湖北信息技术服务质量管理体系要多久

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在大程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。

任何一个ISMS体系的建立和开发都应当满足组织特的需求。每个组织不仅都有自己特的业务模式、运营目标、形象特点和内部文化，他们对待风险的态度倾向也大相径庭。换句话说，同一个东西，一个机构组织认为是提防的威胁，在另一个组织看来可能是一个抓住的机遇。同样地，各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因，每个运行ISMS的组织，其内部成员对风险评估有一个共识，这个风险评估的方法论、结果发现和推荐解决方式都得到董事会的。

ISO27001认证审核费用及周期
除了组织自身投入之外，ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后，认证机构会初步了解组织现状，确定审核范围，提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的，决定因素包括：
1、受审核组织的员工数量；
2、纳入审核范围的信息量；
3、场所数量；
4、组织与外界的关联；
5、组织 IT 的复杂性；
6、组织类型和业务性质等。

现版的信息安全管理系统ISO 27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业迟需要在2015年10月19日前转换到新版标准。

新要求：ISO 27001:2005原本有11个领域（domain）、133项控制措施，新版DIS目前调整为14个领域（A.5-A.18）、113个控制措施（未来仍可能有改动）。新增的领域是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个立的领域，以反映目前信息安全的发展趋势。而控制措施的减少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。

更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO 27001验证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理（4本）、软件开发测试等，主管机关可参考这些指引做升级的要求。

然而过去的几年中，IT领域和通信行业发生了非常大的变革，出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌，带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势，使得信息安全管理体系标准的更新也变得日益重要。
ISO对标准的更新，一般是以三年为一个周期,但因为ISO27001：:2005标准发布后的成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，至今已有7年。从ISO组织发布的新信息可以看到，ISO27001标准的更新筹备实际上已经在2008年开始，任命了工作组（JTC1/SC27WG1）；2009年正式启动更新。目前，处于该标准草案（CommitteeDraft）正在编写讨论层面（30.20：2012-06-20），预计新版发布时间会在2013-10-19，那时我们就可以一睹它的全新面貌了。
颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督（认监委）授权的认证机构方可在国内进行审核发证，所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案，即使认证机构得到了认可单位是UKAS或者ANAB等等的认可，也是不符合中国的法律法规的，视为违规操作，被发现将会被CNCA处罚并公示证书在国内无效。经CNCA授权的认证机构可以在CNCA网站上查询。