ISO27001信息安全管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检),三年证书到期后,要接受认证机构的再认证(也称为复评)。只要按期接受认证机构的监督审核、再认证并通过,即刻维持ISO27001证书的有效性。
申请ISO27001认证的基本条件:企业法人营业执照、生产许可证;申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行3个月以上。申请ISO27001认证应提交的文件及材料:申请组织的体系文件,申请组织简介,申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明。
影响ISO27001认证咨询收费的因素有:组织的业务范围(信息安全管理体系覆盖范围、ISO27001认证范围);组织人员数、规模、业务活动及信息系统的复杂度;组织的经营场所、生产场所(是否多场所经营);咨询工作量;审核人日。
对于任何一个组织来说,想获得百分之百的信息安全是不现实的、也是不可行的;建立信息安全管理体系(ISMS),符合ISO27001标准并且获得ISO27001证书,可以说明组织具备了保护信息安全的能力,但并不能证明组织达到了百分之百的安全,除非停止所有的组织活动。
所谓ISO27001认证,即由具备资质的认证机构依据ISO27001审核准则,按照规定的程序和方法对受审核方实施审核,以确定特定事项的符合性的活动。ISO27001认证的目的:由第三方权威机构审核组织所建立的信息安全管理体系的有效性;并取得ISO27001认证证书。
ISO20000认证证书的有效期是三年(与ISO27001证书的有效期是一样的),组织通过认证机构的审核,并取得ISO20000证书后,每年要接受认证机构的监督审核/年审,ISO20000证书到期后,可通过复评/再认证,来延续证书的有效性。
影响ISO20000认证咨询收费的因素:组织的主营业务范围;ISO20000认证的覆盖范围(信息技术服务管理体系覆盖范围); 组织人员数、规模、业务活动及IT服务管理的复杂程度; 组织的经营场所、生产场所(是否多场所经营);咨询工作量;审核人日。
申请ISO20000认证的基本条件:申请方的IT服务管理体系已按ISO/IEC 20000-1:2005标准的要求建立,并实施运行3个月以上。申请ISO20000认证所需提供的材料:服务管理方针和计划;服务级别协议;能力管理流程;服务连续性和可用性管理流程;服务级别管理流程;
组织实施ISO20000信息技术服务管理体系的流程:前期准备、调研、培训(动员会、ISO20000标准培训、体系文件编写培训)、文件编写、体系建立(体系文件编写/修改/发布)、体系运行、内审、符合性审核、正式审核。
ISO20000信息技术服务管理体系的实施是一个逐步推进的过程,处于不同行业类别的组织机构,要根据自身的IT服务管理规模和管理要求,合理地选择认证时机和进度安排。实施ISO20000体系,通常需要找一家咨询机构来进行相应的指导。
SPCA与CMMI其有一个重要区别:SPCA评估必须以法人机构的名义进行,并且该机构必须获得中国国家认可机构认可具有相应的SPCA评估资质,其评估结果得到中国政府承认和国家产业政策支持。
CMMI评估/CMMI认证是SEI评估师对组织实施CMMI模型过程改进现状的评价。 组织使用CMMI模型评估时,需要符合CMMI评估要求文件中的要求。评估关注识别过程改进机会,将组织过程与CMMI最佳实践对比。评估小组使用CMMI模型和遵循ARC评估方法,来指导评估和报告结果。这些评估结果被用于策划组织过程改进,产生成熟度等级或能力等级,缓解产品采购、开发和监控的风险。
CMMI即软件能力成熟度模型集成(也有称为:软件能力成熟度集成模型),是美国国防部的一个设想,是由美国国防部与卡内基-梅隆大学下的软件工程研究中心和美国国防工业协会共同开发和研制的,他们计划把现在所有现存实施的与即将被发展出来的各种能力成熟度模型,集成到一个框架中去。