ISO27001信息安全管理体系认证_4步办理！

ISO27001信息安全管理体系认证_4步办理！即：①确定适用范围与建立ISMS方针；②开展风险评估与控制措施选择；③实施运行与内部审核；④接受认证机构现场审核并获发证书。全程约3–6个月，需覆盖资产识别、访问控制、加密管理、应急响应四大核心域。

一、确定适用范围与建立ISMS方针

①明确组织边界与信息资产清单

✅ 列出所有信息系统、服务器、数据库、办公终端等物理/逻辑资产

✅ 按部门/业务线划分管理责任，确保每项资产有唯一责任人

✅ 使用资产登记表模板统一编号、分类、定级（如“客户数据”为高敏感）

②识别法律法规与合同要求

✅ 梳理《网络安全法》《数据安全法》《个人信息保护法》强制条款

✅ 核查与客户/供应商签订的保密协议中关于数据存储、传输的具体约定

✅ 将合规要求直接映射到ISMS方针条款中，不可泛泛而谈

③制定信息安全方针文件

✅ 由最高管理者签发，包含目标、范围、承诺、评审机制四要素

✅ 明确“谁审批访问权限”“谁负责漏洞修复”等权责接口

✅ 方针必须可测量、可追溯，避免出现“加强管理”等模糊表述

④成立ISMS推行小组

✅ 至少含管理者代表、IT负责人、法务/合规岗、关键业务骨干

✅ 明确每月例会机制与问题升级路径

✅ 小组成员须签署保密承诺书并完成基础ISMS培训

二、开展风险评估与控制措施选择

①识别威胁与脆弱性

✅ 采用ISO/IEC 27005方法，梳理钓鱼邮件、勒索软件、权限滥用等典型威胁

✅ 扫描系统补丁状态、弱口令、未加密传输等脆弱点

✅ 同一资产至少匹配3类威胁场景，形成交叉验证

②评估风险等级

✅ 按“发生可能性×影响程度”二维矩阵打分（1–5分）

✅ 高风险项（≥12分）须在1个月内启动处置

✅ 风险值必须附原始依据（如日志截图、渗透报告编号）

③选择适用控制措施

✅ 优先引用ISO/IEC 27002:2022附录A的93条控制项

✅ 对“远程办公接入”必须启用多因素认证+设备合规检查

✅ 对“离职员工账号”，须设定自动冻结+权限回收双触发机制

④编制风险处置计划

✅ 每项高风险对应1个负责人、1个时间节点、1个验收标准

✅ 计划需经管理者代表签字批准

✅ 未关闭的风险必须说明暂缓理由并获书面批准

三、实施运行与内部审核

①落实文档化信息控制

✅ 所有程序文件标注版本号、发布日期、审批记录

✅ 外部标准（如国密SM4）须注明引用条款号

✅ 文件修改须走变更流程，禁止口头调整或手写涂改

②执行日常监控活动

✅ 每周检查防火墙策略、登录失败次数、异常外联行为

✅ 每月导出备份日志并异地归档，保存期≥6个月

✅ 监控结果须形成趋势图，连续2次超标需启动根因分析

③组织全员意识培训

✅ 新员工入职24小时内完成信息安全必修课

✅ 每季度开展钓鱼邮件模拟测试，通过率低于85%须复训

✅ 培训签到表+考核成绩单须归档备查，缺一不可

④开展内审与管理评审

✅ 内审员须无直接管辖被审部门，且持CCAA注册审核员资格

✅ 管理评审输入必须含客户投诉、风险再评估、改进措施闭环情况

✅ 评审输出须明确下年度ISMS目标及资源投入计划

四、接受认证机构现场审核并获发证书

Q1 审核前要准备哪些材料？

✅ ISMS手册、程序文件、记录表单（含近3个月完整版）

✅ 近一年风险评估报告、内审报告、管理评审报告

✅ 所有电子记录须能现场调阅原始时间戳和操作人

Q2 现场审核重点查什么？

✅ 查“说、写、做”是否一致（如制度写密码90天更换，但后台显示超期）

✅ 查关键岗位人员对职责的理解（随机提问非IT岗员工）

✅ 查整改证据是否真实有效，禁止补录、PS、倒签

Q3 证书有效期多久？如何监督？

✅ 有效期3年，每年接受1次监督审核

✅ 监督审核覆盖50%以上条款，重点关注上次不符合项

✅ 证书状态可在认监委官网实时查验，非纸质证书无效

Q4 能否同时申请多个体系认证？

✅ 可与ISO9001、ISO20000等联合审核，节省50%人日

✅ 但各体系目标、范围、风险必须独立描述、分别评审

✅ 不能用同一份记录应付不同体系要求

Q5 没通过审核怎么办？

✅ 主要不符合项须30日内提交纠正措施证据

✅ 认证机构将验证有效性，必要时安排现场复核

✅ 严重不符合将中止认证流程，6个月内不得重申

总结：ISO27001认证不是“填表拿证”，而是一次组织级的信息安全能力体检。从资产梳理到持续改进，每一步都需真实落地、留痕可溯。早启动、严执行、重闭环——这才是通过审核、守住数据生命线的关键。