联系电话:19935869001
联系人:郭经理
微信号:19935869001
Q Q: 2492999604
邮 箱:2492999604@qq.com
联系地址:天津市北辰区双街镇经济开发区
一、认证核心概览
ISO27001是国际标准化组织 (ISO) 与国际电工委员会 (IEC) 联合发布的信息安全管理体系标准,为企业提供系统化的信息安全管理框架,确保信息资产的保密性、完整性和可用性。
版新变化:强化供应链安全、增加变更管理要求、完善风险管理框架,更适应数字化转型需求。
二、认证核心内容
管理体系架构
核心框架:采用 PDCA 循环 (策划 - 实施 - 检查 - 改进),构建文件化管理体系
一级文件:信息安全方针 (最高管理者签署)
二级文件:程序文件 (风险评估、访问控制等)
三级文件:作业指导书和记录表单
4 大控制域
控制域主要内容江苏企业关注点
信息安全策略明确方针、目标和责任与企业战略融合,高管层承诺
风险评估与处置资产识别、风险分析、控制措施数据分类分级,特别是客户敏感信息
访问控制权限管理、身份认证、审计跟踪制造业 ERP 系统、研发数据保护
通信与操作管理网络安全、系统维护、恶意软件防护工业互联网安全,供应链信息保护
信息系统获取开发安全、配置管理、漏洞管理软件研发企业的 DevSecOps 融合
业务连续性管理灾难恢复、备份策略针对江苏台风、暴雨等极端天气的应急预案
三、认证实施流程
1️前期准备
立项启动:最高管理层批准,任命管理者代表
范围界定:确定纳入认证的业务边界 (如总部 + 分公司或特定产品线)
团队组建:成立跨部门项目组 (5-7 人),包括 IT、法务、行政等
现状评估:对照标准进行差距分析,制定改进计划
2️体系建立与运行
文件编写:定制化编写体系文件 (非简单照搬模板)
风险评估:开展全面资产识别 (包括硬件、软件、数据、人员等)
控制措施实施:针对高风险项制定管控方案 (如加密、访问限制)
全员培训:信息安全意识 + 体系文件培训
试运行:体系有效运行至少 3 个月,并保存完整记录
3️认证审核
认证机构选择:确认具有认可资质
提交申请:准备营业执照、体系文件、运行记录等
文件审核:认证机构审查文件符合性,提出修改意见
现场审核(2-5 天):
首次会议→现场巡查 (设施、系统、记录)→员工访谈→末次会议 (通报结果)
整改验证:对不符合项限期整改 (通常 15-30 天)
获证:审核通过后获得3 年有效期证书
4️维护与监督 (长期)
年度监督:每年进行一次监督审核 (费用约为初审 30-50%),首次必须在获证后12 个月内完成
再认证:证书到期前 3 个月启动,审核范围覆盖全部体系 (费用约为初审 70-80%)
变更管理:组织架构、业务范围变更时及时更新体系并报备
中祥标准认证有限公司-ISO体系认证机构
中祥标准认证有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/售后服务认证等的第三方认证机构。
中祥标准认证(深圳)有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/HSE石油行业管理体系认证等的第三方认证审核机构。
Copyright ©2025 中祥标准认证有限公司 备案号:晋ICP备2021000943号-2
中祥认证全国服务热线:199-3586-9001
中祥标准认证有限公司
19935869001