双信息认证最全知识点讲解 | 最新政策、条件好处、流程、费用周期、差异等介绍

据统计，世界上每分钟就有2个企业因为信息安全问题倒闭，而在所有的信息安全事故中，只有20%-30%是因为黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

因此企业信息安全建设需要内外兼修，构建企业信息安全整体解决方案。

什么是双信息认证?

双信息认证，是ISO27001信息安全管理体系认证和ISO20000信息技术服务管理体系认证的常见合称。

ISO27001信息安全管理体系认证样本

ISO20000信息技术服务管理体系认证样本

信息安全管理体系认证：ISO27001，是国际标准化组织制定的一项针对企业信息安全管理能力进行判断与提升的标准，是具有参考与实用价值的国际标准之一。

信息技术服务管理体系认证：ISO20000，是国际标准化组织制定的第一部针对信息技术服务领域的广泛通用标准。帮助企业显著提升运维水平，优化服务流程。

ISO27001信息安全管理体系

01认证好处

1.预防信息安全事故：预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护。

2.降低风险、增强信任：降低法律风险，建立客户、合作伙伴间的信任桥梁和纽带，提高公众形象和声誉。

3.增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为。

02认证条件

申请ISO27001认证的基本条件：

1) 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

2) 申请方的信息安全管理体系已按ISO/IEC 27001:2013标准的要求建立，并实施运行3个月以上。

3) 至少完成一次信息安全风险评估、内部审核，并进行了管理评审。

4) 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

5)申请企业没有严重失信的情况

申请ISO27001认证应提交的文件及材料：

1) 组织法律证明文件，如营业执照及年检证明复印件(盖公章);

2) 组织机构代码证书复印件、税务登记证复印件(盖公章);

3) 申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印件);

4) 申请组织的简介：

组织简介;

申请组织的主要业务流程;

组织机构图或职能表述文件;

5) 申请组织的体系文件，需包含但不仅限于(可以合并)：

信息安全管理体系ISMS方针文件;

风险评估程序;

适用性声明;

风险处理程序;

文件控制程序;

记录控制程序;

内部审核程序;

管理评审程序;

纠正措施与预防措施程序;

控制措施有效性的测量程序;

职能角色分配表;

整个体系文件结构与清单。

申请ISO27001认证应提交的文件及材料：

6) 申请组织体系文件与GB/T22080-2016/ISO/IEC 27001:2013要求的文件对照说明;

7) 申请组织信息安全风险评估证明资料、内部审核和管理评审的证明资料;

8) 申请组织记录保密性或敏感性声明;

9) 认证机构要求申请组织提交的其他补充资料(信息安全风险清单)

03认证流程

1、按照ISO27001标准要求建立体系框架(手册、程序、作业指导书、表格);

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录;

3、向认证机构递交审核申请;

4、认证机构评估费用和正式审核时间;

5、认证机构将进行一阶段审核，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方 法危险评估，审核方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议;

7、如果能顺利完成审核，在确定清楚认证范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。

04认证周期

ISO体系认证的周期因认证机构、企业规模和准备程度等因素而异。一般来说，从提交申请到获得认证，ISO27001认证大约需要3-6个月。其中，认证前的审核准备可能耗时2-3个月，现场审核通常需要1-2天，最终认证结果确认和证书发放则可能需要1-2周。具体时间还需根据实际情况调整。

05认证费用

ISO体系认证的价格因地区、认证机构、企业规模和认证范围等因素而异。

一般来说，ISO27001认证价格通常在万元左右。对于中小企业来说，ISO27001认证费用可能在1-3万元之间，而大型企业可能需要支付更多些。此外，还需考虑后续的监督审核费用，一般每年几千元至几万元不等。

06认证审核时间

第一阶段 一般两人/日;

第二阶段 和企业的人数有关，25人以下一般4人/日，人数增加，对应增加审核人天。

07适用行业

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是：

以信息为生命线的行业：

1、金融行业：银行、保险、证券、基金、期货等

2、通信行业：电信、网通、移动、联通等

3、皮包公司：外贸、进出口、HR、猎头、会计师事务所等

对信息技术依赖度高的行业：

1、钢铁、半导体、物流

2、电力、能源

3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

工艺技术要求高、竞争对手渴望得到的：

1、医药、精细化工

2、研究机构

ISO20000信息技术服务管理体系

01认证好处

一旦拥有了ISO20000认证，就象征着企业具有最可靠的IT服务后盾。那么当一个企业通过了ISO20000的认证，坚持实施最佳实践后，高效的lT服务管理究竟可以给企业带来哪些好处呢?

