首先,证书上的认证范围和企业开展的相关业务要有所对应,否则不能用ISO27001认证招标,也不能获得相应的好处。
另外,认证范围的选择将影响达到ISO27001认证要求的难易度以及成本。反过来,难易度和成本是选择认证范围的重要参考。难度一般由企业自身当前的信息安全管理水平决定,而成本则与企业预算相关。在考虑难易度和成本的基础上,企业一般会把核心业务部门以及支撑核心业务的IT部门和人力资源部门纳入认证范围。
认证范围的描述一般使用业务活动范围、地域场所、信息资产及技术来表达。到目前为止,像比较著名的认证机构比如BSI,DNV等在国内颁发的证书一般只使用业务活动和地域场所来描述认证的管理体系范围。
因此,企业在申请ISO27001认证之前,一定要确认认证范围,否则可能会导致认证失败,或者付出不必要的成本,也有可能拿到证书却没有发挥应有的价值。
如您想更详细的了解ISO27001标准,需要ISO27001标准,请您网络搜索广汇联合,快人一步,成就管理者风范。