iso27001多少费用:ISO 27001:信息安全管理系统
iso.com/' target='_blank' title='ISO' >ISO 27001:信息安全管理系统
ISO 27001:2013 是一项国际标准,它为信息安全管理系统(ISMS)提供了一个框架,以确保信息的持续保密性、完整性和可用性以及法律合规性。ISO 27001 认证对于保护员工和客户信息、品牌形象和其他私人信息等最重要的资产至关重要。ISO 标准包括一种基于流程的方法,用于启动、实施、运行和维护 ISMS。
ISO 27001 的实施是对客户和法律要求(如 GDPR)以及潜在安全威胁(包括网络犯罪、个人数据泄露、破坏/恐怖主义、火灾/损坏、滥用、盗窃和病毒攻击)的理想回应。
2019 年迄今为止,约有 32% 的企业在过去 12 个月中发现了网络安全漏洞或攻击。ISO 27001 标准在结构上也与 ISO 9001 等其他管理体系标准兼容,并且是技术和供应商中立的,这意味着它完全独立于任何 IT 平台。因此,公司的所有成员都应了解该标准的含义以及它如何适用于整个组织。
获得认可的 ISO 27001 认证表明贵公司致力于遵循信息安全的更佳实践。此外,ISO 27001 认证还能为您提供专家评估,以确定贵组织的信息是否得到了充分保护。请继续阅读,了解 ISO 27001 认证的更多益处。
2020 年,ISO 27001 的全球认证数量增长了 24.7%,这表明 UKAS 认可的认证在近期的增长和重要性。统计数据直接来自最新的 ISO 调查。
实施的好处
信息安全对企业越来越重要,因此采用 ISO 27001 也越来越普遍。现在,大多数组织都认识到,问题不在于是否会受到安全漏洞的影响,而在于何时会受到影响。
实施 ISMS 和获得 ISO 27001 认证对大多数组织来说都是一项重大任务。但是,如果能有效地实施,对于那些依赖于保护有价值或敏感信息的组织来说,会有很大的好处。这些好处通常分为三个方面:
商业利益
获得独立第三方对 ISMS 的认可,可以为组织带来
竞争优势,或使其能够 "赶上 "竞争对手。面临重大信息安全风险的客户越来越多地将 ISO 27001 认证作为投标书中的一项要求。
如果客户也通过了 ISO 27001 认证,那么从中期来看,他们将只选择与他们对其信息安全控制措施有信心并有能力遵守合同要求的供应商合作。
对于希望与这类客户合作的组织来说,拥有 ISO 27001 认证的 ISMS 是维持和增加其商业收入的关键要求。
运营
ISO 27001 的整体方法支持发展一种内部文化,这种文化对信息安全风险保持警惕,并采用一致的方法来应对这些风险。这种方法的一致性使控制措施在应对威胁时更加有力。实施和维护这些控制措施的成本也会降到更低,一旦控制措施失效,后果也会降到更低并得到更有效的缓解。
安心
许多组织都拥有对其运营至关重要的信息,这些信息对维持其竞争优势至关重要,或者是其财务价值的固有组成部分。
有了一套健全有效的 ISMS 系统,负责管理风险的企业所有者和管理人员就可以高枕无忧,因为他们知道自己不会面临巨额罚款、重大业务中断或声誉受损的风险。
在当今的知识经济时代,几乎所有组织都依赖于关键信息的安全。实施正式的 ISMS 是提供这种安全性的行之有效的方法。
ISO 27001 是国际公认的更佳 ISMS 框架,其合规性可通过独立验证,从而提升组织形象,增强客户信心。
主要原则和术语
ISMS 的核心目的是保护敏感或有价值的信息。敏感信息通常包括有关员工、客户和供应商的信息。有价值的信息可能包括知识产权、财务数据、法律记录、商业数据和运营数据。
敏感信息和有价值信息所面临的风险类型一般可分为三类:
机密性--一人或多人未经授权获取信息。
完整性--信息内容发生变化,不再准确或完整。
可用性--信息访问丢失或受阻。
这些信息安全风险类型通常被称为 "CIA"。
信息安全风险通常是由于处理、存储、持有、保护或控制信息访问的资产存在威胁和漏洞而引起的。
这里的资产通常是指:人员、设备、系统或基础设施。
信息是组织希望保护的数据集,如员工记录、客户记录、财务记录、设计数据、测试数据等。
事件是指导致机密性丢失(如数据泄露)、完整性丢失(如数据损坏)或可用性丢失(如系统故障)的意外事件。
