山西ISO20000认证咨询如何实施

ISMS项目很复杂，可能持续若干个月甚至若干年，涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短，成功的案例比较少。从务实的角度考虑，这表明在项目计划过程中，尽早对这些仅有的指导性的书籍和案例进行分析和研究。

更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO 27001验证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理（4本）、软件开发测试等，主管机关可参考这些指引做升级的要求。

自2005年国际标准化组织(简称:ISO)将BS7799转化为ISO27001：2005发布以来，此标准在国际上获得了的认可，相当数量的组织采纳并进行了信息安全管理体系的认证,至2011年底，国际上颁发的ISO27001认证证书总数约为15625张（其中，BSI的市场占有率达约为45.65%）。在我国，自从2008年将ISO27001:2005转化为国家标准GB/T22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广，至2011年底，国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。

ISO对标准的更新，一般是以三年为一个周期,但因为ISO27001：:2005标准发布后的成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，至今已有7年。从ISO组织发布的新信息可以看到，ISO27001标准的更新筹备实际上已经在2008年开始，任命了工作组（JTC1/SC27WG1）；2009年正式启动更新。目前，处于该标准草案（CommitteeDraft）正在编写讨论层面（30.20：2012-06-20），预计新版发布时间会在2013-10-19，那时我们就可以一睹它的全新面貌了。

颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督（认监委）授权的认证机构方可在国内进行审核发证，所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案，即使认证机构得到了认可单位是UKAS或者ANAB等等的认可，也是不符合中国的法律法规的，视为违规操作，被发现将会被CNCA处罚并公示证书在国内无效。经CNCA授权的认证机构可以在CNCA网站上查询。

认可，是正式表明合格评定机构具备实施特定合格评定工作能力的第三方证明。通俗地讲，认可是指认可机构按照相关国际标准或国家标准，对从事认证、检测和检查等活动的合格评定机构实施评审，证实其满足相关标准要求，进一步证明其具有从事认证、检测和检查等活动的技术能力和管理能力，并颁发认可证书。中国的认可机构是CNAS，英国的认可机构是UKAS，美国的认可机构是ANAB。