ISO27001 信息安全管理体系认证・具体流程(实操版)
1. 前期准备与立项
确定认证范围(如:软件开发、系统运维、数据服务、云计算等)
成立项目小组,明确负责人
收集基础资料:营业执照、组织架构、业务说明、现有制度
2. 标准培训与差距分析
学习 ISO/IEC 27001 标准要求
对照标准做差距评估,找出管理短板
制定整体实施计划与时间表
3. 信息资产梳理 + 风险评估(核心步骤)
盘点信息资产:数据、服务器、账号、文档、设备等
识别威胁与漏洞,进行风险分析与评价
制定风险处置措施(降低 / 转移 / 规避 / 接受)
输出:风险评估报告 + 适用性声明 SoA
4. 建立 ISMS 体系文件
按标准编写四层文件:
管理手册(总体方针、范围、架构)
程序文件(权限、培训、备份、应急、变更等)
作业指导书(具体操作规范)
记录表单(用于留痕取证)
5. 体系试运行(≥3 个月,硬性要求)
全员宣贯、安全培训并签到
按文件执行日常管理
保留运行记录:日志、巡检、权限申请、备份记录等
开展信息安全应急演练
6. 内部审核 + 管理评审
内部审核:自查不符合项并整改
管理评审:最高管理者主持,评审体系有效性
完成后才可正式申请外部认证
7. 选择认证机构,申请认证
挑选 CNAS 认可的正规认证机构
提交申请材料:手册、程序文件、风险报告、内审 / 管评资料等
8. 外部审核(一阶段 + 二阶段)
第一阶段审核(文审)
审核文件完整性、合规性
提出问题并整改,通过后进入二阶段
第二阶段现场审核
现场核查运行记录、访谈人员、检查环境
开具不符合项,企业限期整改
整改通过后,认证机构颁发 ISO27001 证书
拿证后
证书有效期 3 年
每年需做 1 次监督审核
第 3 年进行再认证审核,换发新证