欧盟和英国员工数据的员工隐私政策?
决定你是否需要委任一名资料保障主任,并在需要时委任一名
您是否已经决定是否必须根据以下条件之一指定数据保护官(DPO)(第37条)?
数据处理由公共机构执行
控制器或处理器的核心活动需要对数据主体进行定期和系统的大规模监控
8
如果您从欧盟导出数据,请考虑是否需要遵循机制来覆盖数据传输,例如模型条款
如果您在欧盟或英国境外传输、存储或处理数据,您是否确定了数据传输的法律依据(注意:很可能包含在标准合同条款中)?
你们是否执行并记录了转移影响评估(TIA)?
9
确认您遵守了其他数据主体的权利(即除了通知之外)
您是否有一个明确的流程来及时响应数据主体访问请求(DSAR)(即要求提供信息、修改或删除个人身份信息)?
你是否能够使用清晰易懂的语言,以简洁、透明、易懂和易于理解的形式提供主题信息?
当被要求时,您是否有纠正或删除数据的程序?
对于执法部门强制披露信息,你们有什么内部政策吗?
10
决定你是否需要指定一个欧盟代表,如果需要的话,就指定一个
您是否已指定欧盟代表或根据以下条件之一确定不需要欧盟代表?
数据处理是偶然的
数据处理规模不大
数据处理不包括与刑事定罪和犯罪有关的特殊类别或数据
不会危及数据主体的权利和自由
公共权力机构,公共机构
11
如果在多个欧盟运营,请确定牵头的数据保护机构(DPA)
您是否在不止一个欧盟开展业务?
如果是,您是否指定主要机构的监管机构作为您的主要监管机构?
12
实施员工培训,以证明遵守GDPR原则和数据主体权利
你们是否为员工提供了适当的安全意识和隐私培训?
13
更新内部程序和政策,以确保您能够遵守数据泄露响应要求
您是否创建并实施了事件响应计划,其中包括向欧盟和英国数据主体以及适当的数据当局报告违规行为的程序?
违规报告政策是否符合所有规定的时间表,并包括所有接收方,即当局、控制者和数据主体?
14
实施适当的技术和组织措施,以确保安全级别与风险相适应
这包括假名化/加密、保持机密性、在物理/技术事件发生后恢复访问以及定期测试措施
您是否对静态和传输中的PII实施了加密?
你实施过假名化吗?
您是否实施了适当的物理安全控制?
您是否实施了信息安全政策和程序?
你能清楚地访问欧盟或英国的PII数据吗?
您的技术和组织措施是否确保在默认情况下,只处理每个特定处理目的所必需的个人数据?
15
考虑通过自动化简化GDPR合规性
探索用于自动化安全性和遵从性的工具
将人工数据收集和观察过程转换为连续监测
ISO 27001认证成本
如果您试图确定ISO 27001认证的预算,那么很难找到关于ISO 27001成本的明确答案。
这是有原因的。ISO 27001认证的成本取决于以下因素:
组织的规模
办公地点数目
您的ISMS存储的数据类型
内部专家vs.雇佣顾问
当然,您的组织越小、越不复杂,您可能支付的费用就越少。
也就是说,在估计自己的ISO 27001合规成本时,记住具体的数字可能会有所帮助。
平均而言,公司在审核准备过程中可能需要支付高达40,000美元,认证审核本身需要支付15,000美元以上,每年需要支付10,000美元用于维护和监督审核。
下面我们将分解ISO 27001认证的典型成本,以便您了解相关成本,大致估算预算,并了解可以在哪些方面省钱。
ISO 27001认证费用是多少?
