点击图片查看原图
ISO27001 信息安全管理体系认证流程18734859001
前期准备
成立项目组,确定认证范围,梳理信息资产,开展信息安全风险评估,制定控制措施。
建立体系文件
编写管理手册、程序文件、管理制度、表单记录,形成适用性声明 SoA,正式发布体系。
体系试运行
按制度落地执行,连续运行≥3 个月,保留培训、权限、备份、日志、应急演练等记录。
内部审核 + 管理评审
完成全覆盖内审,最高管理者组织管理评审,所有不符合项整改闭环。
选择认证机构并提交申请
选择 CNAS 认可、国家认监委批准的正规机构,提交营业执照、体系文件、内审管评资料等。
一阶段审核(文审)
审核员检查文件完整性、标准符合性,确认是否具备现场审核条件并给出整改意见。
二阶段现场审核
审核员到现场核查制度执行、记录真实性、人员掌握情况、安全措施落地效果。
不符合项整改
对轻微 / 严重不符合项进行整改,提交证据,审核员验证通过。
发证
认证机构审核通过后颁发证书,有效期 3 年,可在国家认监委官网查询。
证后维护
每年 1 次监督审核,到期前 3–6 个月办理再认证。
山西ISO27001认证流程