1、建立紧密的跨部门协作关系和完善的员工考核制度;

2、遵循PDCA(计划——执行——检查——改进)的方法论，持续改进IT服务管理体系;

3、提高市场竞争力。

02认证条件

申请ISO20000认证的基本条件：

1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

2. 申请方的信息技术安全管理体系已按ISO/IEC 20000标准的要求建立，并实施运行3个月以上。

3. 至少完成一次信息技术安全风险评估、内部审核，并进行了管理评审。

4. 信息技术安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

5. 企业受到行政处罚，已经处理掉了，没有暂停营业

6. 申请范围不超出资质许可范围、不超出认证机构的业务范围;

7. 无违规转机构、无违法、无失信;

8. 申报人数与实际人数相差不超出20%;

9.提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等)

组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证

复印件加盖公章;

临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管

理体系的临时服务点);

至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，

必须提供：组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工

艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件，如：风险

控制情况、对IT的应用等;

关于认证活动的限制条件(如出于安全和/或保密等原因，存在时);

SLA目录;

服务管理目标和计划;

适用的法律法规的标准的清单;

03认证流程

申请ISO20000认证，一般需要经过以下几个步骤：

建立管理体系：根据ISO20000的标准要求，建立一套适合自己的IT服务管理体系。

内部审核：定期对管理体系进行内部审核，发现并改进存在的问题。

第三方认证机构审核：向第三方认证机构提交申请，由他们派专家进行现场审核。

获得认证证书：审核通过后，企业将获得ISO20000认证证书。

04认证周期

企业需要配合一位懂信息安全人员对接

1.能够及时提供项目认证符合性的资质证明，

2.协助完成各种记录数据的填写，

3.配合认证公司审核时间、协助陪同审核过程及时整改不合格项，在企业配合的情况下，一般30天可以完成从“认证申请——现场审核——出证”的流程。

05认证费用

ISO20000认证的费用因企业规模、行业、地区等因素而异。一般来说，小型企业的认证费用相对较低，可能在几千元到一万元之间;而大型企业或者知名企业，由于需要投入更多的人力和物力，认证费用可能会高达数万元甚至更高。

不过啊，话又说回来，投资在IT服务管理上，长远来看是值得的。一旦企业建立起一套完善的管理体系，不仅能够提高工作效率和服务质量，还能降低潜在的风险和损失。这就像买了一辆安全性能更高的汽车，虽然价格高一些，但长期来看能带来更多的保障。

06适用行业

ISO 20000的认证适合IT服务的提供者，可以是内部的IT部门，也可以是外部的服务提供商，包括(但不限于)以下类别：

1. IT服务外包提供商

2. IT系统集成商和软件开发商

3. 企业内部IT服务提供商或IT运营支持部门与

如——以信息为生命线的行业：

1、金融行业：银行、保险、证券、基金、期货等

2、通信行业：电信、网通、移动、联通等

3、皮包公司：外贸、进出口、HR、猎头、会计师事务所等

如——对信息技术依赖度高的行业：

1、钢铁、半导体、物流

2、电力、能源

3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

ISO 27001和ISO 20000有什么不同

ISO/IEC27001是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。

ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。

目前，有不少企业在通过ISO 27001认证后，也会另外取得ISO 20000以提升整体IT服务质量，但ISO 20000信息技术服务管理标准与ISO 27001信息安全管理标准中的联系在哪里，很多公司搞不清楚。

众所周知，新版ISO27001于2019年10月19日正式发布，对于ISO27001与ISO20000之间的联系，下面由山西领拓认证为大家详细说一下：

01主体的侧重点不同

ISO20000 以流程为核心，定义了一系列比较抽象的流程目标，而ISO27001 以控制点/控制措施为主，比较具体。

02体系规范的侧重点有所不同

ISO20000 是面向IT 服务管理的质量体系标准，而ISO27001 是面向信息安全的质量标准规范，ISO20000 强调以流程的方式达到质量管理标准，ISO27001 强调以风险控制点的方式来达到信息安全管理的目的。

03体系规范存在的共性特征

如：事件管理、业务连续性管理、信息资产管理等方面，大多数的企业都会选择将ISO20000 与ISO27001 认证项目一同实施，使两套体系间的互补特性得到充分发挥，更全面更规范的控制公司的服务运维体系与安全管理。

04范围不一样

ISO20000 适用于企业的IT 服务部门，通常是IT 部门;

ISO27001 适用于整个企业，不仅是IT 部门，还包括业务部门、财务、人事等部门。

ISO认证办理咨询山西领拓认证：15034409001