点击图片查看原图
武老师15383615001
认证申请与审核阶段
- 认证机构选择:企业在完成信息安全管理体系的建立、运行和内部审核、管理评审等工作,并认为体系已经达到 ISO27001 标准要求后,可以选择一家经国家认证认可监督管理weiyuan会(CNCA)认可的认证机构进行认证申请。在选择认证机构时,要综合考虑认证机构的资质、信誉、专业能力、服务质量和认证费用等因素,选择一家适合自己的认证机构。
- 认证申请提交:向选定的认证机构提交 ISO27001 认证申请,并同时提交相关的申请材料,如企业营业执照副本、信息安全管理手册、程序文件、风险评估报告、内部审核报告、管理评审报告等。认证机构收到申请材料后,会对申请材料进行初步审查,确认申请材料的完整性和符合性。如申请材料存在问题,认证机构会通知企业进行补充或修改。
- 第一阶段审核:认证机构在对申请材料审查通过后,会安排审核组对企业进行第一阶段审核。第一阶段审核主要是对企业的信息安全管理体系文件进行审核,了解企业的基本情况和信息安全管理体系的策划情况,确定第二阶段审核的重点和范围。审核组会与企业的管理层和相关部门负责人进行沟通,对企业的信息安全方针、目标、管理架构、风险评估方法、控制措施的选择等方面进行初步评估。第一阶段审核结束后,审核组会向企业出具第一阶段审核报告,提出存在的问题和改进建议。
- 第二阶段审核:企业根据第一阶段审核报告的要求,对存在的问题进行整改后,认证机构会安排审核组进行第二阶段审核。第二阶段审核是现场审核,审核组将深入企业的各个部门和业务现场,通过查阅文件和记录、与员工进行访谈、现场观察和操作验证等方式,对企业信息安全管理体系的运行有效性进行全面审核。审核过程中,审核组将严格按照 ISO27001 标准的要求,对企业的各项信息安全管理活动进行细致检查,重点关注安全控制措施的执行情况、风险处理的有效性、法律法规的遵循情况以及体系文件的实际执行效果等。对于审核发现的不符合项,审核组会开具不符合报告,要求企业在规定的时间内进行整改。
- 不符合项整改:企业在收到审核组开具的不符合报告后,要立即组织相关部门和人员对不符合项进行分析,找出问题产生的原因,并制定切实可行的整改措施。整改措施要明确整改责任人、整改时间节点和整改要求,确保不符合项能够得到及时、有效的整改。整改完成后,企业要向认证机构提交整改报告,附上相关的整改证据,以供认证机构审核确认。