山西ISO27001信息安全认证流程⭐18734139001

ISO27001:2022 认证全流程注意事项（分阶段避坑）

一、前期规划 & 认证范围划定（最易返工）

1. 范围严禁笼统描述

禁止只写 “公司整体信息安全管理”，必须绑定实际业务。

✅范例：软件定制开发、SaaS 云平台运营及配套办公信息安全管理

❌错误：全公司信息安全

范围一经录入证书，3 年内年审、再认证不能随意扩容；多分厂、异地网点提前确定是否合并取证，分开单独取证成本翻倍。

2. 云服务、外包业务务必标注清楚

租用公有云服务器、客服外包、外包开发、代运维，要在范围说明里列明，审核会单独核验第三方安全协议，后期补充修改非常麻烦。

3. 机构选择红线

必须选带CNAS 认可资质的发证机构，证书能在国家认监委官网核验；无 CNAS 标识的证书招投标、政企项目基本无效。

警惕超低一口价套餐：只代写文件、不落地辅导，现场审核大批量开出不符合项，二次加价整改。

二、体系文件编制注意要点

1. 标准版本锁定ISO27001:2022，不要再用 2013 旧版文件，文审直接驳回。

2. 通用模板不能直接照搬套用

研发、生产工厂、电商、物业公司的数据资产、安全风险天差地别，照搬模板会判定体系不适宜，需要重新修订。

3. 核心文件缺一不可

• ISMS 手册

• 全套程序文件 + 管理制度 + 作业表单

• 风险评估 & 风险处置报告

• SoA 适用性声明（核心标志性文件）

SoA 不能随便勾选，不适用的控制条款必须写明真实、合理的豁免理由，空泛理由审核不予认可。

4. 文件层级完整：手册→程序文件→制度规范→运行表单，四级架构缺一不可。

三、试运行阶段硬性红线（一票否决高发区）

1. 硬性要求连续完整试运行满 90 天，时间不能倒填、不能事后集中批量补所有记录，日期逻辑冲突会直接判定造假，认证终止。

2. 运行记录按月分散留存：权限变更记录、机房巡检、补丁更新、备份日志、培训签到表按月分开填写，不要最后一次性补一整年台账。

3. 两项内部审核动作不能省略、不能代签

◦ 内审：覆盖所有部门 + 14 个控制域，不合格项必须完整整改闭环，留存整改证据；

◦ 管理评审：必须企业最高管理者主持并亲笔签字，行政、IT 负责人无权代签。

四、现场二阶段审核高频扣分 & 必查事项

1. 人员安全板块

1）正式员工、实习生、外包、临时驻场人员全部单独签订保密协议，只签正式员工会扣分；

2）离职人员 OA、服务器、业务系统、VPN 权限注销截图、审批单留存完整；

3）年度信息安全培训要有课件、签到表、考核成绩、现场照片，缺一不全。

2. 访问权限（审核重灾区）

• 禁止共用管理员账号、弱密码（123456、公司简称、手机号）；

• 超级运维账号执行双人保管、定期权限复核；

• 远程 VPN 外网接入内网必须走审批登记，禁止无限制对外开放服务器端口。

3. 数据备份 & 业务连续性（极易开出严重不符合项）

只设置自动备份远远不够，必须做过备份恢复实战演练，留存演练方案、过程记录、测试结果报告。无演练直接判定体系失效。

4. 第三方供应商管控

云厂商、外包开发、运维服务商，不能只签普通商务合同，必须额外签署独立《信息安全责任补充协议》，约定数据保密、泄露追责条款，同时每年做一次供方安全评价。

5. 物理与办公安全

机房独立上锁、门禁出入登记、监控录像留存≥90 天；涉密纸质合同、客户资料上锁档案柜；作废纸质敏感资料粉碎销毁，不得直接丢弃。

6. 应急演练

勒索病毒、系统宕机、数据泄露等应急预案成文落地，至少组织 1 次实战演练，全套签到、照片、演练总结、优化整改材料齐全。

五、合规层面注意事项

体系内容必须对齐《网络安全法》《数据安全法》《个人信息保护法》；

若业务收集身份证、手机号等用户隐私数据，要留存用户授权同意凭证、数据脱敏存储记录；涉及跨境数据传输，提前备好合规备案材料。

六、小微企业专属提醒

1. 无员工数量、营收规模门槛，十几人小微企业均可正常取证；

2. 不用强制自建实体机房，阿里云、腾讯云等公有云服务商后台安全配置截图、云服务协议即可作为审核依据；

3. 无需专职网络安全工程师，IT 或行政人员兼职维护体系表单即可。

七、取证后证书维护关键注意点（多数企业踩坑）

1. 证书有效期 3 年，发证第 1、2 个自然年度必须完成年度监督审核（年审），逾期未年审，证书暂停使用直至撤销；

2. 公司更名、注册地址搬迁、主营业务重大调整、核心业务系统重构，务必主动向认证机构报备变更，否则证书失效；

3. 新增业务线、新增外包合作方，同步更新安全制度、资产清单，年审会抽查最新运行资料。