山西ISO27001信息安全管理体系⭐18734139001

一、前期策划注意事项（决定成败）

1. 高层必须真参与，不能甩锅给 IT

◦ 必须：最高管理者批准方针、目标、范围、资源。

◦ 审核员必查：高层对信息安全的认知、承诺、资源投入。

◦ 坑：老板只签字不看内容，审核一问三不知→直接开严重不符合。

2. 认证范围别乱写（宁小勿大）

◦ 范围要写清：部门、业务、系统、场地。

◦ 小微企业不要写 “全球信息安全”“全公司所有系统”，容易审不过。

◦ 建议：先从核心业务 + 核心数据系统开始，后期再扩范围。

3. 选机构必须要 CNAS+CNCA 双资质

◦ 只选国家认监委官网可查的认证机构。

◦ 避坑：低价 “无证机构”“挂靠机构”，证书招投标无效、无法年审、被撤销。



二、文件体系注意事项（50% 不通过原因）

1. 风险评估是灵魂，不能抄模板、不能流于形式

◦ 资产清单：必须全、必须新（硬件、软件、数据、人员、第三方）。

◦ 风险评估：要写清威胁→脆弱性→发生概率→影响→风险等级。

◦ SoA（适用性声明）：93 个控制项每一条都要写适用 / 不适用 + 理由，不能全 “适用” 或全 “不适用”。

◦ 坑：风险评估几年不更新、资产不全、威胁乱写→文件审核直接打回。

2. 文件要 “能用、可落地”，不是写论文

◦ 手册、程序文件要贴合公司实际，不要全篇抄标准。

◦ 三级文件（作业指导书、表单）要简单、可执行、有人用。

◦ 坑：文件写得完美，实际操作完全不一样→现场审核必翻车。

3. 内审 + 管评不能少，不能走过场

◦ 内审：必须覆盖全范围、全部门、全控制项，必须开不符合项并闭环。

◦ 管评：最高管理者主持，评审适宜性、充分性、有效性，输出改进决议。

◦ 坑：内审无不符合、管评无结论→二阶段审核直接扣分。



三、体系运行注意事项（最容易造假、最容易露馅）

1. 必须真实运行 ≥3 个月，记录要完整、连续

◦ 权限管理：账号审批、权限变更、离职注销记录。

◦ 物理安全：机房门禁、监控、访客登记（必须有离开时间）。

◦ 网络安全：防火墙策略、补丁记录、防病毒日志。

◦ 数据安全：备份 + 恢复测试记录（只备份不测试 = 没做）。

◦ 安全事件：事件记录、处置、复盘。

◦ 培训：签到、课件、考核记录。

◦ 坑：记录补做、日期集中、内容雷同→审核员一眼识破。

2. 访问控制与权限管理是重灾区

◦ 最小权限原则：员工只给必要权限。

◦ 离职员工：必须立即注销所有权限（门禁、系统、邮箱）。

◦ 开发 / 测试 / 生产环境必须隔离，不能直连。

◦ 坑：离职员工还能进机房、开发连生产、权限混乱→严重不符合。

3. 第三方供应商必须纳入管理

◦ 云服务商、外包开发、运维、数据合作方都要评估风险。

◦ 必须有：供应商评估表、合同安全条款、访问权限管控。

◦ 坑：完全不管外包，外包能随便访问核心数据→高风险项。



四、现场审核注意事项（临门一脚）

1. 员工要会说、会答、懂自己岗位的安全职责

◦ 审核员会随机问普通员工：密码策略、访客流程、数据备份、应急怎么做。

◦ 坑：员工紧张、答不上、说 “不知道，都是 IT 管”→体系落地差。

2. 不要隐瞒问题，不要现场临时改配置

◦ 发现小问题（如个别记录不全）：如实说 + 已整改 + 出示证据。

◦ 不要现场改防火墙、删日志、补记录→严重失信，直接终止审核。

3. 不符合项整改要及时、彻底、证据充分

◦ 轻微不符合：提交整改证据（记录、截图、培训签到）。

◦ 严重不符合：必须重新审核，周期拉长、费用增加。

◦ 整改期限：一般30–60 天，超时作废。



五、拿证后注意事项（别拿证就废）

1. 每年监督审核（年审）必须做

◦ 第 1 年、第 2 年各一次，审核范围缩小，但核心控制项必查。

◦ 坑：不做年审→证书暂停→撤销，以后重审更贵。

2. 风险评估每年至少更新一次

◦ 业务变化、系统上线、数据增加、法规更新→重新评估风险、更新 SoA。

3. 持续改进（PDCA）

◦ 定期做漏洞扫描、渗透测试、应急演练。

◦ 记录所有改进，纳入下一次管评。



六、辽宁企业特别提醒

• 辽宁审核偏严，尤其国企、制造业、数据相关企业。

• 重点查：等保备案、数据合规、工控安全、外包管理。

• 补贴：辽宁多地对 ISO27001 有几万补贴，认证后可申请。