体系认证一站式服务专业机构出证,证书真实有效
一、基础资质材料(必须盖公章)
1. 营业执照副本复印件(多证合一,经营范围与认证范围一致)。
2. 组织架构图、企业简介、业务流程图。
3. 认证范围说明(明确:场所、业务、系统、数据边界)。
4. 场地证明(租赁合同 / 产权证明,多场所需全部列出)。
5. 行业资质(如 ICP、等保证书、系统集成、涉密资质等,有则提供)。
6. 无重大处罚声明(近 12 个月无网信 / 公安 / 市监信息安全处罚)。

二、ISMS 体系文件(审核核心,必须完整)
1)顶层文件
• 信息安全方针(最高管理者批准)。
• 信息安全目标(可量化、可考核)。
• 管理手册(范围、职责、体系结构、风险与控制概述)。
2)核心程序文件(必备)
• 文件与记录控制程序
• 风险评估与风险处置程序
• 内部审核程序
• 管理评审程序
• 纠正 / 预防措施程序
• 访问控制程序
• 信息安全事件管理程序
• 业务连续性(备份与恢复)程序
• 物理与环境安全程序
• 供应商 / 外包安全管理程序
3)核心风险文件(缺一不可)
• 信息资产清单(硬件、软件、数据、人员、服务,含密级 / 所有者)。
• 风险评估报告(威胁、脆弱性、风险值、风险等级)。
• 风险处置计划(规避 / 降低 / 转移 / 接受,明确控制措施)。
• 适用性声明 SoA(逐条说明 ISO27001:2022 附录 A 控制措施的采纳 / 删减理由)。
4)支持文件
• 岗位说明书(含信息安全职责)。
• 法律法规清单(网安法、数安法、个保法等)+ 合规性评价报告。
• 作业指导书(机房管理、密码策略、备份恢复、安全编码、应急响应等)。

三、体系运行记录(至少 3 个月,真实可追溯)
1)培训与意识
• 信息安全培训计划、签到表、课件、考核记录。
• 员工安全承诺书、保密协议。
2)日常安全运行
• 账号权限:申请、变更、注销记录(含离职销户)。
• 设备:资产台账、巡检、维保、报废记录。
• 数据:备份日志、恢复测试报告、加密 / 脱敏记录。
• 物理安全:机房出入登记、门禁日志、环境监控(温湿度 / 消防)记录。
• 漏洞管理:扫描报告、整改闭环记录。
3)事件与应急
• 安全事件报告、处置记录、复盘改进。
• 应急预案(总体 + 专项:勒索病毒、数据泄露、机房故障等)。
• 应急演练:方案、签到、过程记录、总结报告、改进措施。
4)供应商与外包
• 供应商安全评估记录、安全协议(含保密、审计、责任条款)。
• 外包开发:代码审计、安全测试、交付物安全检查记录。

四、审核必备(必须完成,缺一不可)
1. 内部审核:
◦ 内审计划、检查表、不符合项报告、整改记录、内审报告。
◦ 覆盖:所有部门、所有 ISO27001 条款、所有关键业务流程。
2. 管理评审:
◦ 评审计划、会议通知、输入资料(内审结果、风险、绩效、合规、投诉、改进)。
◦ 管理评审报告(最高管理者批准,输出改进项与资源需求)。

五、现场审核辅助材料
• 机房 / 办公区 / 涉密区域平面图、现场照片。
• 监控录像留存说明、权限管理制度。
• 多场所清单(地址、业务、负责人)。

一句话自查(全有才够申报)
✅ 执照 + 架构 + 范围✅ 手册 + 程序文件 + SoA✅ 资产清单 + 风险评估 + 处置计划✅ 运行满 3 个月(培训、权限、备份、事件、演练记录)✅ 内审 + 管理评审闭环
在线客服 