北京ISO27001信息安全管理⭐18734139001

ISO27001 全套认证提交 + 现场审核材料清单

分四大块：企业基础资质材料、体系文件全套、运行落地记录表单、审核申报资料，适配 ISO27001:2022 版本。

一、企业基础资质（提交认证机构初审用）

1. 营业执照扫描件（清晰、在有效期，经营范围和认证范围匹配）

2. 法人身份证复印件

3. 组织机构图、部门职能说明、人员花名册（标注岗位、IT 负责人、信息安全负责人）

4. 经营场所租赁合同 / 产权证明（纯云办公可提供办公地址证明 + 云服务商协议）

5. 多场所 / 分公司：各点位营业执照、场所清单，确认是否合并进同一证书

6. 涉及特殊行业补充：

◦ 软件企业：软件著作权、ICP 备案截图；

◦ 医疗 / 金融：行业准入许可、监管备案回执。

二、ISMS 体系文件全套（审核核心，四层文件架构）

第一层：手册（1 份）

信息安全管理体系 ISMS 手册

• 公司简介、认证范围、方针目标、组织架构、职责分配

• 14 个控制域整体框架、体系适用边界、持续改进机制

第二层：程序文件（必备）

1. 文件与记录控制程序

2. 内部审核控制程序

3. 管理评审控制程序

4. 纠正预防措施控制程序

5. 资产管理程序（资产识别、分级、报废处置）

6. 访问权限控制程序

7. 人力资源安全控制程序

8. 物理与环境安全管理程序

9. 通信与运维安全程序

10. 系统开发安全管理程序

11. 供应商第三方安全管理程序

12. 数据备份与恢复程序

13. 信息安全事件处置程序

14. 业务连续性 & 应急响应程序

15. 合规性评价程序

第三层：管理制度 / 作业指导书

信息安全总体管理制度、机房管理制度、账号密码管理规范、远程接入 VPN 管理规范、涉密纸质资料管理办法、员工保密管理规定、外包人员安全管理细则、日志留存规范、漏洞整改规范等。

第四层：配套空白表单模板

权限申请表、权限变更 / 注销单、资产登记表、备份记录表、巡检表、培训签到表、应急演练记录表等。

三、体系试运行落地记录（现场审核必查，连续≥3 个月）

1. 体系内部审核资料

• 内审计划、内审检查表（全覆盖所有部门 + 14 个控制域）

• 内审不符合项报告、整改单、整改佐证材料

• 内审总结报告

2. 管理评审全套资料

• 管理评审通知、会议签到表、会议记录

• 各部门输入材料（安全目标达成、风险评估结果、投诉、外部审核、合规情况）

• 正式管理评审报告（最高管理者签字）

3. 风险评估 & 风险处置（硬性必备）

1. 信息资产清单（硬件、软件、源码、客户数据、合同、云资源）

2. 资产赋值（保密性、完整性、可用性打分）

3. 风险识别表、风险分析评价表

4. 风险处置计划（规避 / 降低 / 转移 / 接受）

5. 适用性声明 SoA（ISO27001 核心文件，勾选 2022 版全部控制项适用 / 不适用及理由）

4. 人力资源安全类记录

• 全体正式员工、实习生、外包人员保密协议

• 新员工入职安全背景核查记录

• 信息安全培训课件、签到表、考核试卷、培训照片

• 离职人员权限注销审批单、系统权限移除截图

5. 访问控制记录

• 账号权限申请、审批、定期复核记录表

• 弱密码整改清单、密码策略配置截图

• VPN 外网访问申请登记、运维操作日志

• 超级管理员账号双人管控记录

6. 资产 & 数据安全记录

• IT 软硬件、服务器、云资源资产台账

• 数据分级分类清单（公开 / 内部 / 敏感 / 绝密）

• 敏感数据加密配置截图、存储加密方案说明

• 设备报废、硬盘销毁登记记录

7. 运维与备份记录

• 机房定期巡检记录表

• 服务器漏洞扫描报告、补丁更新记录

• 自动备份执行日志（本地 + 异地备份）

• 备份恢复演练方案 + 演练记录 + 结果报告（必查项）

• 系统日志留存截图