認(rèn)證流程:
體系建立與完善:企業(yè)依據(jù) ISO/IEC 27001 標(biāo)準(zhǔn)要求,建立并不斷完善信息安全管理體系,包括制定信息安全方針、識別風(fēng)險、制定控制措施、編寫體系文件等。
認(rèn)證申請:向認(rèn)證機(jī)構(gòu)提出認(rèn)證申請,提交相關(guān)資料,如營業(yè)執(zhí)照、組織簡介、業(yè)務(wù)流程、體系文件等。
文件審核:認(rèn)證機(jī)構(gòu)對企業(yè)提交的文件進(jìn)行審核,確認(rèn)其是否符合 ISO/IEC 27001 標(biāo)準(zhǔn)的要求。
現(xiàn)場審核:認(rèn)證機(jī)構(gòu)安排審核員到企業(yè)現(xiàn)場進(jìn)行審核,通過查閱文件、訪談人員、查看現(xiàn)場等方式,驗(yàn)證信息安全管理體系的實(shí)際運(yùn)行情況。
問題整改:如果現(xiàn)場審核中發(fā)現(xiàn)不符合項(xiàng),企業(yè)需要在規(guī)定的時間內(nèi)進(jìn)行整改,并向認(rèn)證機(jī)構(gòu)提交整改證據(jù)。
獲得證書:審核通過且整改合格后,認(rèn)證機(jī)構(gòu)頒發(fā) ISO27001 認(rèn)證證書。
認(rèn)證資料:
組織法律證明文件,如營業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章)、組織機(jī)構(gòu)代碼證書復(fù)印件、稅務(wù)登記證復(fù)印件(蓋公章)。
申請認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件,如體系文件發(fā)布控制表、有時間標(biāo)記的記錄等復(fù)印件。
申請組織的簡介,包括組織簡介(1000 字左右)、主要業(yè)務(wù)流程、組織機(jī)構(gòu)圖或職能表述文件。
申請組織的體系文件,包含但不限于信息安全管理體系 ISMS 方針文件、風(fēng)險評估程序、適用性聲明、風(fēng)險處理程序、文件控制程序、記錄控制程序、內(nèi)部審核程序、管理評審程序等。
申請組織體系文件與 ISO/IEC 27001 要求的文件對照說明。
申請組織內(nèi)部審核和管理評審的證明資料。
申請組織記錄保密性或敏感性聲明。
認(rèn)證機(jī)構(gòu)要求申請組織提交的其他補(bǔ)充資料。
