隨著以計算機(ji)和(he)網絡(luo)通信(xin)為代表的(de)(de)信(xin)息(xi)技術（IT）的(de)(de)迅猛發(fa)展(zhan)，政府(fu)部門、金(jin)融機(ji)構、企事業單位和(he)商業組織對(dui)IT 系統(tong)的(de)(de)依賴也(ye)日益加重，信(xin)息(xi)技術幾乎滲透到了世界各地(di)和(he)社(she)會生活的(de)(de)方方面面。

所以(yi)，對信(xin)息(xi)加以(yi)保護(hu)，防范(fan)信(xin)息(xi)的(de)損壞和泄露(lu)，已成為當(dang)前組(zu)(zu)織迫切需要(yao)解決的(de)問題。組(zu)(zu)織需要(yao)一個系(xi)統的(de)、整體規劃的(de)信(xin)息(xi)安全(quan)管理體系(xi)，從預防控制(zhi)的(de)角度(du)出發，保障組(zu)(zu)織的(de)信(xin)息(xi)系(xi)統與業務之安全(quan)與正常運作。

《信(xin)息(xi)技術 安全技術 信(xin)息(xi)安全管理(li)(li)體系要求》（ISO/IEC 27001）是目(mu)前世界上應用最廣泛與典(dian)型的(de)信(xin)息(xi)安全管理(li)(li)標準(zhun)。ISO/IEC 27001的(de)目(mu)的(de)是有(you)效保護信(xin)息(xi)資源,保護信(xin)息(xi)化(hua)進(jin)程(cheng)健康、有(you)序、可持(chi)續發展。

建立信(xin)息安(an)全管理體系可以給企業帶來如下(xia)收(shou)益：   

• 提升(sheng)主動(dong)防范信息技術相關安(an)全風(feng)險的(de)能力，保障組織運營的(de)安(an)全；

• 形成體系(xi)的監督(du)、檢查機制，建(jian)立(li)可自我改進和完善的管(guan)理(li)體系(xi)；

• 提升(sheng)組織內部全員的(de)安(an)全意(yi)識(shi)，在組織內部形成信息(xi)安(an)全文化(hua)氛圍，以更(geng)有效地推動信息(xi)安(an)全管理工作的(de)持續改進。

信息安全管理體系認證業務范圍

認證用標準：GB/T 22080

注：分類依據(ju)《CNAS-SC170》

詳細內容請下載文件：

S-GK-004管理體系認證證書和認證標志、認可標識使用規則.docx

1. 目的與使用范圍

為加(jia)強對認證(zheng)組織認證(zheng)收(shou)(shou)費的管理，規(gui)范(fan)認證(zheng)收(shou)(shou)費行為，保護認證(zheng)雙(shuang)方(fang)的利益，促進認證(zheng)工(gong)作(zuo)的發展(zhan)，特(te)制(zhi)訂本規(gui)則(ze)。

本規則適用(yong)于方圓標志認證(zheng)集團所開展的信息技術服務管理體(ti)系認證(zheng)服務收費。

2. 基本原則

收費項目和標準按照國家有(you)關主(zhu)管部門的規定制(zhi)訂。

認(ren)證(zheng)審核(he)的工作量(liang)(liang)（人日數）根據申(shen)請認(ren)證(zheng)組織的規(gui)模、認(ren)證(zheng)領域數量(liang)(liang)和專業特性等按國際準則及國家主管(guan)部門有關要求確定。

3.  收費項目與標準

3.1  認證收費項目

a) 申(shen)請費(fei)(fei)：初次認(ren)證、再認(ren)證、增加認(ren)證領域、變更認(ren)證范圍等的申(shen)請費(fei)(fei)用；

b) 審(shen)(shen)(shen)核費：初審(shen)(shen)(shen)、監督(du)、再認證、特殊審(shen)(shen)(shen)核等(deng)審(shen)(shen)(shen)核活動所(suo)發生的費用；

c) 批準(zhun)與(yu)注冊(ce)費(fei)（含證書費(fei)）：初次認(ren)證、再認(ren)證、認(ren)證變(bian)更等(deng)的批準(zhun)與(yu)注冊(ce)費(fei)用，按不(bu)同(tong)認(ren)證領域分(fen)別(bie)收取；

d) 年金（含(han)標志(zhi)使用費）、更換(huan)證書費。

3.2 收費標準

注：人日數(shu)(shu)(shu)是指認(ren)證審核所需的(de)工(gong)作人天(tian)數(shu)(shu)(shu)（即審核員(yuan)人數(shu)(shu)(shu)×工(gong)作天(tian)數(shu)(shu)(shu)）

4.  收費方法

a) 申(shen)請人向(xiang)CQM提出認(ren)證(zheng)申(shen)請時(shi)支付申(shen)請費(fei)。審核前支付審核費(fei)。頒發認(ren)證(zheng)證(zheng)書前支付批準(zhun)注冊費(fei)。

b) 獲證組(zu)織在(zai)交(jiao)付監督審核費的同時支付年金(jin)。

c) 更換證(zheng)書費在領取新證(zheng)書前支付。

5.  審核人日數核算方法

5.1 單一領域管理體系認證

信息技術服(fu)務(wu)管理體系審(shen)核人日數(shu)根據組(zu)織的(de)審(shen)核類型（初審(shen)、監(jian)督(du)、再認(ren)證、特殊(shu)審(shen)核等）、組(zu)織ITSMS范(fan)圍(wei)所(suo)涉及的(de)服(fu)務(wu)活(huo)動種類、業(ye)務(wu)的(de)復(fu)雜(za)程度（包括SLA數(shu)量、供應(ying)商數(shu)量、及認(ren)證范(fan)圍(wei)內所(suo)提供服(fu)務(wu)的(de)行業(ye)的(de)認(ren)可風險等）、組(zu)織的(de)規模(mo)以及場(chang)所(suo)數(shu)量與類型等因素相關。

人日(ri)數(shu)包括文(wen)件評審(shen)、審(shen)核準備、現(xian)場審(shen)核和(he)最終報告等時間；不(bu)包括路途時間。

5.2 多領域管理體系結合認證

對于多領域(yu)管理體(ti)系結合認證，審核(he)(he)人日(ri)數(shu)可在單一領域(yu)管理體(ti)系審核(he)(he)人日(ri)數(shu)之和(he)的基礎上適當減少，通(tong)常(chang)考慮管理體(ti)系領域(yu)數(shu)量(liang)并按實際發生的審核(he)(he)人日(ri)數(shu)計算。

5.3 增加認證領域審核

獲(huo)證(zheng)組織(zhi)已經獲(huo)得(de)CQM某(mou)領(ling)(ling)域認證(zheng)以后(hou)提出其它(ta)認證(zheng)領(ling)(ling)域的申請，應按(an)該領(ling)(ling)域的審核(he)人日(ri)數計算費用。

5.4 擴大認證業務范圍審核

獲證組織在已取得的(de)管(guan)理體系認證的(de)領域擴大(da)范圍，根(gen)據實際發生的(de)審核(he)工作量(liang)計算。

詳細內(nei)容請下載文件：

S-FN-06-004信息技術服務管理體系和信息安全管理體系認證實施方案.doc