威胁是导致事件发生的原因,可能是恶意的(如小偷)、意外的(如按键错误)或天灾(如洪水)。
办公室窗户敞开、源代码错误或建筑物紧邻河流等弱点,都会增加威胁发生的可能性,从而导致不必要的、代价高昂的事故。
在信息安全方面,可以通过设计、实施和维护各种控制措施来管理风险,如窗户上锁、软件测试或将易受攻击的设备安装在地面以上。
符合 ISO 27001 标准的 ISMS 有一套相互关联的更佳实践流程,可促进和支持控制措施的适当设计、实施和维护。
构成 ISMS 一部分的流程通常是现有核心业务流程(如招聘、入职、培训、采购、产品设计、设备维护、服务交付)与维护和改进信息安全特定流程(如变更管理、信息备份、访问控制、事故管理、信息分类)的组合。
基于风险的思维/审计
审计是对信息安全管理系统进行评估的一种系统化、以证据为基础的过程方法。审计在内部和外部进行,以验证 ISMS 的有效性。审计是在信息安全管理中采用基于风险的思维方式的范例。
方审计--内部审计
内部审计是组织内部学习的机会。内部审核提供了时间来关注特定流程或部门,以真正评估其绩效。内部审核的目的是确保遵守由组织决定的政策、程序和流程,并确认是否符合 ISO 27001 的要求。
审核计划
制定审计计划听起来似乎很复杂。根据企业运营的规模和复杂程度,您可以安排每月到每年一次的内部审核。有关这方面的更多详情,请参阅第 9 节--绩效评估。
基于风险的思考
考虑审计频率的更佳方法是查看要审计的流程或业务领域所涉及的风险。任何高风险流程,无论是因为它出错的可能性大,还是因为一旦出错后果严重,都应该比低风险流程更频繁地接受审计。
如何评估风险完全取决于您。ISO 27001 并未规定任何特定的风险评估或风险管理方法。
第二方--外部审核
第二方审核通常由客户或他人代表客户执行,或者由您的外部供应商执行。第二方审计也可以由监管机构或任何其他与组织有正式利益关系的外部机构进行。
您可能无法控制这些审核的时间和频率,但建立自己的 ISMS 将确保您为这些审核的到来做好充分准备。
第三方--认证审核
第三方审核由外部机构执行,通常是 UKAS 认可的认证机构,如 NQA。
认证机构将评估是否符合 ISO 27001:2013 标准。这包括认证机构的代表访问组织并评估相关系统及其流程。维护认证还包括定期重新评估。
认证可向客户证明您对质量的承诺。
认证保证
定期评估,以持续监控和改进流程。
系统能够实现预期结果的可信度。
降低风险和不确定性,增加市场机会。
产出的一致性,旨在满足利益相关者的期望。
基于流程的思考/审计
流程是将输入转化为输出的过程,是实现计划目标的一系列步骤或活动。一个流程的产出往往会成为另一个后续流程的输入。很少有流程是孤立运行的。
"流程:一系列相互关联或相互作用的活动,这些活动使用输入来实现预期结果。
ISO 27001:2013 基本原理和词汇表
即使是审核也有流程方法。它从确定范围和标准开始,制定明确的行动方案以实现结果,并有明确的输出(审核报告)。使用过程方法进行审计还能确保为审计分配正确的时间和技能。这样就能对 ISMS 的绩效进行有效评估。
"当各项活动被理解为相互关联的流程并作为一个连贯的系统进行管理时,就能更有效、更高效地实现一致且可预测的结果"。
了解流程之间如何相互关联并产生结果,有助于识别改进机会,从而优化整体绩效。这同样适用于流程或部分流程被外包的情况。
准确了解这如何影响或可能影响结果,并与业务合作伙伴(提供外包产品或服务)明确沟通,可确保流程的清晰性和责任性。
最后一个流程步骤是审查审核结果,确保所获得的信息得到妥善利用。正式的 "管理评审 "是对 ISMS 的绩效进行反思,并就如何改进以及在哪些方面改进做出决策的机会。第 9 节--绩效评估中将更深入地介绍管理评审流程。
ISO 27001:2013 的 10 个条款
ISO 27001 由 10 个部分组成,称为条款。
与大多数其他 ISO 管理体系标准一样,ISO 27001 需要满足的要求在第 4.0 - 10.0 条中有明确规定。与大多数其他 ISO 管理体系标准不同的是,组织必须遵守条款 4.0 - 10.0 中的所有要求;组织不能声明一个或多个条款对其不适用。
