ISO27001 信息安全管理體系認證?具體流程(實操版)
1. 前期準備與立項確定認證范圍(如:軟件開發(fā)��、系統(tǒng)運維、數(shù)據(jù)服務��、云計算等)
成立項目小組�,明確負責人
收集基礎資料:營業(yè)執(zhí)照、組織架構(gòu)、業(yè)務說明�����、現(xiàn)有制度
2. 標準培訓與差距分析學習 ISO/IEC 27001 標準要求
對照標準做差距評估��,找出管理短板
制定整體實施計劃與時間表
3. 信息資產(chǎn)梳理 + 風險評估(核心步驟)盤點信息資產(chǎn):數(shù)據(jù)、服務器���、賬號���、文檔�、設備等
識別威脅與漏洞��,進行風險分析與評價
制定風險處置措施(降低 / 轉(zhuǎn)移 / 規(guī)避 / 接受)
輸出:風險評估報告 + 適用性聲明 SoA
4. 建立 ISMS 體系文件按標準編寫四層文件:
管理手冊(總體方針、范圍����、架構(gòu))
程序文件(權(quán)限�、培訓、備份���、應急�、變更等)
作業(yè)指導書(具體操作規(guī)范)
記錄表單(用于留痕取證)
5. 體系試運行(≥3 個月,硬性要求)全員宣貫����、安全培訓并簽到
按文件執(zhí)行日常管理
保留運行記錄:日志、巡檢���、權(quán)限申請���、備份記錄等
開展信息安全應急演練
6. 內(nèi)部審核 + 管理評審內(nèi)部審核:自查不符合項并整改
管理評審:最高管理者主持,評審體系有效性
完成后才可正式申請外部認證
7. 選擇認證機構(gòu)�����,申請認證挑選 CNAS 認可的正規(guī)認證機構(gòu)
提交申請材料:手冊����、程序文件�����、風險報告��、內(nèi)審 / 管評資料等
8. 外部審核(一階段 + 二階段)第一階段審核(文審)
審核文件完整性��、合規(guī)性
提出問題并整改��,通過后進入二階段
第二階段現(xiàn)場審核
現(xiàn)場核查運行記錄�、訪談人員、檢查環(huán)境
開具不符合項���,企業(yè)限期整改
整改通過后�����,認證機構(gòu)頒發(fā) ISO27001 證書
拿證后
證書有效期 3 年
每年需做 1 次監(jiān)督審核
第 3 年進行再認證審核����,換發(fā)新證
