ISO 27001信息安全管理體系（ISMS）對(duì)信息安全及隱私保護(hù)提出了非常具體的要求和標(biāo)準(zhǔn)，不僅涵蓋隱私保護(hù)、數(shù)據(jù)處理以及信息管理等技術(shù)層面的要求，還涉及法律法規(guī)、人員管理、資產(chǎn)管理、物理和環(huán)境安全、操作安全、通信安全等諸多方面，切實(shí)覆蓋了組織關(guān)于信息安全的各個(gè)領(lǐng)域。

ISO 27001 認(rèn)證有利于您： 保護(hù)信息資產(chǎn)；持續(xù)改進(jìn)提升效率；保護(hù)隱私敏感信息；降低風(fēng)險(xiǎn)和成本；增強(qiáng)客戶信賴；

ISO 27001是目前國(guó)際上最嚴(yán)謹(jǐn)、權(quán)威，也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)，它與信息技術(shù)服務(wù)管理體系合稱為信息雙認(rèn)證

涉及信息安全時(shí)，不容有絲毫懈??！保護(hù)個(gè)人記錄和商業(yè)敏感信息至關(guān)重要！

認(rèn)證流程：
管理體系相關(guān)認(rèn)證的流程基本一致，企業(yè)申請(qǐng)時(shí)不需要特別記錄。流程一般包括：提交申請(qǐng)、簽訂合同和交預(yù)付款；初審（第一階段審核/文件審查，第二階段審核/現(xiàn)場(chǎng)審核）；認(rèn)證決定；結(jié)算費(fèi)用，注冊(cè)發(fā)證；每年的監(jiān)督審核（次數(shù)略有不同）；證書期滿后的再認(rèn)證等環(huán)節(jié)。

申請(qǐng)條件：
ISO27001認(rèn)證的申請(qǐng)條件：

1、中國(guó)企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件；外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明。?

2、申請(qǐng)方的信息安全管理體系已按ISO/IEC27001:2005標(biāo)準(zhǔn)的要求建立，并實(shí)施運(yùn)行3個(gè)月以上。?

3、至少完成一次內(nèi)部審核，并進(jìn)行了管理評(píng)審。?

4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

認(rèn)證范圍：

認(rèn)證用標(biāo)準(zhǔn)：GB/T 22080

資料清單：
認(rèn)證組織需要提交的基本資料有：

(1)　申請(qǐng)認(rèn)證的組織名稱、注冊(cè)地址、經(jīng)營(yíng)地址、通訊地址及郵編、聯(lián)系人、職務(wù)、聯(lián)系方式；

(2)　認(rèn)證類型；

(3)　認(rèn)證依據(jù)；

(4)　體系覆蓋的人數(shù)；

(5)　根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性所確定的ISMS的范圍和邊界，包括對(duì)任何范圍、刪減的詳細(xì)說明和正當(dāng)性理由；

(6)　經(jīng)營(yíng)場(chǎng)所、分場(chǎng)所、臨時(shí)場(chǎng)所以及各場(chǎng)所從事的活動(dòng)等；

(7)　服務(wù)器數(shù)量、終端數(shù)量、用戶的數(shù)量；

(8)　適用性聲明、資產(chǎn)列表；

(9)　保密協(xié)議、信息安全敏感區(qū)域的聲明；

(10)　提供咨詢服務(wù)機(jī)構(gòu)和人員信息；

(11)　關(guān)于認(rèn)證活動(dòng)的限制條件（如出于安全和/或保密等原因，存在時(shí)）。

除此以外，申請(qǐng)信息安全管理體系認(rèn)證的企業(yè)還需提交一些輔助資料，如支持信息安全管理體系的規(guī)程和控制措施；風(fēng)險(xiǎn)評(píng)估報(bào)告（含風(fēng)險(xiǎn)評(píng)估方法的描述）等。

如果貴司要申請(qǐng)辦理，可咨詢我們，進(jìn)一步了解情況！

認(rèn)證報(bào)價(jià)：
     可能產(chǎn)生的費(fèi)用，包括初次認(rèn)證費(fèi)用（申請(qǐng)費(fèi)、審核費(fèi)、注冊(cè)費(fèi)等）、監(jiān)督審核費(fèi)用（審核費(fèi)、年金等）、再認(rèn)證費(fèi)用（申請(qǐng)費(fèi)、審核費(fèi)、注冊(cè)費(fèi)等）。

