点击图片查看原图
ISO27001 认证注意流程(重点版)18734859001
-
准备阶段
- 必须先做信息资产盘点 + 风险评估,不能直接套模板。
- 明确认证范围:哪些部门、系统、业务纳入,不能模糊。
-
建体系文件
- 文件要贴合企业实际,不能网上随便下载。
- 必须包含:安全手册、程序文件、制度、记录表单、适用性声明 SoA。
-
体系试运行
- 必须真实运行 ≥3 个月,不能造假。
- 保留好:权限管理、日志、备份、培训、演练、漏洞整改等记录。
-
内部审核
- 内审必须覆盖全部条款和所有部门。
- 发现的不符合项必须全部整改闭环。
-
管理评审
- 必须由最高管理者主持,不能随便找人代替。
- 评审要真实,不能只走形式。
-
选认证机构
- 必须选国家认监委批准、CNAS 认可的机构。
- 拒绝 “低价包过、快速买证”。
-
一阶段审核(文审)
- 重点查:文件齐不齐、风险评估真不真、试运行够不够 3 个月。
- 问题要及时整改,否则不能进现场审核。
-
二阶段现场审核
- 审核员会查记录、问人员、看现场。
- 制度要会说、记录要能对应、安全措施要真实落地。
-
不符合项整改
- 轻微不符合:尽快整改。
- 严重不符合:必须彻底整改并提交证据,否则不发证。
-
获证后维护
- 证书3 年有效期,每年必须做 1 次监督审核。