大多数通过认证的公司都会在其网站和产品/服务文档中对此做广告,但是,仅此信息是不够的,您需要验证此认证的一些必要因素,因此第一步是向供应商请求此认证。

ISO 27001证书上的基本信息

每个认证机构都有其自己发布的证书的布局和格式,但是每个证书上都有一些关键信息,我选择以下顺序并不是基于证书上的顺序,而是基于需要花费多少时间和精力来进行验证。毕竟,没有理由仅检查证书早已过期就验证每个方面。

相关性和用法

现在您知道了检查证书的关键方面,但是此信息的相关性是什么,如何使用它来确保有效性?

1.第一点很明显,但是不想忽略这一步,您的要求是ISO 27001认证,因此请确保您确实收到了ISO 27001证书。尽管内容是针对其他ISO方案的,但文件名可能偶然包含ISO 27001。

2.失效日期或“有效期”显示证书有效的时间。如果该日期过期,则显然会升起一个标记,应进行验证,然后再继续花时间进行验证。

3.公司名称,尤其是地址,是验证的关键部分。认证是针对特定地点的,不适用于供应商的其他地点。当供应商重定位证书时,它对于新位置而言不是自动有效的。请确保您的公司将收到的服务或产品是通过该特定地址交付的或在该特定地址生产的。

4.每个证书都包含ISMS的范围,验证记录的范围是否满足您的要求,即供应商提供的服务或产品是否在ISMS范围内。

5.现在,您已经验证了ISMS和认证是否在预期范围内,您应该与认证机构一起验证证书,通常,在认证机构的网站上,您可以找到在线工具或包含所有已颁发证书的列表。

6.使用证书编号通过认证机构的工具/网站进行搜索。

7.在您确认证书确实是由认证机构签发的并且仍然有效之后,您应该检查认证机构是否获得了认证机构的认可,认证机构列在证书上,每个国家都有自己的认证机构,并维护有认可的认证机构的清单。

8.既然您已经验证了证书是由认可的认证机构签发的,并且所有其他方面也都井井有条,那么您可能已经重新考虑了供应商列表;但是,最后检查可能是最重要的检查:评估SoA(适用性声明),本文档将向您展示(适用)ISO 27001附录A中的114个安全控件中的哪个以及可能的其他控件,以及它们的实现方式。

ISO 27001认证机构

您如何确保您的证书是由认可的认证机构签发的?

1.“国际认证论坛”(IAF)保留了IAF成员的所有国际认证机构的清单,可以在以下位置找到此列表:IAF成员列表。

2.从那里,您可以选择适用的国家,然后查看所有认可机构的列表。

3.证书上列出的认可机构也应在此处列出;转到列出的网站。

4.每个认证机构都有一个认证机构清单;“最难”的部分是在您选择的网站上寻找正确的部分。因此,您的下一步是转到认证机构列表。例如,查看来自UKAS(英国认证服务)的网站,您将立即看到指向认证组织的“搜索”功能的链接。

5.寻找并选择范围内的认证机构。

审核供应商可帮助您保持自己的认证

在审查供应商时进行尽职调查将极大地帮助您了解供应商的安全立场以及它与安全管理系统的关系,这也将帮助您通过或维持自己的ISO 27001认证,因此请确保记录在案的流程和决定!