　　費(fèi)用多少要看評(píng)審工作的復(fù)雜程度等因素進(jìn)行核算。如：初評(píng)、監(jiān)督、復(fù)評(píng)與擴(kuò)大認(rèn)可領(lǐng)域、擴(kuò)大業(yè)務(wù)領(lǐng)域、擴(kuò)大業(yè)務(wù)范圍和增加關(guān)鍵場(chǎng)所的文件審查、現(xiàn)場(chǎng)評(píng)審、見證評(píng)審、不符合驗(yàn)證等評(píng)審活動(dòng)所發(fā)生的費(fèi)用等。

證書樣本：

信息安全管理體系證書

信息安全管理體系證書-CNAS

隱私信息管理體系（ISO 27701）
高科技和大數(shù)據(jù)的廣泛應(yīng)用已成為當(dāng)今時(shí)代的背景，企業(yè)在數(shù)字化時(shí)代不可避免地處理著個(gè)人隱私信息。

ISO 27701 隱私信息管理體系（PIMS）是在隱私保護(hù)方面對(duì) ISO/IEC 27001 和ISO/IEC 27002 的擴(kuò)展，重點(diǎn)針對(duì)保護(hù)可能受到個(gè)人信息收集和處理影響的隱私指南，可有效協(xié)助組織對(duì)隱私風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析、采取措施，確保符合高級(jí)別的隱私保護(hù)合規(guī)要求，將風(fēng)險(xiǎn)降到可接受水平并維持該水平，最終幫助組織建立完善的隱私信息管理體系，實(shí)現(xiàn)有效的隱私管理。

獲得PIMS認(rèn)證的企業(yè)標(biāo)志著其在保護(hù)用戶數(shù)據(jù)和個(gè)人信息安全方面符合國(guó)際標(biāo)準(zhǔn)ISO27701的要求，信息安全管理將與隱私信息管理進(jìn)行密切整合，為客戶及用戶帶來信任并提升品牌價(jià)值，對(duì)于降低企業(yè)隱私合規(guī)難度，便利企業(yè)提供合規(guī)證明，增強(qiáng)社會(huì)各方對(duì)企業(yè)的信任程度具有重要的意義！

· 
ISO 27701認(rèn)證的好處：
增強(qiáng)對(duì)個(gè)人信息管理的信任；
在利益相關(guān)方之間提供透明度；
促進(jìn)達(dá)成有效的業(yè)務(wù)協(xié)議；
明確角色和責(zé)任；
支持遵循隱私法規(guī)；
通過與領(lǐng)先的信息安全標(biāo)準(zhǔn)ISO 27001整合，降低復(fù)雜性。

申請(qǐng)條件：
隱私信息管理體系（PIMS）是在ISO 27001信息安全管理體系的基礎(chǔ)上建立、實(shí)施和擴(kuò)展的，ISO 27001 是PIMS 的基礎(chǔ)和前提條件。申請(qǐng)PIMS 的組織應(yīng)已經(jīng)建立信息安全管理體系，且通過了ISO 27001 認(rèn)證或準(zhǔn)備同時(shí)申請(qǐng)ISO 27001認(rèn)證。

資料清單：
公司資質(zhì)；

· 體系文件（一級(jí)和二級(jí)文件，至少包含SOA文件和程序文件）；

· 包含PIMS特殊要求的信息安全風(fēng)險(xiǎn)評(píng)估資料（至少有風(fēng)險(xiǎn)評(píng)估計(jì)劃、風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)報(bào)告）；

· 適用PIMS要求的法律法規(guī)清單；

· 公司場(chǎng)景與角色識(shí)別表；

· PII識(shí)別處理PII信息流涉及的信息系統(tǒng)、存儲(chǔ)介質(zhì)等清單；

· PII影響評(píng)估報(bào)告。

還需同步提交組織ISMS的申請(qǐng)資料：
1） 信息安全管理體系方針和目標(biāo)；
2） 支持信息安全管理體系的規(guī)程和控制措施；
3） 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告（含風(fēng)險(xiǎn)評(píng)估方法的描述）；
4） 信息安全殘余風(fēng)險(xiǎn)報(bào)告；
5） 信息安全風(fēng)險(xiǎn)處置計(jì)劃；
6） 信息安全管理體系適用性聲明；
7） 信息安全管理體系適用的法律法規(guī)的標(biāo)準(zhǔn)的清單；

