ISO27001信息安全管理體系認證流程

發布時間：2020-08-08 作者：廣匯聯合來源：廣匯聯合

企業建立的信息安全管理體系要申請認證，必須滿足兩個基本條件：

（1）遵守中國的信息安全法律、法規和標準；

（2）ISO27001體系試運行滿3個月。

在滿足上述兩個重要前提下，ISO27001信息安全管理體系認證流程大致上分為以下四個階段：

一、受理申請方的申請：

申請認證的組織首先要綜合考慮各認證機構的權威性、信譽和費用等方面的因素，然后選擇合適的認證機構，并與其取得聯系，提出信息安全管理體系認證申請,認證機構會提供相應的認證申請書給擬申請認證的組織填寫。

認證機構接到申請方的正式申請書之后，將對申請方的申請文件進行初步的審查，如果符合申請要求，與其簽訂管理體系審核/注冊合同，確定受理其申請。　　

二、信息安全管理體系審核：

在整個認證過程中，對申請方的信息安全管理體系的審核是最關鍵的環節。認證機構正式受理申請方的申請之后，迅速組成一個審核小組，并任命一個審核組長，審核組中至少有一名具有該審核范圍專業項目種類的專業審核人員或技術專家，協助審核組進行審核工作。

審核工作大致分為三步：

1.文件審核：

對申請方提交的準備文件進行詳細的審查，這是實施現場審核基礎工作。申請方需要編寫好其信息安全管理體系文件，在審核過程中，若發現申請方的ISMS手冊不符合要求，則由其采取有效糾正措施直至符合要求。認證機構對這些文件進行認真審核之后，如果認為合格，就準備進入現場審核階段。

2.現場審核：

在完成對申請方的文件審查和預審基礎上，審核組長要制定一個審核計劃，告知申請方并征求申請方的意見，申請方接到審核計劃之后，如果對審核計劃的某些條款或安排有不同意見，立即通知審核組長或認證機構，并在現場審核前解決好這些問題。解決好這些問題之后，審核組正式實施現場審核，主要目的就是通過對申請方進行現場實地考察，驗證ISMS手冊、程序文件和作業指導書等一系列文件的實際執行情況，從而來評價該信息安全管理體系運行的有效性，判別申請方建立的信息安全管理體系和ISO27001標準是否相符合。　　

在實施現場審核過程中，審核小組每天都要進行內部討論，由審核組長主持，全體審核員參加，對本次審核的結構進行全面的評定，確定現場審核中發現的哪些不符合情況需寫成不符合項報告及其嚴重程度。　　

3.跟蹤審核：

申請方按照審核計劃與認證機構商定時間糾正發現的不符合項，糾正措施完成之后遞交認證機構。認證機構收到材料后，組織原來的審核小組的成員對糾正措施的效果進行跟蹤審核。如果審核結果表明被審核方報來的材料詳細確實，則可以進入注冊階段的工作。　　

三、報批并頒發證書

根據注冊材料上報清單的要求，審核組長對上報材料進行整理并填寫注冊推薦表，該表最后上交認證機構進行復審，如果合格，認證機構將編制并發放證書，將該申請方列入獲證目錄，申請方可以通過各種媒介來宣傳，并可以宣傳材料商加貼注冊標識。

四、監督檢查及復評換證

在證書有效期限內，認證機構對獲證企業進行監督檢查，以保證該信息安全管理體系符合ISO27001標準要求，并能夠切實、有效地運行。證書有效期滿后，或者企業的認證范圍、模式、機構名稱等發生重大變化后，該認證機構受理企業的換證申請，以保證企業不斷改進和完善其信息安全管理體系。

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網絡搜索廣匯聯合，快人一步，成就管理者風范。

ISO27001信息安全管理體系認證流程

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網絡搜索廣匯聯合，快人一步，成就管理者風范。

如您想更詳細的了解ISO27001標準，需要ISO27001標準，請您網絡搜索廣匯聯合，快人一步，成就管理者風范。