隨著以計(ji)算機(ji)和(he)網絡通信為代(dai)表的(de)(de)信息技術（IT）的(de)(de)迅猛發展，政府部門、金融機(ji)構、企事(shi)業單位和(he)商(shang)業組(zu)織對IT 系統的(de)(de)依賴也日益加重，信息技術幾乎滲透到(dao)了世(shi)界各地和(he)社會生(sheng)活的(de)(de)方(fang)(fang)方(fang)(fang)面面。

所以，對信(xin)息加以保護，防范信(xin)息的損壞和泄(xie)露，已成(cheng)為當前組織(zhi)迫切需要(yao)解決(jue)的問題。組織(zhi)需要(yao)一個系(xi)(xi)統的、整(zheng)體規劃的信(xin)息安(an)全(quan)(quan)管(guan)理體系(xi)(xi)，從預防控制(zhi)的角度出發，保障(zhang)組織(zhi)的信(xin)息系(xi)(xi)統與業(ye)務之安(an)全(quan)(quan)與正常運作(zuo)。

《信(xin)息(xi)技術 安(an)(an)全(quan)(quan)技術 信(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)體系要求》（ISO/IEC 27001）是目前(qian)世界上應用(yong)最廣泛與典型的(de)信(xin)息(xi)安(an)(an)全(quan)(quan)管(guan)理(li)標準。ISO/IEC 27001的(de)目的(de)是有(you)效保(bao)護信(xin)息(xi)資源,保(bao)護信(xin)息(xi)化進程(cheng)健康、有(you)序、可持續發展。

建立信息安全(quan)管理體(ti)系可(ke)以給企業帶來如下收益：   

• 提升(sheng)主動防范信息技術相關安全風險的能力，保(bao)障(zhang)組織運營的安全；

• 形成體(ti)系的監督、檢查機制(zhi)，建立可自(zi)我(wo)改進和完善的管理體(ti)系；

• 提升組織內(nei)部全員的安(an)全意識(shi)，在組織內(nei)部形成信息安(an)全文化氛圍，以更有效地推動信息安(an)全管理(li)工作(zuo)的持續改進。

信息安全管理體系認證業務范圍

認證用標準：GB/T 22080

注：分類依據《CNAS-SC170》

詳細內容請下載文件：

S-GK-004管理體系認證證書和認證標志、認可標識使用規則.docx

1. 目的與使用范圍

為加(jia)強對認證組織(zhi)認證收(shou)費的(de)(de)管理，規(gui)范(fan)認證收(shou)費行為，保護認證雙方的(de)(de)利益，促進(jin)認證工作的(de)(de)發(fa)展，特制(zhi)訂本(ben)規(gui)則。

本規則適用于方圓標志認證(zheng)集(ji)團所開展的信息技(ji)術服(fu)務管(guan)理體系認證(zheng)服(fu)務收費。

2. 基本原則

收(shou)費項(xiang)目和(he)標準按照(zhao)國家(jia)有關主管部門的規定(ding)制訂(ding)。

認(ren)證(zheng)審(shen)核(he)的工作量（人日(ri)數）根據申請認(ren)證(zheng)組織(zhi)的規模、認(ren)證(zheng)領(ling)域(yu)數量和專(zhuan)業(ye)特性等按國(guo)際準則及國(guo)家主(zhu)管部門有關要求(qiu)確(que)定。

3.  收費項目與標準

3.1  認證收費項目

a) 申(shen)(shen)請(qing)費：初(chu)次認(ren)證(zheng)、再認(ren)證(zheng)、增加認(ren)證(zheng)領域、變更認(ren)證(zheng)范圍等的(de)申(shen)(shen)請(qing)費用；

b) 審核(he)費(fei)：初審、監(jian)督、再認證、特殊審核(he)等審核(he)活動所發生的費(fei)用；

c) 批準(zhun)與(yu)注冊(ce)費(fei)（含證書費(fei)）：初次認(ren)證、再(zai)認(ren)證、認(ren)證變更等的批準(zhun)與(yu)注冊(ce)費(fei)用，按不同(tong)認(ren)證領域分別收取；

d) 年金（含標志使用費(fei)）、更(geng)換證書費(fei)。

3.2 收費標準

注：人(ren)日數(shu)是指認證審核所需(xu)的工(gong)作人(ren)天(tian)數(shu)（即審核員人(ren)數(shu)×工(gong)作天(tian)數(shu)）

4.  收費方法

a) 申請(qing)人向(xiang)CQM提出認(ren)證申請(qing)時(shi)支(zhi)付申請(qing)費。審(shen)核前支(zhi)付審(shen)核費。頒(ban)發(fa)認(ren)證證書前支(zhi)付批準(zhun)注冊(ce)費。

b) 獲證組織在交付監督審核費(fei)的(de)同(tong)時支付年金。

c) 更換(huan)證(zheng)書費在領取新(xin)證(zheng)書前支(zhi)付。

5.  審核人日數核算方法

5.1 單一領域管理體系認證

信息技術(shu)服(fu)務(wu)管理體(ti)系(xi)審(shen)核人日數(shu)根據組(zu)(zu)織的(de)(de)(de)(de)(de)審(shen)核類型(xing)（初審(shen)、監督、再認證(zheng)、特殊審(shen)核等）、組(zu)(zu)織ITSMS范圍所涉及(ji)(ji)的(de)(de)(de)(de)(de)服(fu)務(wu)活(huo)動種(zhong)類、業務(wu)的(de)(de)(de)(de)(de)復(fu)雜程度（包括(kuo)SLA數(shu)量、供(gong)應商數(shu)量、及(ji)(ji)認證(zheng)范圍內所提供(gong)服(fu)務(wu)的(de)(de)(de)(de)(de)行業的(de)(de)(de)(de)(de)認可(ke)風險等）、組(zu)(zu)織的(de)(de)(de)(de)(de)規模以及(ji)(ji)場所數(shu)量與類型(xing)等因素相關。

人日數包(bao)括文件評審(shen)、審(shen)核(he)準備、現場審(shen)核(he)和最終報(bao)告等(deng)時間；不包(bao)括路(lu)途(tu)時間。

5.2 多領域管理體系結合認證

對于(yu)多領域管理(li)體系結合(he)認(ren)證，審核(he)(he)人(ren)日(ri)(ri)數(shu)可(ke)在單一領域管理(li)體系審核(he)(he)人(ren)日(ri)(ri)數(shu)之和的基礎上適當(dang)減少，通(tong)常考(kao)慮(lv)管理(li)體系領域數(shu)量并按實際(ji)發(fa)生的審核(he)(he)人(ren)日(ri)(ri)數(shu)計算。

5.3 增加認證領域審核

獲證(zheng)組織已經獲得(de)CQM某領(ling)(ling)域(yu)認證(zheng)以后提(ti)出其(qi)它認證(zheng)領(ling)(ling)域(yu)的(de)申請，應(ying)按該領(ling)(ling)域(yu)的(de)審核(he)人日數計算(suan)費用。

5.4 擴大認證業務范圍審核

獲證(zheng)組織在已取得的(de)管理體系認證(zheng)的(de)領域擴大范圍，根據(ju)實際發生的(de)審核工(gong)作量計算。

詳細(xi)內容請下載文件：

S-FN-06-004信息技術服務管理體系和信息安全管理體系認證實施方案.doc