体系认证一站式服务专业机构出证,证书真实有效
ISO27001:2022 完整标准认证全流程(8 大步骤,含周期、审核节点、交付物)
整体全周期常规2–3.5 个月,硬性卡点:体系试运行满 3 个月。
步骤 1:前期对接 & 确定认证方案
沟通企业业务、组织架构、办公地点、是否多场所、云服务器 / 外包情况;
精准敲定认证范围(不能笼统写 “公司全部信息安全”);
选定带 CNAS 认可资质的认证机构,签订咨询 + 认证合同;
任命信息安全负责人、指定内审员。
输出:认证合同、认证范围确认单、组织架构图、职责任命文件。
步骤 2:现状调研 + 信息安全风险评估(核心技术环节)
梳理全部信息资产:硬件、软件、云资源、源码、客户隐私数据、涉密纸质文件;
资产保密性、完整性、可用性赋值,识别威胁与脆弱点;
风险分级,制定风险处置方案(降低 / 规避 / 转移 / 接受);
编制SoA 适用性声明(ISO27001 标志性文件,逐条勾选控制项适用 / 不适用并说明理由)。
输出:资产清单、风险评估报告、风险处置计划、SoA 适用性声明。
步骤 3:搭建全套 ISMS 体系文件(四层文件架构)
1 层:ISMS 信息安全管理手册(总纲领)2 层:程序文件(访问控制、供应商、应急、备份、内审、管理评审等)3 层:管理制度、作业指导书(机房、密码、远程接入、保密管理细则)4 层:配套空白运行表单(权限申请、巡检、演练、培训记录等)
文件不能直接套用通用模板,必须贴合自身业务修改。
步骤 4:体系落地试运行(硬性≥连续 3 个月,不可后补日期)
把制度真正落地执行,逐月留存真实运行记录,重点做这些:
全员信息安全培训、考核、签到;员工 / 外包 / 实习生全部签订保密协议;
权限审批、定期权限复核、离职账号注销、机房巡检、漏洞扫描、补丁更新;
数据定期备份,并做备份恢复演练(审核必查);
供应商安全协议签署、供方安全评价;
应急预案编制并组织应急演练;
按月归集所有表单台账,分散填写,禁止一次性批量补资料。
步骤 5:内部审核 + 管理评审(两道内部闭环)
内部内审内审员全覆盖所有部门、14 个控制域审核,开出不符合项,整改闭环,出具正式内审报告。
管理评审企业最高管理者亲自主持会议,评审体系运行适宜性、资源配置、安全目标达成情况,输出管理评审报告并签字。两项材料是提交认证的必备前置资料。
步骤 6:向认证机构提交正式申请(一阶段文审)
提交盖章申报资料:认证申请书、营业执照、手册、SoA、风险评估报告、内审 + 管理评审报告、试运行时长说明等。认证机构一阶段审核:线上文审,核查文件完整性、逻辑合理性。
无问题:通知安排二阶段现场审核;
存在文件缺陷:限期修改重提交。
步骤 7:二阶段现场审核(上门审核)
审核老师现场核查两大块:
文件层面:体系文件、技术报告齐全合规;
现场落地:抽查机房、服务器后台权限、备份日志、演练记录、保密协议、权限注销截图、监控记录等原始证据。
审核会开出:
轻微不符合项:限期 1–4 周整改提交佐证即可闭环;
严重不符合项:需重新整改复核,会拉长取证周期。
步骤 8:整改闭环、审核定论、发证 + 后续维护
不符合项全部整改闭环,审核组提交推荐发证意见;
认证机构技术委员会终审通过;
下发电子 + 纸质证书,证书可在国家认监委平台全网查询。
取证后持续维护流程(3 年有效期)
第 1 年、第 2 年:各做 1 次年度监督审核(年审),不年审证书暂停失效;
第 3 年到期前:启动再认证审核,换证续期;
企业迁址、更名、业务重大改版、新增分支机构,主动向认证机构报备变更。
简易周期汇总参考
调研 + 文件编写:7–15 天
体系试运行:固定 90 天(硬性)
内审 + 管理评审:3–7 天
一阶段文审排期:5–15 天
二阶段现场审核 + 整改:7–30 天合计常规总周期:3.5~4.5 个月
在线客服 