北京ISO27001认证材料⭐18734139001

一、前期准备（1–2 个月）

目标：把体系搭起来，明确范围和风险。

1. 启动与定范围

◦ 高层立项、任命管理者代表、组建项目组。

◦ 确定认证范围：哪些部门、哪些业务、哪些系统纳入 ISMS。

2. 差距分析（Gap）

◦ 对照 ISO27001:2022 标准，自查现在缺什么制度、缺什么控制措施。

3. 资产识别 + 风险评估（核心）

◦ 做信息资产清单：硬件、软件、数据、人员、服务。

◦ 识别威胁、脆弱性，评估风险等级，输出：

◦ 《风险评估报告》

◦ 《风险处置计划》

◦ 《适用性声明 SoA》（Annex A 93 个控制项逐一说明适用 / 不适用及理由）

4. 编写体系文件

三级文件：

◦ 一级：信息安全管理手册（方针、目标、范围、组织职责）

◦ 二级：程序文件（访问控制、备份、应急、事件、内审等）

◦ 三级：作业指导书 + 记录表单



二、体系试运行（≥3 个月，硬性要求）

目标：真实跑满 3 个月，留下完整记录，证明不是纸上文件。

1. 全员培训

◦ 标准培训、制度培训、岗位安全职责培训。

2. 日常运行落地

◦ 权限管理：账号审批、最小权限、离职注销。

◦ 物理安全：机房门禁、监控、消防。

◦ 网络安全：防火墙、补丁、防病毒。

◦ 数据安全：备份日志、加密、数据销毁。

◦ 事件与应急：安全事件记录、应急演练记录。

◦ 所有活动必须留记录（表单、日志、审批单、报告）。

3. 内部审核（内审）

◦ 运行满 2 个月后做一次全范围内审。

◦ 开出不符合项，全部整改闭环。

4. 管理评审（管评）

◦ 运行满 3 个月前，由最高管理者主持。

◦ 评审体系：适宜性、充分性、有效性。

◦ 输出《管理评审报告》。

没做内审 + 管评，不能提交认证。



三、选择认证机构 + 提交申请（1–2 周）

1. 选机构（必须有资质）

◦ 必须：CNCA 批准 + CNAS 认可（证书招投标通用）。

◦ 辽宁常用：方圆、赛西、华信、中联天润等。

2. 提交申请材料

◦ 认证申请书

◦ 营业执照

◦ 体系文件（手册、程序文件）

◦ 风险评估报告、SoA、风险处置计划

◦ 内审报告、管评报告

◦ 3 个月运行记录样本



四、认证审核：分两阶段（核心环节）

第一阶段：文件审核（约 1 周，可远程）

审核员重点查：

• 体系文件是否符合 27001:2022

• 范围是否清晰合理

• 风险评估、SoA 是否规范

• 内审、管评是否完整有效

结论：同意进入二阶段 / 补充文件后再审。

第二阶段：现场审核（2–3 天，必须现场）

目标：验证体系真落地、真有效。

审核重点：

• 访谈管理层、各部门负责人

• 抽查运行记录（权限、备份、日志、事件、培训）

• 查看机房、办公区物理安全

• 验证 Annex A 控制项落实情况

• 开不符合项（一般分严重 / 轻微）



五、整改 + 发证（2–4 周）

1. 对所有不符合项提交整改证据。

2. 轻微项：提交材料即可；严重项：可能需复核。

3. 整改通过 → 认证机构技术委员会审批 → 发证书。

• 证书有效期：3 年

• 发证时间：审核通过后约4 周内