在 ISO 27001 标准中,除了第 4.0 - 10.0 条款外,还有一套要求详列于称为附件 A 的部分,在第 6.0 条款中有所提及。附件 A 包含 114 项更佳实践信息安全控制措施。这 114 项控制措施中的每一项都需要加以考虑。要符合 ISO 27001 标准,组织必须实施这些控制措施,或者为不实施特定控制措施提供可接受的理由。
本指南的以下部分概述了每个条款的目的,强调了审计员希望看到的证据类型,以确认您符合要求,并给出了符合要求的有效方法提示。
第 1 部分:范围
ISO 27001 的 "范围 "部分规定了
标准的目的;
该标准适用于哪些类型的组织;以及
标准中包含要求的部分(称为条款),组织必须遵守这些要求才能获得 "符合 "标准的认证(即合规)。
ISO 27001 的设计适用于任何类型的组织。无论组织的规模、复杂程度、行业领域、目的或成熟度如何,都可以实施和维护符合 ISO 27001 标准的 ISMS。
第 2 部分:规范性引用文件
在 ISO 标准中,"规范性引用文件 "部分列出了与确定组织是否符合相关标准有关的其他标准。在 ISO 27001 中,只列出了一份文件--ISO 27000《信息技术--概述和词汇》。
ISO 27001 中使用的一些术语或详细要求在 ISO 27000 中有进一步解释。参考 ISO 27000 对帮助你更好地理解某项要求或确定遵守该要求的更佳方法非常有用。
提示--外部审核人员希望您在制定和实施 ISMS 时考虑到 ISO 27000 中包含的信息。
第 3 部分:术语和定义
ISO 27001 中没有给出术语和定义。ISO 27001 中没有给出术语和定义,而是参考了最新版本的 ISO 27000《信息安全管理体系--概述和词汇》。本文件的当前版本包含 ISO 27001 中使用的 81 个术语定义。
除了上文 "关键原则和术语 "部分解释的术语外,ISO 27001 中使用的最重要术语包括
访问控制"--确保只有需要访问特定资产的人才能访问该资产的流程,而 "需要 "是根据业务和安全要求确定的。
有效性"--计划活动(如流程、程序)按计划或规定执行并实现计划结果或产出的程度。
风险"--信息安全事件发生的可能性及其后果的组合。
风险评估"--识别风险、分析每种风险造成的风险程度以及评估是否需要采取额外行动将每种风险降低到更可容忍或可接受的程度的过程。
风险处理"--将已识别的风险降低到可容忍或可接受水平的过程或行动。
更高管理层"--组织中更高决策者群体。他们可能负责制定战略方向,确定并实现利益相关者的目标。
在编写信息安全管理系统文档时,您不必使用这些确切的术语。不过,如果能对所使用的术语进行定义,确实有助于明确其含义和意图。在系统文档中提供词汇表可能会有所帮助。
第 4 部分:组织背景
ISMS 的目的是保护组织的信息资产,使组织能够实现其目标。
如何实现这一目标以及具体的优先领域将取决于组织的运营环境,包括
内部--组织有一定控制权的事物;以及
外部--组织无法直接控制的事物。
认真分析贵组织的运营环境是识别信息资产安全固有风险的基础。在此基础上,您才能评估需要考虑增加或加强哪些流程,以建立有效的 ISMS。
内部环境
以下是在评估可能对 ISMS 风险有影响的内部问题时可以考虑的方面:
成熟度:你是一个敏捷的初创企业,需要在一张白纸上开展工作,还是一个有 30 多年历史的机构,拥有完善的流程和安全控制措施?
组织文化:你的组织对员工的工作方式、时间和地点要求宽松,还是极其严格?这种文化是否会抵制信息安全控制措施的实施?
管理:从组织的关键决策者到组织的其他成员,是否有清晰的沟通渠道和流程?
资源规模:您是与信息安全团队合作,还是一个人包揽所有工作?
资源成熟度:可用资源(员工/承包商)是知识渊博、训练有素、可靠稳定的,还是缺乏经验、不断变化的?
信息资产格式:信息资产是主要以硬拷贝(纸质)形式存储,还是以电子形式存储在现场服务器或远程云系统中?
信息资产的敏感性/价值:贵组织是否需要管理高价值或特别敏感的信息资产?
一致性:贵机构是否在整个组织内采用统一的流程,还是采用多种不同的操作方法,几乎没有一致性?
系统:贵组织是否有许多运行在制造商不再支持的软件版本上的遗留系统,或者贵组织是否维护最新、更好的可用技术?
系统复杂性:是使用一个主要系统完成所有繁重的工作,还是使用多个部门系统,但它们之间的信息传输有限?
