点击图片查看原图
ISO/IEC 27001 信息安全管理体系认证187-3485-9001
一、详细介绍
ISO/IEC 27001(对应国标 GB/T 22080)是全球通用、可第三方认证的信息安全管理体系(ISMS)标准,围绕保密性、完整性、可用性,通过风险评估、控制措施、持续改进,保护信息资产、数据安全、网络与业务系统,满足《网络安全法》《数据安全法》《个人信息保护法》等合规要求,常用于招投标、客户信任、上市 / 合规审查。
二、办理流程
前期准备
成立项目组,梳理信息资产、业务范围、机房 / 系统 / 人员边界,完成信息安全风险评估。
体系建立与文件编制
编写手册、程序文件、制度、表单,形成适用性声明(SoA),发布并正式运行。
试运行
体系至少运行 3 个月,保留日志、权限管理、备份、培训、应急演练等记录。
内部审核 + 管理评审
完成 1 次完整内审,最高管理者组织管理评审,所有不符合项整改闭环。
选择认证机构
选择国家认监委批准、CNAS 认可的正规机构。
一阶段审核(文审)
审核文件完整性、标准符合性,确认是否具备现场审核条件。
二阶段现场审核
现场核查制度执行、记录、人员能力、技术管控落地情况。
整改与发证
不符合项整改通过后,机构颁发证书,有效期 3 年。
证后维护
每年 1 次监督审核,到期前做再认证。
三、认证注意事项
必须真实运行,禁止文件与现场 “两张皮”。
风险评估与 SoA 是审核重点,不能套用模板走过场。
试运行不少于 3 个月,内审、管评缺一不可。
关键记录必须完整:账号权限、日志、备份、培训、演练、变更等。
拒绝低价 “买证、包过、快速出证”,证书需在认监委可查才有效。
逾期不做监督审核,证书会被暂停 / 撤销。
信息安全负责人、IT、行政、业务需熟悉制度,能应答审核提问。
山西ISO27001信息安全管理体系认证