ISO27001認證審核費用及周期
除了組織自身投入之外，ISO27001 認證審核費用主要體現(xiàn)在聘請第三方認證機構(gòu)及審核員方面了。在組織向認證機構(gòu)提出申請之后，認證機構(gòu)會初步了解組織現(xiàn)狀，確定審核范圍，提出審核報價。認證機構(gòu)的報價通常是根據(jù)其投入的時間和人員來確定的，決定因素包括：
1、受審核組織的員工數(shù)量；
2、納入審核范圍的信息量；
3、場所數(shù)量；
4、組織與外界的關(guān)聯(lián)；
5、組織 IT 的復雜性；
6、組織類型和業(yè)務性質(zhì)等。

更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的面以及風險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務、數(shù)字鑒識、供應鏈管理（4本）、軟件開發(fā)測試等，主管機關(guān)可參考這些指引做升級的要求。

自2005年國際標準化組織(簡稱:ISO)將BS7799轉(zhuǎn)化為ISO27001：2005發(fā)布以來，此標準在國際上獲得了的認可，相當數(shù)量的組織采納并進行了信息安全管理體系的認證,至2011年底，國際上頒發(fā)的ISO27001認證證書總數(shù)約為15625張（其中，BSI的市場占有率達約為45.65%）。在我國，自從2008年將ISO27001:2005轉(zhuǎn)化為國家標準GB/T22080:2008以來，信息安全管理體系認證在國內(nèi)進一步獲得了全面推廣，至2011年底，國內(nèi)頒發(fā)認證證書數(shù)量是1107張。越來越多的行業(yè)和組織認識到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開展起來。

ISO對標準的更新，一般是以三年為一個周期,但因為ISO27001：:2005標準發(fā)布后的成功，以及ICT行業(yè)的飛躍發(fā)展，使得這個標準的更新變得非常謹慎，至今已有7年。從ISO組織發(fā)布的新信息可以看到，ISO27001標準的更新籌備實際上已經(jīng)在2008年開始，任命了工作組（JTC1/SC27WG1）；2009年正式啟動更新。目前，處于該標準草案（CommitteeDraft）正在編寫討論層面（30.20：2012-06-20），預計新版發(fā)布時間會在2013-10-19，那時我們就可以一睹它的全新面貌了。

頒發(fā)ISO27001信息安全管理體系證書的認證機構(gòu)必需是經(jīng)過CNCA國家認證監(jiān)督（認監(jiān)委）授權(quán)的認證機構(gòu)方可在國內(nèi)進行審核發(fā)證，所有通過認證且合法的證書均可在CNCA的網(wǎng)站上進行查詢。國外的認證機構(gòu)如果沒有在國內(nèi)CNCA備案，即使認證機構(gòu)得到了認可單位是UKAS或者ANAB等等的認可，也是不符合中國的法律法規(guī)的，視為違規(guī)操作，被發(fā)現(xiàn)將會被CNCA處罰并公示證書在國內(nèi)無效。經(jīng)CNCA授權(quán)的認證機構(gòu)可以在CNCA網(wǎng)站上查詢。

絕大多數(shù)人認為信息安全是一個純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計算機安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計算機安全的相關(guān)事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全就可以設(shè)計并執(zhí)行一個技術(shù)方案以達成用戶需求。