拿下 ISO 27001,进入欧洲客户的供应商名单

欧洲企业要 ISO 27001,就像美国客户要 SOC 2。我们按七个阶段全程辅导,从标准培训一直陪到外审通过。

ISO 27001 认证的是一套信息安全管理体系,要建体系、运行体系、通过两阶段审核,自行摸索很容易走弯路。Kaamel 的辅导流程分七个阶段,每个阶段都有明确的交付物,做到哪一步、还差什么,随时清楚。

AICPA SOCDrataVanta

自动化基于 Vanta 与 Drata · 近 100 家出海企业选择 Kaamel

3–6 个月
从启动到拿到认可机构颁发的证书
7 个阶段
全程辅导,每个阶段都有交付物
3 年
证书有效期,期间的监督审计也归我们管

ISO 27001 与 27701 是什么?

ISO/IEC 27001 是关于"公司如何管理信息安全"的国际标准。它认证的不是一堆工具,而是一套管理体系(ISMS):你如何评估风险、选择控制、指定负责人、持续改进。和 SOC 2 不同,它的终点是一张真正的证书,由获认可的认证机构颁发,全球通认。ISO/IEC 27701 把同一套体系延伸到隐私管理。

ISMS

标准真正认证的东西:你评估风险、挑选控制、落实责任、持续改进的那套体系。

附录 A

93 项控制的目录(2022 版)。选了哪些、为什么选,都写进适用性声明(SoA),审计围绕这份文件展开。

两阶段审核

第一阶段查文档,第二阶段验证体系确实在运行。两关都过,证书三年有效。

ISO 27701

隐私扩展,建在 27001 之上。帮企业建立隐私信息管理体系(PIMS),也是 GDPR 对话里的有力佐证。

ISO 27001 与 ISO 27701 对比

ISO 27001ISO 27701
认证什么信息安全怎么管(ISMS)隐私怎么管(PIMS),建在同一套体系上
谁会要求欧洲及全球企业;招投标的常规项重视隐私的客户;GDPR 佐证
什么时候做先做与 27001 同步,或之后再加

为什么要做 ISO 27001

SOC 2 面向美国客户,ISO 27001 面向欧洲和更广的企业级市场。很多招标书里,它就是一个必填的复选框。

招投标的入场券

在欧盟和英国,ISO 27001 常常是供应商准入的硬性要求。没有证书,连入围名单都进不去。

一张证书,全球通认

全世界认知度最高的安全标准。一次认证,各个市场客户的疑问都有了统一的答案。

加上 27701,隐私也有据可依

同一套体系延伸到隐私,客户问起 GDPR 时,你手里多了一份认证级的证据。

七个阶段,每一步都有交付物

ISO 27001 认证的是一套运行中的体系,不是一册文件。我们的辅导流程分七个阶段,进度和产出随时可查。

  1. 01

    项目启动与标准培训

    开项目启动会,定资源、计划和管理机制;给你的团队讲透 27001/27701 标准要求,后面的沟通不隔阂。

  2. 02

    现状调研与差距分析

    问卷、访谈、实地检查、制度收集,产出差距分析报告。现状与标准的差距,清楚写在报告里。

  3. 03

    资产识别与风险评估

    摸清重要信息资产,评估风险、确定处置计划,产出风险评估报告和中高风险清单。

  4. 04

    个人信息识别与影响评估

    做 27701 时增加这一步:梳理公司涉及的个人信息,完成影响评估和风险处置。

  5. 05

    体系策划与文件编写

    根据调研和风险评估的结果规划体系框架,编制、逐批评审并正式发布全套体系文件。

  6. 06

    体系试运行与内审

    体系投入试运行,收集运行记录;通过内部审核和管理评审,把不符合项在外审之前解决掉。

  7. 07

    外审陪同与协助整改

    两阶段审核全程陪同,审核发现的问题协助整改,跟踪证书进度,直到证书到手。

想知道按你的情况,需要多久、花多少?

为什么选择 Kaamel

体系的设计和运行是实打实的工作。这部分由我们完成,拿到证书之后也持续负责。

全程辅导,产出可查

七个阶段,每个阶段都有明确交付物:差距分析报告、风险评估表、体系文件、内审报告。做到哪一步,随时清楚。

贴着标准的自动化

把 Vanta 或 Drata 按附录 A 配好,证据自动流转,你的团队不用学新工具。

双团队全程辅导,没有时差

硅谷、亚洲两地团队衔接,和欧洲认证机构沟通的时差、语言问题由我们消化。

框架叠着用

ISO 与 SOC 2、GDPR 的控制大量重叠。建一次体系,认证好几次。

客户案例

从 SOC 2 到 ISO,一个项目

我们托管这家公司的整个认证序列:SOC 2、HIPAA、GDPR、ISO 27001/27701。速度翻倍,预算远低于此前分散采购的成本。

某快速成长的智能硬件公司

4 个月进入欧盟沙盒

我们统筹安全、法务与工程,4 个月帮客户获得欧洲 GDPR 沙盒项目资格。

某头部自动驾驶公司

漏洞修复率提升 75%

我们加固了客户的安全态势并交付 GDPR 全面合规,帮他们赢下三个重要合同。

某全球领先的支付公司

服务包含

  • 项目启动会与 27001/27701 标准培训
  • 现状调研与差距分析报告
  • 资产识别、风险评估与处置计划
  • 个人信息识别与影响评估(27701)
  • 全套体系文件的编制、评审与发布
  • 内审员培训、内部审核与管理评审
  • 认证机构对接与两阶段外审陪同
  • 证书有效期内的监督审计支持

ISO 27001 与 27701 常见问题

ISO 27001 要多久?

端到端通常 3 到 6 个月。固定环节是内部审核、管理评审和两阶段认证审核;这些之外的准备工作,我们靠自动化和全程辅导来压缩。

报价和什么有关?

主要看几个因素:认证主体和关联主体的数量、职场(办公地点)的数量和位置、不同职能岗位的人员规模,以及认证涉及的关键产品。评估之后我们按你的实际情况给准数。

27001 和 27701 有什么区别?

27001 认证你怎么管信息安全;27701 把同一套体系延伸到隐私,与 GDPR 高度契合。27701 不能单独做,它永远建在 27001 的体系之上。

ISO 27001 和 SOC 2,先做哪个?

跟着你的销售管道走:美国客户要 SOC 2,欧洲和全球企业要 ISO 27001。两者控制大量共享,第二张证的成本远低于第一张,顺序我们帮你排。

认证机构重要吗?

重要。只有获认可的机构颁发的证书,客户才认。我们引入信誉好、有资质的机构,并全程陪同两个审核阶段。

管道里有要求 ISO 27001 的标书吗?

预约一次免费评估,我们按你的主体、职场和人员情况,给出最快、最省的拿证路线和报价。