什么是ISO 27001多地点认证？

ISO 27001对于几乎所有在海外运营的公司来说都是一个非常有用的认证。它在许多方面与美国基于NIST的框架（如CMMC）相似，是一项国际标准，旨在帮助全球所有地区、所有行业、各种规模的组织获得高水平的标准化信息安全。

如果你是一家大型或不断发展的组织的一员，一个常见的问题可能是：在业务扩张时如何处理ISO 27001认证。

ISO 27001涵盖了数字和物理安全。当你的组织只有一个地点，并且你的运营主要基于云端或集中式服务器系统时，这很容易实现。但当你有多个地点，每个地点都有自己的网络基础设施时，情况就变得棘手得多。

鉴于其影响范围之广，ISO 27001框架必须涵盖各种不同结构和类型的业务。自然地，它为此提供了一个选项：多地点认证。

处理多地点认证的两种方式

首先，我们来谈谈企业跨多个地点实施ISO 27001的两种不同方式。

这两种选择分别是：

1. 获取单个地点认证
2. 获取单一的综合多地点认证

你选择哪一种在很大程度上取决于地点之间的差异、你对增长的预期以及你愿意在认证上投入的资源。

单个认证的优缺点

获取单个认证意味着每个独立的地点都拥有自己的ISO 27001认证许可证。

这是灵活性的最佳选择，如果你的业务可能出售或剥离特定的设施，这也很适用。当不同的地点作为子公司而非分支机构或特许经营店运营时，这种方式最常见，并且在每个设施具有不同用途（例如总部地点、制造地点、仓库地点和履约中心地点）时效果最好。

在这种方式下，每个独立地点都要经历完整的ISO 27001认证过程，就像它是整个企业一样。该设施自行编写风险评估、确定范围、编制适用性声明，并决定其相关的控制措施选择。每个地点都经过自己的审计和验证过程，提供自己的证据和记录。

最大的缺点是所涉及的繁琐工作和行政管理。如果你觉得经历一次ISO 27001过程既困难又耗时，那么等到每个独立设施都必须自己完成时，情况会更糟。每个地点都有自己的审计、自己的时间表、自己的文书工作等等。仅行政管理一项就非常庞大。

从积极的一面看，也有一些好处：

• 子公司可以很容易地被合并或出售，而不影响整个组织的信息安全管理体系。
• 一个落后的子公司不会危及整个组织的认证。
• 成本可能低于进行完整的多地点认证。

不过，多地点认证也是一个不错的选择，值得探讨。

多地点认证的优缺点

多地点认证出于认证目的，将所有不同的地点视为一个组织。你的企业作为一个整体获得认证，各个地点则作为整体的一部分接受评估。

你只有一个信息安全管理体系、一个范围、一个风险评估、一个适用性声明、一套证据和记录等等。

立即，行政负担就降低了。当然，范围会更大，各个地点的控制措施也会有所不同，但这一切都指向一个整体的认证。

这种方式往往最适合紧密联系的企业，其中每个地点都是整体的一部分，并且被拆分或剥离的可能性很小。当每个地点在本质上都是其他地点的复制品时，这也是最佳选择。方便员工在地点之间调动以及部门间沟通的能力也不应被低估。

过去，多地点认证非常昂贵。尽管是一个认证，审计员需要前往每个地点进行访谈、检查和审查。范围巨大，与差旅、物流、酒店住宿等相关的成本都加在了你的最终账单上。同时，这些努力中有许多在各个地点几乎是重复的。

2024年ISO 27001的更新允许简化这一过程。数字和远程访谈最大限度地减少了时间和差旅。对于拥有许多相同地点的大型组织，可以采用抽样来测试它们，从而加快进程。使用的公式是平方根；抽样必须包含地点的平方根数量，因此，一个有25个地点的企业需要认证5个，一个有100个地点的企业需要认证10个。

一致性、效率和简单性；这些是多地点认证相对于单个认证的主要好处。

然而，有一个缺点：影响一个地点的事情会影响所有地点。如果一个地点审计失败或存在严重故障，整个组织都会陷入危险。因此，持续监控和纠正措施的门槛要高得多。

如何获得多地点ISO 27001认证资格

如果你认为你的企业拥有足够多的地点，使用多地点认证会有好处，那么你怎么知道你是否符合资格呢？

关键在于信息安全管理体系的集中化。想想那些在世界各地拥有许多特许经营店或庞大业务的企业（如麦当劳、耐克等），它们有区域和全球总部。这些不仅仅是行政工作的中心。它们是数据传递的中心点。

