認證流程:
體系建立與完善:企業依據 ISO/IEC 27001 標準要求,建立并不斷完善信息安全管理體系,包括制定信息安全方針、識別風險、制定控制措施、編寫體系文件等。
認證申請:向認證機構提出認證申請,提交相關資料,如營業執照、組織簡介、業務流程、體系文件等。
文件審核:認證機構對企業提交的文件進行審核,確認其是否符合 ISO/IEC 27001 標準的要求。
現場審核:認證機構安排審核員到企業現場進行審核,通過查閱文件、訪談人員、查看現場等方式,驗證信息安全管理體系的實際運行情況。
問題整改:如果現場審核中發現不符合項,企業需要在規定的時間內進行整改,并向認證機構提交整改證據。
獲得證書:審核通過且整改合格后,認證機構頒發 ISO27001 認證證書。
認證資料:
組織法律證明文件,如營業執照及年檢證明復印件(蓋公章)、組織機構代碼證書復印件、稅務登記證復印件(蓋公章)。
申請認證組織的信息安全管理體系有效運行的證明文件,如體系文件發布控制表、有時間標記的記錄等復印件。
申請組織的簡介,包括組織簡介(1000 字左右)、主要業務流程、組織機構圖或職能表述文件。
申請組織的體系文件,包含但不限于信息安全管理體系 ISMS 方針文件、風險評估程序、適用性聲明、風險處理程序、文件控制程序、記錄控制程序、內部審核程序、管理評審程序等。
申請組織體系文件與 ISO/IEC 27001 要求的文件對照說明。
申請組織內部審核和管理評審的證明資料。
申請組織記錄保密性或敏感性聲明。
認證機構要求申請組織提交的其他補充資料。
