![[第4年] 级别:4](https://static.trustexporter.com/skin/default/image/vip_4.gif)
ISO 27001认证流程可分为体系建设、审核申请、认证审核、整改颁证四个核心阶段,通常需要3-6个月完成,具体流程如下:
认证核心流程
一. 体系建设阶段
1.风险评估:识别信息资产并评估威胁漏洞,制定风险处置计划。
2.文件编制:编写信息安全方针、程序文件(含适用性声明SoA)、记录表单等体系文件。
3.内部运行:开展全员培训、内部审核及管理层评审,确保体系有效运行。
二. 认证申请阶段
1 选择经CNCA备案的认证机构,提交营业执照、体系文件等材料。
2. 签订合同并支付费用。
三. 认证审核阶段
1. 文件审核:认证机构核查体系文件合规性。
2. 现场审核:通过访谈、记录抽查、系统测试验证控制措施有效性,典型审核要点包括:
信息安全方针与业务战略的匹配度。
访问控制/加密技术等关键措施实施情况。
安全事件响应机制完备性。
四. 整改颁证阶段
1. 针对不符合项15日内完成整改并提交证据。
2. 获证后需每年接受监督审核,三年后进行再认证。
关键补充信息
时间周期:
基础准备:1-2个月(含咨询辅导)。
认证周期:初审2个月,年审1个月。
必备材料:
法人资格证明(营业执照/组织机构代码证)。
物理场所租赁/产权证明。
系统拓扑图及网络设备清单。