證書樣本：


云服務(wù)信息安全管理體系（ISO 27017）：

如果您的組織是云服務(wù)提供商，或考慮將您的業(yè)務(wù)轉(zhuǎn)移到云端，那通過ISO27017認(rèn)證，將有效地保護(hù)相關(guān)數(shù)據(jù)，降低數(shù)據(jù)泄露以及違反法律法規(guī)帶來的風(fēng)險(xiǎn)和負(fù)面影響，增強(qiáng)客戶對(duì)企業(yè)的信任。

ISO/IEC 27017《信息技術(shù) -- 安全技術(shù) -- 基于ISO/IEC 27002的云服務(wù)信息安全控制的實(shí)用規(guī)則》不僅提供了基于ISO/IEC27002標(biāo)準(zhǔn)中多個(gè)控制措施的針對(duì)云服務(wù)的特殊要求，還介紹了7個(gè)全新的云服務(wù)控制措施。

ISO 27017 認(rèn)證有利于：增強(qiáng)外部信任；加強(qiáng)治理風(fēng)險(xiǎn)管理；增強(qiáng)競(jìng)爭(zhēng)優(yōu)勢(shì)；提升品牌聲譽(yù)；

通過ISO27017的認(rèn)證，可以有效地保護(hù)數(shù)據(jù)，降低數(shù)據(jù)泄露以及違反法律法規(guī)帶來的風(fēng)險(xiǎn)和負(fù)面影響，增強(qiáng)客戶對(duì)企業(yè)的信任，說明了企業(yè)在保護(hù)企業(yè)數(shù)據(jù)、知識(shí)產(chǎn)權(quán)、文檔和云端IT系統(tǒng)安全等方面達(dá)到了高標(biāo)準(zhǔn)的行業(yè)最佳實(shí)踐！

申請(qǐng)條件：
云服務(wù)信息安全管理體系是在ISO 27001信息安全管理體系的基礎(chǔ)上建立、實(shí)施和擴(kuò)展的，ISO 27001是申請(qǐng)認(rèn)證的基礎(chǔ)和前提條件。申請(qǐng)組織應(yīng)已經(jīng)建立信息安全管理體系，且通過了ISO 27001認(rèn)證或準(zhǔn)備同時(shí)申請(qǐng)ISO 27001認(rèn)證。

認(rèn)證范圍：
主要針對(duì)云服務(wù)提供商和云服務(wù)客戶，涵蓋云服務(wù)提供商的安全策略和控制、運(yùn)營(yíng)管理（包括供應(yīng)鏈安全、合同管理、服務(wù)備份和恢復(fù)等）以及客戶數(shù)據(jù)和應(yīng)用程序的安全性（包括隱私保護(hù)、網(wǎng)絡(luò)安全、身份驗(yàn)證和訪問控制等）。

資料清單：

1） 基本資料（營(yíng)業(yè)執(zhí)照、行政許可（如有）、臨時(shí)場(chǎng)所清單等）；

2） 有效的ISMS 認(rèn)證證書或ISMS 認(rèn)證申請(qǐng)；

3） 云服務(wù)信息安全管理體系方針和目標(biāo)；

4） 支持云服務(wù)信息安全管理體系的規(guī)程和控制措施；

5） 風(fēng)險(xiǎn)評(píng)估報(bào)告（含風(fēng)險(xiǎn)評(píng)估方法的描述）；

6） 殘余風(fēng)險(xiǎn)報(bào)告；

7） 風(fēng)險(xiǎn)處置計(jì)劃；

8） 適用性聲明；

9） 適用的法律法規(guī)的標(biāo)準(zhǔn)的清單；

10）《管理體系認(rèn)證申請(qǐng)書》中的保密和敏感信息聲明表；

11）《管理體系認(rèn)證申請(qǐng)書》中的信息安全管理體系/云服務(wù)信息安全管理體系/云服務(wù)信息安全管理體系/云服務(wù)信息安全管理體系/業(yè)務(wù)連續(xù)性管理體系認(rèn)證客戶基本信息。