物理空间:是有专门的安全办公设施,还是与其他组织共用办公空间?
外部环境
在评估可能对 ISMS 风险产生影响的外部问题时,可以考虑以下几个方面:
竞争:你是在一个瞬息万变、不断创新的市场中运营,需要进行多次系统升级才能保持竞争力,还是在一个成熟、稳定的市场中运营,每年几乎没有创新?
业主:升级实体安全系统是否需要获得批准?
监管机构/执法机构:您所在的行业是否要求定期进行法定变更,或者您所在的市场领域是否很少受到监管机构的监督?
经济/政治:货币波动是否会影响您的组织;英国脱欧是否会产生影响?
环境因素:贵机构是否位于洪泛平原,服务器是否位于地下室?是否有一些因素使贵机构的网站可能成为非法入侵或恐怖袭击的目标(例如,位于市中心的显要位置;毗邻可能的目标)?
信息安全攻击的普遍性:贵组织所处的行业是否经常引起黑客(犯罪分子、黑客活动家)的兴趣?
股东:他们是否非常担心组织容易受到数据泄露的影响?他们对组织为改善信息安全而付出的成本有多关注?
相关方
相关方是指任何受到、可能受到或认为自己会受到组织的行为或疏忽影响的人。在对内部和外部问题进行全面分析的过程中,你的利益相关方就会变得清晰起来。
他们可能包括股东、业主、监管者、客户、员工和竞争对手,也可能包括公众和环境,这取决于企业的性质。你不必试图理解或满足他们的每一个要求,但你必须确定他们的哪些需求和期望与你的 ISMS 相关。
管理系统的范围
要符合 ISO 27001 标准,必须记录 ISMS 的范围。记录的范围通常描述
包括(或不包括)的一个或多个物理站点的边界;
包括(或不包括)的物理和逻辑网络的边界;
包括(或不包括)的内部和外部员工群体;
包括(或不包括)的内部和外部流程、活动或服务;以及
范围边界上的关键接口。
如果你想通过建立一个不覆盖整个组织的 ISMS 系统来确定资源的优先级,那么选择一个仅限于管理关键利益相关者利益的范围不失为一种务实的方法。具体做法可以是只包括特定的场所、资产、流程和业务单位或部门。范围声明的一些示例
"IT 部门开展的所有业务
"电子邮件的支持和管理
"组织位于贝辛斯托克的数据中心的所有设备、系统、数据和基础设施"。
提示--记录或保存您在分析组织背景和相关方时整理的所有信息,如
与企业代表(如总经理、首席执行官或首席技术官)的讨论。
会议记录或业务计划。
确定内部/外部问题和相关方及其需求和期望的具体文件,如 SWOT 分析、PESTLE 研究或业务风险评估。
ISO 27001认证成本
如果您试图确定ISO 27001认证的预算,那么很难找到关于ISO 27001成本的明确答案。
这是有原因的。ISO 27001认证的成本取决于以下因素:
组织的规模
办公地点数目
您的ISMS存储的数据类型
内部专家vs.雇佣顾问
当然,您的组织越小、越不复杂,您可能支付的费用就越少。
也就是说,在估计自己的ISO 27001合规成本时,记住具体的数字可能会有所帮助。
平均而言,公司在审核准备过程中可能需要支付高达40,000美元,认证审核本身需要支付15,000美元以上,每年需要支付10,000美元用于维护和监督审核。
下面我们将分解ISO 27001认证的典型成本,以便您了解相关成本,大致估算预算,并了解可以在哪些方面省钱。
ISO 27001认证费用是多少?