符合ISO 27001标准的总成本可分为三类:
制备成本
实现成本
审计成本
制备成本
准备ISO 27001认证审核是一项重要的工作。您需要定义您的认证范围,执行风险评估和设计控制。这张准备费用清单列出了你需要考虑的一些最常见的费用。
ISO 27001和27002标准要求:~$350.00
学习ISO 27001标准及其114项控制措施是准备过程的关键部分。由于ISO没有公开提供这些标准,所以您必须购买它们。
目前,ISO网站列出的ISO 27001的价格约为125美元,下载一份标准。ISO 27002标准分享了实施控制的指导,下载价格为225美元。
ISO 27001顾问(可选):~ 38k美元
聘请外部ISO 27001顾问是节省公司资源并从合规专家处理安全管理中获益的好方法。顾问对ISO 27001的所有方面都有专门的知识,使他们成为导航合规过程的理想指南。
经验丰富的顾问知道合规过程的每一步的更佳实践,从构建ISMS到执行审计。他们可以帮助您确定认证范围、完成风险评估并进行差距分析。
ISO 27001顾问的费用是多少?与任何其他类型的专业咨询一样,答案取决于您的顾问的经验和您需要的具体服务。
然而,ISO顾问的平均成本徘徊在3.8万美元左右。Pivot Point Security将这些成本分为两个预认证阶段,指出ISO 27001顾问费用为每天1,400至1,800美元:
阶段:20,000美元——定义审计范围、风险评估、风险缓解、差距分析和补救计划
第二阶段:18,000美元—缺口修复、注册商选择、ISMS开发、事件响应、内部审计和审计支持
差距分析(可选):~ 5.7万美元
构建ISMS可能是一个主要的挑战,特别是当您次尝试解码ISO 27001要求时。差距分析将告诉你你目前所处的位置,以及你还需要做些什么来为审计做好准备。
在进行专业差距分析期间,合规专家将检查您的安全状况,并将其与ISO 27001标准进行比较。然后,他们将向您提供一份报告,详细说明您的ISMS的范围,您需要修复的任何差距,以及您需要多长时间才能准备好进行审核。
一家提供ISO 27001差距分析服务的公司,对拥有250名员工和一个办公地点的组织收费5700美元。
渗透测试和漏洞评估:~ 2-8万美元
ISO 27001的要求之一是控制目标A12.6:技术漏洞管理。报告指出,企业需要积极主动地发现漏洞,并采取行动加以解决。对于大多数公司来说,这意味着定期的渗透测试或漏洞评估。
通过渗透测试,您的公司雇佣第三方对您的基础设施、系统和应用程序发起模拟攻击。此攻击旨在暴露任何漏洞,以加强您的整体安全状态。
漏洞评估具有类似的目标,即发现安全防护中的任何漏洞。它涉及到对ISMS的系统审查,以查找漏洞并确定其优先级,然后确定您的组织应该如何响应。
大多数渗透测试的成本在5,000- 20,000美元之间,平均成本在8,000- 10,000美元之间。另一方面,漏洞评估的成本从2000美元到2500美元不等,这取决于需要分析的IP地址、服务器和应用程序的数量。
实现成本
您的安全控制是符合ISO 27001标准的关键。
当控制组在2022年发生变化时,控制组的总数从最初的114个减少到93个。这些控制包括安全策略、资产管理、访问控制和许多其他需求。
实现所有这些控制既昂贵又耗时。
下面我们将列出在实施阶段可能出现的一些相关费用。
员工培训:每年约1000美元
正式的安全培训是ISO 27001认证的要求。此外,它有助于建立一种理解和重视数据安全的公司文化。
网络安全培训通常每年花费1000美元或更少,这取决于内容的类型、实践培训的水平和你选择的公司。
安全软件和工具:各不相同
根据差距分析的结果,您可能需要(或希望)在完成审计之前投资于能够帮助增强整体安全状态的软件。这可能是网络安全监控、漏洞扫描、加密工具,或者像诺顿或卡巴斯基这样的一体化安全套件。
您也可以选择购买合规软件,以简化实现和维护ISO 27001认证。这对于次通过认证过程的公司尤其有价值,并且每一步都将受益于专家的支持。
生产力损失:各不相同
生产力成本是ISO 27001认证成本中更高的一部分,也是最难估计的一部分。
您可能需要工程、人力资源、法律和IT团队的成员来专注于ISO 27001认证。编写策略、实现控制和收集文档都是耗时的、长期的项目。当您的团队将他们的注意力转移到实现和维护遵从性时,他们自然会有更少的时间来关注其他项目。
在您获得认证后,您团队中的某些人还需要使您的ISMS保持最新。这意味着除了完成定期的内部审计外,还要监测新的风险,更新政策和控制措施。
认证审核费用
ISO 27001审核费用:$ 10- 50,000
最初的ISO 27001认证由阶段1和阶段2审核组成。
在阶段,审核员将审查你们的ISMS设计和文件,并指出任何不符合ISO 27001标准的地方。
在阶段2审核期间,审核员将评估您的业务流程和控制,以确定您的组织是否符合ISO 27001。
ISO 27001认证有效期为三年,需要定期监督审核。这些都是你需要考虑的经常性费用。您可以在年和第二年结束时支付监督审核费用,并在第三年结束时支付重新认证审核费用。