證書樣本：


公有云中個(gè)人可識(shí)別信息保護(hù)管理體系（ISO 27018）

在信息網(wǎng)絡(luò)、大數(shù)據(jù)時(shí)代下，針對(duì)個(gè)人隱私的保護(hù)真的非常重要，對(duì)于云提供商來說，確保消費(fèi)者信息的安全性也成了發(fā)展第一要?jiǎng)?wù)。作為目前國(guó)際公認(rèn)的云個(gè)人信息保護(hù)的最佳實(shí)踐，ISO 27018已得到諸多跨國(guó)云服務(wù)提供商和使用者的認(rèn)可和采納。

ISO 27018標(biāo)準(zhǔn)是一個(gè)主要針對(duì)保護(hù)云計(jì)算中個(gè)人數(shù)據(jù)安全的國(guó)際標(biāo)準(zhǔn)，是基于ISO 27001信息安全管理體系擴(kuò)展的管理體系。

ISO 27018認(rèn)證的好處：
1）激發(fā)對(duì)組織的信任：為客戶和利益相關(guān)者提供更大的保證，即個(gè)人根據(jù)和信息受到保護(hù)。
2）競(jìng)爭(zhēng)優(yōu)勢(shì)：通過最大限度地保護(hù)個(gè)人可識(shí)別信息，在競(jìng)爭(zhēng)對(duì)手中脫穎而出。
3）品牌保護(hù)：減少由于數(shù)據(jù)泄露而引起的不利宜傳的風(fēng)險(xiǎn)。
4）降低風(fēng)險(xiǎn)：確保識(shí)別風(fēng)險(xiǎn)，并采取控制措施來管理或降低風(fēng)險(xiǎn)。
5）防止罰款：確保遵守當(dāng)?shù)胤ㄒ?guī)，減少數(shù)據(jù)泄露的罰款風(fēng)險(xiǎn)。
6）發(fā)展業(yè)務(wù)：提供不同國(guó)家/地區(qū)的通用準(zhǔn)則，使在全球開展業(yè)務(wù)變得更容易，并可以作為首選供應(yīng)商。

ISO 27018認(rèn)證適用于各個(gè)行業(yè)類別，只要從事信息領(lǐng)域服務(wù)的任何大型或小型組織都可以申請(qǐng)認(rèn)證。不一定非要從事互聯(lián)網(wǎng)，其他行業(yè)也可以適用。

ISO 27018管理體系認(rèn)證是目前國(guó)際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全體系認(rèn)證。

申請(qǐng)條件：
該管理體系是在ISO 27001信息安全管理體系的基礎(chǔ)上建立、實(shí)施和擴(kuò)展的，ISO 27001是申請(qǐng)認(rèn)證的基礎(chǔ)和前提條件。申請(qǐng)組織應(yīng)已經(jīng)建立信息安全管理體系，且通過了ISO 27001認(rèn)證或準(zhǔn)備同時(shí)申請(qǐng)ISO 27001認(rèn)證。

資料清單：
公司資質(zhì)；
體系文件（一級(jí)和二級(jí)文件，至少包含SOA文件和程序文件）；
包含CPIISMS特殊要求的信息安全風(fēng)險(xiǎn)評(píng)估資料（至少有風(fēng)險(xiǎn)評(píng)估計(jì)劃、風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)報(bào)告）；
適用CPIISMS要求的法律法規(guī)清單；
支持公有云中個(gè)人可識(shí)別信息保護(hù)管理體系的規(guī)程和控制措施；
隱私影響評(píng)估報(bào)告（含隱私影響評(píng)估方法的描述）；
隱私風(fēng)險(xiǎn)處理計(jì)劃；
風(fēng)險(xiǎn)評(píng)估報(bào)告（含風(fēng)險(xiǎn)評(píng)估方法的描述）；
殘余風(fēng)險(xiǎn)報(bào)告；
風(fēng)險(xiǎn)處置計(jì)劃。

證書樣本：

個(gè)人可識(shí)別信息保護(hù)管理體系（ISO/IEC 29151:2017）
ISO 29151是關(guān)于處理個(gè)人可識(shí)別信息（Personally IdentifiableInformation，PII）的控制措施和指南，以滿足與保護(hù)PII有關(guān)的風(fēng)險(xiǎn)評(píng)估和隱私影響評(píng)估所確定的要求。