本质上，各个地点不能完全独立。风险、威胁向量、信息处理和其他流程需要通过集中化流程处理，由集中地点的人员与之交互。

多地点认证还要求所有地点执行类似的活动。如果功能缺乏一致性，安全标准和适用的控制措施差异太大，那么多地点审计可能没有益处。

如果某个风险、威胁或决策可以完全在分支机构层面处理，那么它可能独立性太强，ISO 27001审计员无法跳过该地点并相信其是安全的。

审计员将首先与中央地点核实。在那里，他们将验证以下事项：

• 确保企业对证书中包含的所有地点拥有运营控制权。
• 确保有程序确保分支机构根据核心原则保持一致。
• 确保在中央办公室执行持续监控和持续验证的要素。

颁发多地点认证时，会有多个证书。组织整体有一个总体证书，每个地点都有自己的子证书，该子证书仅在总体证书有效时有效。这意味着，如果子公司被出售或与另一组织合并，其子证书将无效，他们必须加入新组织的信息安全管理体系和认证。

总的来说，一致性是关键。各个地点的工作方式应该相同，遵循相同的流程，通过相同标准的内外部审计，并受到相同的监控和必要的纠正措施约束。

多地点认证流程如何运作

经历ISO 27001审计是压力重重、昂贵且耗时的。对于多地点认证来说，有什么不同吗？

第一步是规划。你需要根据上述标准审查你的组织，确定多地点认证是否合适。

与此同时，尽可能限制范围是个好主意。范围界定对所有框架都至关重要，对多地点认证更是如此。审计员需要访问和审查每个地点。你越是缩小范围，他们需要做的工作就越少，进程也就越快，成本也就越低。

接下来，你准备好申请材料，并提交给你所在地区相关的ISO 27001认证机构。该机构将决定多地点认证是否适用于你的业务，如果适用，你就可以继续。

之后，你需要努力使你的各个地点达到标准。这里适用通常的ISO 27001流程，只是需要应用到每个地点和整个组织。理解范围，确定风险和相关的控制措施，找出适当的实施方法，进行实施，收集相关的证据和证明，并建立监控。一年的工作用一句话来总结，是不是很疯狂？

一旦你的组织准备就绪，你将经历初次审计。你规划的一部分是确定是否允许抽样，以及需要抽样多少个地点；审计员（如果他们同意）将遵循该抽样计划。你不能选择哪些地点被审计，但你可以影响需要审计的地点数量。

一旦你通过审计并获得多地点认证，运营将继续进行，就像任何其他ISO 27001认证企业一样。你将定期进行监督抽样审计，并按常规进行再认证审计。

在所有涉及抽样的情况下，选择哪个地点进行抽样需要是新的。有些地点可能会被重复抽样，而有些可能根本不被抽样，但这没关系。关键是任何地点在任何时候都可能被抽样，因此所有地点都需要达到标准。

让多地点认证流程更顺畅的技巧

如果你有兴趣进行多地点认证，你可以采取一些措施，使整个过程更容易、更快、更便宜或更有效。

• 寻找合适的认证机构。你并不局限于一家认证机构；无论你在世界何处，总有很多选择。向多个选项征询报价并发送申请，选择同意你的抽样计划且在相关情况下报价更实惠的那家。虽然所有认证机构都遵循相同的信息安全管理体系验证手册并使用相同的ISO 27001标准，但他们的具体操作方式可能有所不同。

• 确保利用抽样。根据组织中地点的数量和类型制定抽样计划，是降低成本和加快进程的关键。你需要在申请阶段就制定一个抽样计划，并由你合作的认证机构批准。

• 确保集中化的信息安全管理体系。多地点认证的主要结构是一个通过集中枢纽传递的信息安全管理体系，所有控制权都来自于此，所有风险也在此管理。这确保了各个地点的一致性，但更重要的是，为通过抽样进行审计和抽查提供了更简便的途径。

• 尽可能使用远程访谈。这是2024年ISO 27001更新的另一个新优势：能够使用更多的远程访谈。审计员每次前往一个地点的差旅都可能花费数千美元，因此视频通话可以节省大量资金和时间。你无法完全避免一些现场访问（尤其是在涉及物理安全时），但任何你能削减的现场访问都是有益的。

• 尽可能缩减你的范围。狭窄、集中的范围界定是成功、安全且经济高效地实施几乎所有安全框架的关键。ISO 27001也不例外。界限越严格，需要严密保护的内容就越少，需要审计的内容也越少。尽早划定界限，并在可能时收紧它们。

• 利用自动化和集中化工具。自动化有助于确保轻松遵守技术安全标准，并生成文档和证明。机器可读的记录比人工制作的更可靠、验证更快。对于几乎所有事情，你都可以使用像Ignyte Assurance Platform这样的平台来收集、自动化、跟踪和迭代安全工作。要了解它如何与ISO 27001配合使用，请致电我们预约演示。我们相信你会喜欢它。