隨著以計算機和網(wang)絡通信(xin)為(wei)代表(biao)的信(xin)息技(ji)術(shu)（IT）的迅猛(meng)發(fa)展，政府部門、金(jin)融機構、企事業單位和商業組(zu)織對IT 系統的依(yi)賴也日(ri)益(yi)加重，信(xin)息技(ji)術(shu)幾(ji)乎滲透到了世界(jie)各地和社會生(sheng)活的方方面面。

所以，對信息(xi)加以保(bao)護，防(fang)(fang)范信息(xi)的(de)(de)損壞和泄露(lu)，已(yi)成為當前(qian)組織迫切(qie)需要解決的(de)(de)問題。組織需要一個系(xi)統的(de)(de)、整體規劃的(de)(de)信息(xi)安(an)全管理(li)體系(xi)，從預防(fang)(fang)控制(zhi)的(de)(de)角度出發，保(bao)障組織的(de)(de)信息(xi)系(xi)統與(yu)業務之安(an)全與(yu)正常運作。

《信(xin)息技(ji)術 安(an)(an)全(quan)(quan)技(ji)術 信(xin)息安(an)(an)全(quan)(quan)管理(li)體系(xi)要求》（ISO/IEC 27001）是目前世界上應用最廣泛與典型的信(xin)息安(an)(an)全(quan)(quan)管理(li)標準(zhun)。ISO/IEC 27001的目的是有效保護(hu)(hu)信(xin)息資源,保護(hu)(hu)信(xin)息化進程健康、有序、可持續發(fa)展。

建立信息安全管(guan)理體系(xi)可以給企業帶來如下收益：   

• 提升主動防范(fan)信息技術相關安全(quan)風(feng)險的能力，保障組織運(yun)營(ying)的安全(quan)；

• 形成(cheng)體系(xi)(xi)的監督(du)、檢查機制，建立可自我改(gai)進和完(wan)善(shan)的管理體系(xi)(xi)；

• 提升組織內(nei)部全員(yuan)的安(an)全意識，在(zai)組織內(nei)部形成信息(xi)(xi)安(an)全文化氛圍，以(yi)更有效地推動信息(xi)(xi)安(an)全管理工作的持續改進。

信息安全管理體系認證業務范圍

認證用標準：GB/T 22080

注：分(fen)類依據(ju)《CNAS-SC170》

詳細內容請下載文件：

S-GK-004管理體系認證證書和認證標志、認可標識使用規則.docx

1. 目的與使用范圍

為(wei)加(jia)強對認(ren)證(zheng)組織認(ren)證(zheng)收費的(de)管理，規范認(ren)證(zheng)收費行(xing)為(wei)，保護認(ren)證(zheng)雙方(fang)的(de)利益，促(cu)進認(ren)證(zheng)工作的(de)發展(zhan)，特(te)制訂本規則。

本規則適用于方圓標志認證集團(tuan)所開(kai)展的信息技術服務管理體(ti)系認證服務收費。

2. 基本原則

收費(fei)項目和(he)標準(zhun)按照(zhao)國家有(you)關主(zhu)管部門的規定(ding)制(zhi)訂。

認證(zheng)審核的工作量（人日數）根(gen)據申(shen)請認證(zheng)組織(zhi)的規(gui)模、認證(zheng)領域數量和專業特性等按國際準則(ze)及國家主(zhu)管部門(men)有關要求確定。

3.  收費項目與標準

3.1  認證收費項目

a) 申(shen)請(qing)(qing)費：初次認(ren)證(zheng)(zheng)、再認(ren)證(zheng)(zheng)、增加認(ren)證(zheng)(zheng)領(ling)域、變更認(ren)證(zheng)(zheng)范圍等的申(shen)請(qing)(qing)費用；

b) 審(shen)(shen)核費：初審(shen)(shen)、監督、再認(ren)證、特(te)殊審(shen)(shen)核等審(shen)(shen)核活動所發生的費用；

c) 批準(zhun)與注(zhu)(zhu)冊費(fei)（含證(zheng)書(shu)費(fei)）：初次(ci)認(ren)證(zheng)、再認(ren)證(zheng)、認(ren)證(zheng)變更等的批準(zhun)與注(zhu)(zhu)冊費(fei)用，按不(bu)同認(ren)證(zheng)領(ling)域分別收取；

d) 年金（含標志使用(yong)費(fei)）、更換(huan)證書費(fei)。

3.2 收費標準

注：人(ren)(ren)日數(shu)是指認證審核所(suo)需的(de)工(gong)作人(ren)(ren)天數(shu)（即審核員(yuan)人(ren)(ren)數(shu)×工(gong)作天數(shu)）

4.  收費方法

a) 申(shen)(shen)請(qing)人(ren)向CQM提出(chu)認證申(shen)(shen)請(qing)時支付申(shen)(shen)請(qing)費(fei)。審(shen)核前支付審(shen)核費(fei)。頒發(fa)認證證書前支付批準注冊費(fei)。

b) 獲證組織在交(jiao)付監督審核(he)費(fei)的同時支付年金(jin)。

c) 更(geng)換證(zheng)書費在領取新證(zheng)書前支(zhi)付。

5.  審核人日數核算方法

5.1 單一領域管理體系認證

信息技術服(fu)務(wu)管理體(ti)系審核人(ren)日數根據組(zu)織的審核類型（初(chu)審、監(jian)督、再(zai)認證(zheng)(zheng)、特(te)殊(shu)審核等）、組(zu)織ITSMS范圍所(suo)涉及(ji)的服(fu)務(wu)活動種類、業(ye)務(wu)的復雜程(cheng)度（包括SLA數量、供應商(shang)數量、及(ji)認證(zheng)(zheng)范圍內所(suo)提供服(fu)務(wu)的行(xing)業(ye)的認可風(feng)險(xian)等）、組(zu)織的規模以及(ji)場所(suo)數量與類型等因素相(xiang)關。

人日數(shu)包括文(wen)件評審(shen)、審(shen)核(he)準備、現(xian)場審(shen)核(he)和最終報(bao)告等時間；不包括路(lu)途(tu)時間。

5.2 多領域管理體系結合認證

對于多領域管(guan)理(li)體(ti)系結(jie)合認證，審核(he)人日數可在(zai)單一領域管(guan)理(li)體(ti)系審核(he)人日數之(zhi)和的(de)基礎上(shang)適當減(jian)少，通常(chang)考慮(lv)管(guan)理(li)體(ti)系領域數量并按實際(ji)發生的(de)審核(he)人日數計(ji)算。

5.3 增加認證領域審核

獲證組織已經獲得CQM某領(ling)域認(ren)證以(yi)后(hou)提出其它認(ren)證領(ling)域的申請，應按(an)該領(ling)域的審核人(ren)日(ri)數計算(suan)費用(yong)。

5.4 擴大認證業務范圍審核

獲證組織在(zai)已取得的(de)管理體系認證的(de)領域(yu)擴大范圍，根據實際(ji)發生的(de)審核工作量計(ji)算(suan)。

詳細(xi)內(nei)容請下載文(wen)件(jian)：

S-FN-06-004信息技術服務管理體系和信息安全管理體系認證實施方案.doc