ISO 29151基于ISO 27002《信息技術(shù)-安全技術(shù)-信息安全控制實(shí)踐規(guī)則》和ISO/IEC 29100：2011等相關(guān)安全標(biāo)準(zhǔn)提供一系列信息安全和PII保護(hù)控制的指南，并指導(dǎo)組織根據(jù)風(fēng)險(xiǎn)分析的結(jié)果來選擇與PII特定處理匹配的控制措施，以制定全面、一致的控制系統(tǒng)，減少隱私泄露風(fēng)險(xiǎn)并減少違規(guī)。

ISO 29151側(cè)重于隱私技術(shù)，涵蓋26個(gè)控制域，181條控制措施，規(guī)范了個(gè)人信息收集、存儲(chǔ)、處理、使用和披露等各個(gè)環(huán)節(jié)中數(shù)據(jù)操作的相關(guān)行為，為企業(yè)保障個(gè)人隱私安全、控制合規(guī)風(fēng)險(xiǎn)提供指導(dǎo)。它適用于任何對(duì)隱私保護(hù)有需求的組織，對(duì)開展個(gè)人身份信息保護(hù)提供了一個(gè)廣泛的指南。

ISO 29151標(biāo)準(zhǔn)幫助組織確保在處理個(gè)人信息時(shí)遵守適用的隱私法律和法規(guī)，并保護(hù)個(gè)人信息的安全和隱私。其適用于各種類型的組織，包括企業(yè)、政府機(jī)構(gòu)、非營(yíng)利組織等。無(wú)論其規(guī)模大小和所屬行業(yè)，都可以采用該標(biāo)準(zhǔn)來指導(dǎo)和保護(hù)個(gè)人信息的處理。

認(rèn)證好處：
企業(yè)有效的信息安全管控及個(gè)人可識(shí)別信息保護(hù)處理，是為客戶及用戶帶來信任和提升品牌價(jià)值的方法和策略。通過 ISO/IEC 29151認(rèn)證，意味著企業(yè)已經(jīng)具備適當(dāng)?shù)男畔踩刂颇芰Γ邩?biāo)準(zhǔn)的隱私保護(hù)控制。好處包括但不限于以下方面：
1、獲取客戶關(guān)于組織對(duì)個(gè)人可識(shí)別信息保護(hù)管理方面的信任，以獲得潛在業(yè)務(wù)；
2、證實(shí)組織對(duì)其產(chǎn)品和服務(wù)目標(biāo)市場(chǎng)所在地隱私法規(guī)的遵從，獲得所在地的市場(chǎng)準(zhǔn)入；
3、組織自身為證實(shí)其在個(gè)人可識(shí)別信息保護(hù)管理方面的能力和符合性；
4、向相關(guān)方證實(shí)其在個(gè)人可識(shí)別信息保護(hù)管理方面的能力和符合性。

資料清單：
需提供以下必要的申請(qǐng)信息：
(1)申請(qǐng)認(rèn)證的組織名稱；
(2)認(rèn)證類型；
(3)認(rèn)證依據(jù)；
(4)體系覆蓋的人數(shù)；
(5)根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性所確定的PIIPMS的范圍和邊界，包括對(duì)任何范圍、刪減的詳細(xì)說明和正當(dāng)性理由；
(6)經(jīng)營(yíng)場(chǎng)所、分場(chǎng)所、臨時(shí)場(chǎng)所以及各場(chǎng)所從事的活動(dòng)等；
(7)服務(wù)器數(shù)量、終端數(shù)量、用戶的數(shù)量；
(8)適用性聲明、資產(chǎn)列表；
(9)保密協(xié)議、信息安全敏感區(qū)域的聲明；

申請(qǐng)組織還提供以下資料：
(1)法人資格證明
(2)取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時(shí))；
(3)滿足工信部聯(lián)（2010）394號(hào)文《關(guān)于加強(qiáng)信息安全管理體系安全管理的通知》以及有關(guān)主管部門/監(jiān)管部門對(duì)信息安全管理體系認(rèn)證的管理要求的證據(jù)；
(4)手冊(cè)及相關(guān)體系文件；
(5)支持PIIPMS的規(guī)程和控制措施、風(fēng)險(xiǎn)評(píng)估方法的描述、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃、組織為確保其信息安全過程的有效規(guī)范/運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性的文件。

證書樣本：

在http://bcc.com.cn/index/list?catid=16&aid=980   可以查看具體內(nèi)容。