符合ISO 27001标准的总成本可分为三类:
制备成本
实现成本
审计成本
制备成本
准备ISO 27001认证审核是一项重要的工作。您需要定义您的认证范围,执行风险评估和设计控制。这张准备费用清单列出了你需要考虑的一些最常见的费用。
ISO 27001和27002标准要求:~$350.00
学习ISO 27001标准及其114项控制措施是准备过程的关键部分。由于ISO没有公开提供这些标准,所以您必须购买它们。
目前,ISO网站列出的ISO 27001的价格约为125美元,下载一份标准。ISO 27002标准分享了实施控制的指导,下载价格为225美元。
ISO 27001顾问(可选):~ 38k美元
聘请外部ISO 27001顾问是节省公司资源并从合规专家处理安全管理中获益的好方法。顾问对ISO 27001的所有方面都有专门的知识,使他们成为导航合规过程的理想指南。
经验丰富的顾问知道合规过程的每一步的更佳实践,从构建ISMS到执行审计。他们可以帮助您确定认证范围、完成风险评估并进行差距分析。
ISO 27001顾问的费用是多少?与任何其他类型的专业咨询一样,答案取决于您的顾问的经验和您需要的具体服务。
然而,ISO顾问的平均成本徘徊在3.8万美元左右。Pivot Point Security将这些成本分为两个预认证阶段,指出ISO 27001顾问费用为每天1,400至1,800美元:
阶段:20,000美元——定义审计范围、风险评估、风险缓解、差距分析和补救计划
第二阶段:18,000美元—缺口修复、注册商选择、ISMS开发、事件响应、内部审计和审计支持
差距分析(可选):~ 5.7万美元
构建ISMS可能是一个主要的挑战,特别是当您次尝试解码ISO 27001要求时。差距分析将告诉你你目前所处的位置,以及你还需要做些什么来为审计做好准备。
在进行专业差距分析期间,合规专家将检查您的安全状况,并将其与ISO 27001标准进行比较。然后,他们将向您提供一份报告,详细说明您的ISMS的范围,您需要修复的任何差距,以及您需要多长时间才能准备好进行审核。
一家提供ISO 27001差距分析服务的公司,对拥有250名员工和一个办公地点的组织收费5700美元。
渗透测试和漏洞评估:~ 2-8万美元
ISO 27001的要求之一是控制目标A12.6:技术漏洞管理。报告指出,企业需要积极主动地发现漏洞,并采取行动加以解决。对于大多数公司来说,这意味着定期的渗透测试或漏洞评估。
通过渗透测试,您的公司雇佣第三方对您的基础设施、系统和应用程序发起模拟攻击。此攻击旨在暴露任何漏洞,以加强您的整体安全状态。
漏洞评估具有类似的目标,即发现安全防护中的任何漏洞。它涉及到对ISMS的系统审查,以查找漏洞并确定其优先级,然后确定您的组织应该如何响应。
大多数渗透测试的成本在5,000- 20,000美元之间,平均成本在8,000- 10,000美元之间。另一方面,漏洞评估的成本从2000美元到2500美元不等,这取决于需要分析的IP地址、服务器和应用程序的数量。
实现成本
您的安全控制是符合ISO 27001标准的关键。
当控制组在2022年发生变化时,控制组的总数从最初的114个减少到93个。这些控制包括安全策略、资产管理、访问控制和许多其他需求。
实现所有这些控制既昂贵又耗时。
下面我们将列出在实施阶段可能出现的一些相关费用。
员工培训:每年约1000美元
正式的安全培训是ISO 27001认证的要求。此外,它有助于建立一种理解和重视数据安全的公司文化。
网络安全培训通常每年花费1000美元或更少,这取决于内容的类型、实践培训的水平和你选择的公司。
安全软件和工具:各不相同
根据差距分析的结果,您可能需要(或希望)在完成审计之前投资于能够帮助增强整体安全状态的软件。这可能是网络安全监控、漏洞扫描、加密工具,或者像诺顿或卡巴斯基这样的一体化安全套件。
您也可以选择购买合规软件,以简化实现和维护ISO 27001认证。这对于次通过认证过程的公司尤其有价值,并且每一步都将受益于专家的支持。
生产力损失:各不相同
生产力成本是ISO 27001认证成本中更高的一部分,也是最难估计的一部分。
您可能需要工程、人力资源、法律和IT团队的成员来专注于ISO 27001认证。编写策略、实现控制和收集文档都是耗时的、长期的项目。当您的团队将他们的注意力转移到实现和维护遵从性时,他们自然会有更少的时间来关注其他项目。
在您获得认证后,您团队中的某些人还需要使您的ISMS保持最新。这意味着除了完成定期的内部审计外,还要监测新的风险,更新政策和控制措施。
认证审核费用
ISO 27001审核费用:$ 10- 50,000
最初的ISO 27001认证由阶段1和阶段2审核组成。
在阶段,审核员将审查你们的ISMS设计和文件,并指出任何不符合ISO 27001标准的地方。
在阶段2审核期间,审核员将评估您的业务流程和控制,以确定您的组织是否符合ISO 27001。
ISO 27001认证有效期为三年,需要定期监督审核。这些都是你需要考虑的经常性费用。您可以在年和第二年结束时支付监督审核费用,并在第三年结束时支付重新认证审核费用。
节省ISO 27001认证费用
获得ISO 27001认证是贵公司的一项主要投资,但并不一定要如此昂贵。
遵从性自动化可以显著降低成本