体系认证一站式服务专业机构出证,证书真实有效
一、主体资质硬性条件
持有有效期内营业执照,独立法人,经营范围与申报认证业务范围匹配;分公司、多地经营网点可合并纳入一张证书。
无网信、公安部门出具的重大网络安全、数据泄露行政处罚记录,近阶段未发生造成重大损失的信息安全事故。
具备实际经营地址;租用公有云服务器、远程办公、无自建实体机房均可申报,无场地强制要求。
明确任命信息安全负责人、内审员,落实对应岗位职责。
二、体系运行核心硬性门槛(审核必查)
体系连续试运行≥3 个月整套信息安全管理体系(ISMS)落地执行完整周期,运行日志、表单不能事后集中补填。
完成两项内部核心评审
内部审核:全覆盖各部门、ISO27001 全部控制域,出具内审报告,所有不合格项整改闭环并留存证据;
管理评审:企业最高管理者主持召开,形成正式评审报告,确认体系适宜、充分、有效。
必备三份核心技术文件① 风险评估与风险处置报告;② SoA 适用性声明(逐条标注控制项适用 / 不适用,不适用项写明合理理由);③ 全套四级体系文件:ISMS 手册→程序文件→管理制度 / 作业指导书→配套运行表单。
三、现场落地管控达标条件(2022 版 14 个控制域落地)
1. 人力资源安全
全员(正式工、实习生、外包人员)签订保密协议;新员工入职背景核查、信息安全定期培训考核、离职人员系统权限注销均留存完整记录。
2. 资产管理
建立软硬件、云资源、业务数据、源代码、涉密纸质资料资产台账,完成数据分级分类,明确资产保管、报废销毁流程。
3. 访问权限管理
禁用共享账号、弱口令;管理员高权限账号双人管控;定期开展权限复核;VPN 远程外网接入执行审批登记。
4. 物理与机房安全
机房上锁、门禁登记、监控留存足够时长录像;机房防火、防潮、温湿度巡检常态化;涉密纸质文件上锁存放,废弃资料粉碎处理。
5. 运维、备份与业务连续性
定期漏洞扫描、系统补丁更新;业务数据本地 + 异地双重备份,必须执行过备份恢复演练并留存报告;制定宕机、勒索病毒、数据泄露应急预案,并组织演练。
6. 第三方供应商管控
云服务商、外包开发、运维、客服等合作方,除商务合同外单独签署信息安全协议,定期对供方安全能力评价。
7. 合规性适配
完成《网络安全法》《数据安全法》《个人信息保护法》合规自查;涉及用户隐私收集、跨境数据传输的业务配套对应合规材料。
8. 安全事件处置
建立信息安全事件上报、处置、复盘流程,有事件处置记录;无真实安全事件也要留存空白处置台账备用。
四、认证申报条件
选择具备 CNAS 认可资质的正规认证机构提交申请;
清晰、精准界定认证范围,不可笼统写 “全公司信息安全管理”;
全套申报材料加盖企业公章,电子版 + 纸质版齐全。
在线客服 