北京诚泽裕丰咨询有限公司

ISO27001信息安全认证范围与审核范围的区别在这里

2021-12-06

ISO27001信息安全认证范围与审核范围的区别在这里

1.认证范围是认证机构向被审查方的产品/服务/系统提供信用保证的范围,用来说明被审查方ISO27001信息安全认证涵盖的范围,一般表现在认证证书上。

证书范围包括认证机构、组织单位、活动和流程等。行为与流程是认证范围的核心。实况:组织活动及过程所处的领域和位置;组织单位:组织活动和过程设定的实施和管理组织结构;活动和过程:组织的特定业务活动和业务包括的所有过程。ISO27001信息安全认证范围通常以物理范围和商业范围来表示。

经营范围:软件开发、零配件采购、产品销售及售后服务(活动和过程)的信息安全管理。

2.审计范围按照GB/T19000-2008《质量管理体系基础和术语》界定为审计内容和范围,用以指导具体审计工作。审核范围通常包括对被审核组织的实际地点、组织单位、活动和流程的说明,以及审核涉及的时间。相对于认可范围,审计覆盖期较长,即审计时查询记录的开始时间。比如,对ISMS初始认证的审核覆盖期一般由iso27001正式运行至iso27001初始认证第二阶段审核的最后一次审核结束;ISO27001信息安全认证监督审计的范围一般为上一次现场审计结束,直至上次会议结束为止。

3.特定审查范围不必完全符合认证的范围。首批认证第二阶段审核范围可大于认证范围。举例来说,第一次认证的第二阶段审核范围涵盖了一个企业,一个过程(产品售后服务),或者一个地区定位。然而,如果ISO27001信息安全认证并未包含此内容,那么认证证书中的认证范围将不包括某个企业、某个过程或者某个地区。

监督性审核的审计范围一般不包括认证范围中的规定。比如,在监督审计过程中,只对组织内某些部门或业务进行审计。

对多个现场认证,无论初审还是监督评定,均可按一定原则进行抽样。专项审核范围只能涵盖部分认证范围,可能包括所有申请认证的场所。

推荐产品

  • ISO9001质量认证
  • ISO45001职业健康安全认证
  • ISO27001信息安全认证
  • ISO13485医疗器械质量认证
  • ISO14001环境认证
  • ISO20000信息技术服务认证
公司业务