北京ISO27001信息安全管理体系认证⭐18734859001

在辽宁办 ISO27001（信息安全）+ISO20000（IT 服务管理），核心门槛是：合法资质 + 体系跑满 3 个月 + 做过内审 + 管理评审 + 无重大处罚；流程就是建体系→运行 3 个月→一阶段文审→二阶段现场→整改发证，两地标准全国统一，辽宁没有特殊地方标准，只需要选有 CNAS 认可 的认证机构即可。

一、共同基本条件（两个体系都要满足）

1. 主体资格

◦ 独立法人，营业执照有效，经营范围包含 IT / 信息服务相关（软件、运维、系统集成、数据服务等）。

◦ 未列入严重违法失信名单，近 1 年无信息安全 / IT 服务类重大行政处罚。

2. 体系运行

◦ 按对应标准建立完整文件化体系并有效运行≥3 个月。

◦ 运行期间有完整记录（日志、审批、报告、培训、监控数据等）。

3. 内审与管理评审

◦ 至少完成1 次内部审核 + 1 次管理评审，不符合项要闭环整改。

二、ISO27001 额外关键条件（信息安全）

• 现行标准：ISO/IEC 27001:2022（2025-10-31 后不再发 2013 版）。

• 必须做：

1. 信息安全风险评估（识别资产、威胁、脆弱性）。

2. 适用性声明 SoA（从 Annex A 93 个控制中选，说明删减理由）。

3. 体系文件至少包含：安全方针、风险评估报告、风险处理计划、SoA、程序文件、记录表单等。

• 现场重点：机房 / 办公区物理安全、权限管理、日志审计、备份恢复、加密、应急响应等证据。

三、ISO20000 额外关键条件（IT 服务管理）

• 现行标准：ISO/IEC 20000-1:2018。

• 必须覆盖16/19 个核心流程：

◦ 服务级别管理（SLA）、服务报告、容量管理、可用性管理、IT 服务连续性、信息安全管理（与 27001 可整合）、供应商管理、事件管理、问题管理、变更管理、发布管理、配置管理、服务台、业务关系管理、服务目录、财务管理等。

• 体系文件至少包含：IT 服务管理手册、程序文件、作业指导书、记录表单、服务目录、SLA 协议模板等。

• 现场重点：事件 / 问题 / 变更 / 配置 / 发布流程落地记录、SLA 达成数据、客户满意度、运维考核数据。

四、辽宁办理流程（双体系可合并推进）

1. 前期准备 & 体系搭建（1–2 个月）

• 成立项目组（IT、业务、行政、质量），任命管理者代表。

• 做差距分析：对照标准梳理现有流程缺什么。

• 编写文件：方针、手册、程序文件、作业指导书、记录表单、风险评估、SoA（27001）、服务目录 / SLA（20000）上海市企业服务云。

• 全员培训：标准、制度、流程、岗位职责。

2. 体系试运行（≥3 个月）

• 按文件执行，留全记录：权限审批、备份日志、事件单、变更单、SLA 报表、培训签到、内审记录等。

• 运行满 2 个月后做内部审核，整改不符合项。

• 满 3 个月前做管理评审，高层签字确认体系适宜、充分、有效。

3. 选择认证机构（辽宁可选）

• 必须：CNCA 批准 + CNAS 认可（证书全国 / 招投标通用）。

• 辽宁常见：方圆、赛西、华信、中联天润、辽宁本地有 CNAS 资质分支机构均可。

• 双体系一起做通常更省钱、周期更短。

4. 认证审核（两阶段）

1. 一阶段：文件审核（约 1 周）

◦ 提交：申请书、营业执照、体系文件、风险评估、SoA、内审 + 管评报告、运行记录样本等上海市企业服务云。

◦ 审核员查文件完整性、符合性、范围界定是否合理。

2. 二阶段：现场审核（2–3 天）

◦ 现场访谈、抽查记录、看机房 / 办公区、验证流程落地。

◦ 27001 重点：风险控制、权限、日志、备份、应急、物理安全。

◦ 20000 重点：事件、问题、变更、配置、发布、SLA、服务台。

5. 整改 & 发证（1 个月内）

• 对轻微不符合项提交整改证据；严重项需现场复核。

• 整改通过后，4 周内发证，证书有效期3 年。

• 每年监督审核（年审），第 3 年再认证换证。

五、辽宁企业常见注意点

• 软件 / 外包 / IT 运维：优先做双体系，招投标加分明显（辽宁政务、国企项目常见要求）。

• 涉及IDC / 云服务 / 个人信息处理：需额外提供ICP/ISP 证、等保备案 / 测评报告等。

• 补贴：辽宁部分地市 / 软件园区对认证有费用补贴，可咨询当地工信 / 软件产业主管部门。

六、办理周期与费用（参考）

• 周期：4–6 个月（含 3 个月运行 + 审核 + 整改）。

• 费用：与企业人数、场所数量、复杂度有关；双体系通常 3–6 万（含咨询 + 认证审核，不含差旅）。