隨著以計算機和網絡通(tong)信為代表的(de)信息技(ji)術（IT）的(de)迅猛發(fa)展，政府部門、金融(rong)機構、企事業(ye)(ye)單位和商業(ye)(ye)組織對IT 系統(tong)的(de)依賴也日益加重，信息技(ji)術幾(ji)乎滲透到了世界各地和社會生(sheng)活的(de)方方面面。

所以(yi)，對信(xin)息加以(yi)保護，防范(fan)信(xin)息的損壞(huai)和泄露，已成為當前(qian)組織(zhi)迫切需(xu)要解決的問題。組織(zhi)需(xu)要一個系(xi)統的、整體(ti)規劃(hua)的信(xin)息安(an)全管理體(ti)系(xi)，從預防控(kong)制的角度出(chu)發(fa)，保障組織(zhi)的信(xin)息系(xi)統與(yu)業務之安(an)全與(yu)正常運作。

《信息(xi)(xi)技術 安全(quan)(quan)技術 信息(xi)(xi)安全(quan)(quan)管理體系(xi)要求》（ISO/IEC 27001）是(shi)目前世(shi)界上(shang)應(ying)用(yong)最廣泛與(yu)典(dian)型的(de)信息(xi)(xi)安全(quan)(quan)管理標準。ISO/IEC 27001的(de)目的(de)是(shi)有效(xiao)保(bao)護信息(xi)(xi)資源,保(bao)護信息(xi)(xi)化進程健康、有序、可(ke)持續發展。

建立信(xin)息安全(quan)管理體系可以給企業帶(dai)來如下收益(yi)：   

• 提升主動防(fang)范(fan)信息技術相關安全風險的(de)能(neng)力，保障組織運營的(de)安全；

• 形成體(ti)系的(de)監督、檢查機制，建立可自(zi)我改進和完善的(de)管理體(ti)系；

• 提升(sheng)組織(zhi)內(nei)部全員(yuan)的(de)安(an)全意(yi)識，在(zai)組織(zhi)內(nei)部形成信(xin)息安(an)全文(wen)化氛圍，以(yi)更(geng)有(you)效(xiao)地推動(dong)信(xin)息安(an)全管理工作的(de)持續改進。

信息安全管理體系認證業務范圍

認證用標準：GB/T 22080

注：分類依據《CNAS-SC170》

詳細內容請下載文件：

S-GK-004管理體系認證證書和認證標志、認可標識使用規則.docx

1. 目的與使用范圍

為加(jia)強對(dui)認(ren)(ren)(ren)證(zheng)組(zu)織(zhi)認(ren)(ren)(ren)證(zheng)收(shou)費的(de)管理，規范(fan)認(ren)(ren)(ren)證(zheng)收(shou)費行為，保護認(ren)(ren)(ren)證(zheng)雙(shuang)方的(de)利(li)益，促進(jin)認(ren)(ren)(ren)證(zheng)工(gong)作的(de)發展，特制訂本規則(ze)。

本規則適用于方(fang)圓(yuan)標志認證集團所開(kai)展(zhan)的信息技術服務管理體系認證服務收費(fei)。

2. 基本原則

收費項目和標(biao)準按(an)照國家有關主管部(bu)門的(de)規定制訂(ding)。

認(ren)證(zheng)審核的工作量（人日數）根據申請認(ren)證(zheng)組織的規模、認(ren)證(zheng)領域(yu)數量和專業特性等按國際準則及(ji)國家主管部門有(you)關要(yao)求確定(ding)。

3.  收費項目與標準

3.1  認證收費項目

a) 申請(qing)費(fei)：初次認(ren)(ren)證、再認(ren)(ren)證、增加認(ren)(ren)證領(ling)域、變(bian)更(geng)認(ren)(ren)證范(fan)圍等的申請(qing)費(fei)用；

b) 審(shen)(shen)核(he)費(fei)(fei)：初審(shen)(shen)、監督、再認證、特殊(shu)審(shen)(shen)核(he)等審(shen)(shen)核(he)活(huo)動所發生的費(fei)(fei)用；

c) 批(pi)準與(yu)注(zhu)冊(ce)費（含證書費）：初次認(ren)證、再認(ren)證、認(ren)證變更等(deng)的批(pi)準與(yu)注(zhu)冊(ce)費用(yong)，按不同(tong)認(ren)證領域(yu)分(fen)別收取；

d) 年金（含(han)標志使用費(fei)(fei)）、更換證書費(fei)(fei)。

3.2 收費標準

注：人日數(shu)(shu)是指認證審核所(suo)需的工(gong)作人天數(shu)(shu)（即審核員人數(shu)(shu)×工(gong)作天數(shu)(shu)）

4.  收費方法

a) 申(shen)請人向CQM提出認證(zheng)(zheng)申(shen)請時(shi)支付申(shen)請費。審(shen)核(he)前支付審(shen)核(he)費。頒發認證(zheng)(zheng)證(zheng)(zheng)書前支付批準注冊費。

b) 獲證組(zu)織在交付(fu)監督審核費的同(tong)時支付(fu)年(nian)金。

c) 更換(huan)證書費在領取新證書前支付。

5.  審核人日數核算方法

5.1 單一領域管理體系認證

信息技術服務(wu)管理體(ti)系(xi)審(shen)核人日數根據組織的(de)審(shen)核類(lei)(lei)型(xing)（初審(shen)、監(jian)督、再認證(zheng)、特殊審(shen)核等(deng)）、組織ITSMS范(fan)圍所涉及(ji)的(de)服務(wu)活動種類(lei)(lei)、業(ye)務(wu)的(de)復雜(za)程度（包括SLA數量(liang)、供應商數量(liang)、及(ji)認證(zheng)范(fan)圍內所提供服務(wu)的(de)行業(ye)的(de)認可風險等(deng)）、組織的(de)規模(mo)以(yi)及(ji)場所數量(liang)與類(lei)(lei)型(xing)等(deng)因素(su)相(xiang)關。

人日數包(bao)括(kuo)文(wen)件評審、審核準備(bei)、現場審核和最終報告等時(shi)間；不(bu)包(bao)括(kuo)路途(tu)時(shi)間。

5.2 多領域管理體系結合認證

對(dui)于多(duo)領(ling)域(yu)管理體(ti)系(xi)結合(he)認證(zheng)，審(shen)核人日數(shu)可在單一(yi)領(ling)域(yu)管理體(ti)系(xi)審(shen)核人日數(shu)之和的基礎上(shang)適當減少，通常考慮(lv)管理體(ti)系(xi)領(ling)域(yu)數(shu)量并按實際發生(sheng)的審(shen)核人日數(shu)計算。

5.3 增加認證領域審核

獲(huo)(huo)證(zheng)組織已經獲(huo)(huo)得CQM某領域(yu)(yu)(yu)認證(zheng)以后(hou)提(ti)出(chu)其它認證(zheng)領域(yu)(yu)(yu)的(de)申請，應按該領域(yu)(yu)(yu)的(de)審核人日數計算費用。

5.4 擴大認證業務范圍審核

獲(huo)證組織(zhi)在已取(qu)得的(de)管理體系認證的(de)領域擴(kuo)大范(fan)圍，根據實(shi)際發生的(de)審核工(gong)作量計算。

詳細內容請(qing)下載文件(jian)：

S-FN-06-004信息技術服務管理體系和信息安全管理體系認證實施方案.doc