认证说明

■ ISO27040数据存储安全管理体系认证

ISO 27040标准旨在帮助计算机存储技术的购买者和用户确定和处理相关的信息风险，范围涵盖设备和媒体的安全性，与设备和媒体、应用程序/服务和最终用户有关的管理活动的安全性，以及与存储相关联的通信链路上传输信息的安全性。

ISO 27040标准采用经过充分验证的一致方法来规划、设计、记录和实施数据存储安全性，为组织如何定义适当的风险缓解水平提供详细的技术指导，是管理数据存储安全的最高执行性标准之一。

ISO 27040标准也界定并拓宽了存储安全性的边界，不仅仅包括存储方式、传输方式，浏览权限，还包括法律法规、人员管理、物资管理等，涵盖设备和介质的安全性、与设备和介质相关的管理活动的安全性、应用程序和服务的安全性，以及在设备和介质的使用寿命期间以及使用结束后与最终用户相关的安全性等各方面。

■ ISO27040认证流程

1.    预评估（可选）
2.    提交认证申请
3.    签订认证合同
4.    认证现场审核
5.    颁发证书
6.    年度监督审核

■ 认证标准

ISO 27040: 2015 Information technology - Security techniques - Storage security

■ ZOHOCERT的特色和价值

ㅡ 深耕IT信息行业多年的专业服务机构。

ㅡ 拥有多位二十余年实践经验的资深学院派管理专家

ㅡ 国际化视野的高质量IT专家服务团队    

认证范围

认证方案

1 适用范围 

本认证方案适用于上海中豪认证有限公司有限公司（以下简称：ZOHO）实施数据安全风险管理认证，满足第三方认证制度要求，作为提供认证服务的规范。必要时，在认证合同中补充相关的技术要求。 本认证方案在认证双方签订合同时予以确认和采用。

2 认证模式 

ZOHO 首先对受审核方的数据安全风险管理进行初次审核，经过评定，确认是否批准认证；通过认证之后，在认证证书的有效期内对获证客户进行监督，确认是否持续满足认证要求。

3 认证过程流程图 

4 认证申请

4.1 认证申请的基本条件 

a.认证客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、社会团体登记证书、非企业法人登记证书等，可独立申请认证。其他类型的客户，应由具备资格的单位代为申请； 

b.国家、地方或行业有要求时，认证客户具有规定的行政许可文件,其申请认证范围应在法律地位文件和行政许可文件核准的范围内；

c.认证客户承诺遵守国家的法律、法规及其他要求,承诺始终遵守认证的有关规定，承担与认证有关的法律责任，并有义务协助认证监管部门的监督检查，对有关事项的询问和调查如实提供相关材料和信息；

d.认证客户在全国企业信用信息公示系统中未被列入“严重违法企业名单”；

e.近一年内通过数据安全风险评估检测并提供检测报告；

f.认证客户承诺获得 ZOHO 认证后，按规定使用认证证书和认证标志和有关信息，不得擅自利用数据安全风险管理认证证书的文字、符号误导公众认为其产品或服务通过认证按合同支付认证费用，并按规定接受监督；

g.认证客户承诺获得 ZOHO 认证后，按照 ZOHO 要求向 ZOHO 通报数据安全风险管理变更的信息和其他可能影响数据安全风险管理持续满足认证标准要求的能力的事宜的信息，一般包括：客户及相关方有重大投诉；发生重大事故；相关情况发生变更（包括：法律地位、生产经营状况、组织状态或所有权变更、强制性认证或其他资质证书变更；法定代表人、最高管理者、管理者代表发生变更；生产经营或服务的工作场所变更；数据安全风险管理覆盖的活动范围变更；数据安全风险管理和重要过程的重大变更等）；出现影响数据安全风险管理运行的其他重要情况； 

h.认证审核期间，认证客户能够提供与拟认证范围相关的活动或过程。

4.2 不予受理认证申请的情形 

a.认证客户申请的认证范围超出法律地位文件和行政认可文件核准的范围内的； 

b.认证客户不满足 4.1 中其他相关要求或近一年内发生其他违反国家法律法规、行业规定的情形。

5 审核实施 

5.1 审核准则

认证双方确认的审核依据标准如下：

ZOHO/S-RZ-ZY-21-001《数据安全风险管理要求》审核准则还包括受审核方所适用的方针、程序、标准、法律法规、数据安全风险管理相关要求、合同要求或行业规范。 上述标准更新时，使用更新版本。 

5.2 审核过程 

5.2.1 初次认证审核

初次认证审核目的是评价认证组织的数据安全风险管理实施情况，审核组通过收集客观证据，综合评价认证组织是否符合标准要求及相关要求，运行是否有效。 

初次认证审核具体关注： 

a.受审核方规定的数据安全风险管理过程的有效性和控制方法；

b.自我评估和自我改进实施情况等。 

5.2.2 监督活动 

5.2.2.1 监督活动的方式 

监督活动包括监督审核与日常监控。监督审核的主要内容：

a.自上次审核以来与组织数据安全风险管理有关的重要变更（如资源、过程、组织结构、已识别的关键控制点等）；

b.持续的运作控制数据安全管理目标的实现情况；

c.对上次审核中提出问题的改进情况的验证； 

d.自我评估和自我改进实施情况等。 

5.2.2.3 监督审核的频次 

在证书有效期内，获证客户须接受监督审核，监督审核应至少每个日历年（应进行再认证的年份除外）进行一次。初审/再认证后的第一次监督审核应在认证决定日期起 12 个月内进行；此后，监督审核应至少每个日历年（应进行再认证的年份除外）进行一次，且两次监督审核的时间间隔不得超过15个月。

获证客户因未在规定的时间内实施监督审核而暂停认证证书的，监督审核恢复后，下次审核时间应按原计划时间计算。

5.2.3 再认证 再认证审核的主要内容： 

a.上一认证周期组织数据安全风险管理的持续有效性；

b.数据安全风险管理有关的重要变更对数据安全风险管理的影响；

c.数据安全风险管理目标的实现情况； 

d.对上次审核中提出问题的改进情况的验证； 自我评估和自我改进实施情况等。 

5.3 现场审核活动实施 

审核组在现场审核前与受审核方沟通，确认审核安排，说明首末次会议议程。审核组按照审核计划中日程安排实施审核，通过查阅受审核方的文件和记录、与过程和活动的岗位人员面谈、座谈、观察产品、服务形成过程和活动等适当方法，抽样收集并验证有关的信息，形成审核发现，确认不符合情况。

在审核过程中，审核组及时与受审核方沟通，通报审核进程，确认审核证据，解决分歧。当审核发现表明不能达到审核目的时，应说明理由，商定后续措施。如果需要改变审核目的和范围或终止审核时，应经审核派出机构评审和批准后实施。 审核组长在现场审核结束前，与受审核方沟通现场审核的信息，审核组编制审核报告并提交受审核方。

审核报告属 ZOHO 所有，如果在审核后续活动中（含ZOHO 进行认证决定期间）有所更改，ZOHO 将重新向受审核方提供审核报告。请受审核方妥善保管审核报告等相应材料。

认证收费

证书样本

认证标志