吉林 GB/T50430 工程建设施工企业质量管理体系认证流程

　　吉林企业办理双认证的核心路径：前期准备→体系构建→试运行(≥3 个月)→内审 + 管理评审→认证申请→两阶段审核→整改获证→维护 + 补贴申请，全程约3-5 个月，联合认证比单独认证节省时间与费用，适配吉林汽车制造、医药研发、跨境贸易等特色行业需求。

　　一、前期准备阶段(1-2 周，明确方向与团队)

　　1. 核心条件确认(硬性门槛)

　　条件类型具体要求吉林企业特殊提示

　　法律资质有效营业执照，成立≥3 个月，经营范围含 IT 服务 / 数据处理等吉林跨境企业需额外提供海关备案证明

　　体系基础具备 IT 服务与信息安全管理基础，无重大安全事故汽车企业需提供供应链信息安全合规证明

　　人员要求可任命管理者代表，组建跨部门项目组建议 IT 总监 + 服务部门负责人共同牵头

　　合规证明网络安全等级保护备案证明(三级及以上优先)吉林政务项目投标需此证明，提前办理

　　2. 项目启动与团队组建

　　成立双体系认证项目组：覆盖 IT、法务、行政、业务部门，明确职责分工

　　任命管理者代表：建议副总 / IT 总监级，对体系有效性负责

　　制定项目计划：明确关键节点(如文件完成、试运行开始、内审时间)，预留缓冲期

　　3. 现状评估与差距分析(2 周内完成)

　　对照 ISO27001和 ISO20000开展差距分析

　　重点识别吉林企业特色风险：冬季机房低温故障、工业控制系统漏洞、跨境数据传输合规风险

　　输出《差距分析报告》，明确整改优先级和资源需求

　　二、体系构建阶段(4-8 周，文件 + 流程双落地)

　　1. 双体系整合设计(核心关键)

　　文件整合：合并《管理手册》《程序文件》，共享 16 个重叠流程(如变更管理、事件管理)，避免 “两张皮”

　　流程融合：ISO20000 的服务流程嵌入 ISO27001 的安全控制措施(如服务交付 + 数据加密、访问控制 + 权限审批)

　　吉林特色适配：

　　汽车企业：增加《车联网数据安全管理程序》《工业控制系统防护流程》

　　医药企业：制定《临床试验数据保密规范》《研发数据分级管控流程》

　　跨境企业：完善《跨境数据传输审批流程》，符合东北亚贸易合规要求

　　2. 核心文件编制(覆盖双标准要求)

　　文件类型双认证核心内容吉林企业定制要点

　　管理手册双体系方针、目标、组织架构、范围融入 “数字吉林建设”“东北亚跨境数据安全” 定位

　　风险评估报告资产识别、威胁分析、风险处置计划重点评估冬季机房、工业控制系统、跨境数据风险

　　适用性声明 (SoA)双标准控制措施适用性说明突出工业数据安全、跨境合规的控制措施

　　程序文件事件、变更、问题、访问控制等 20 + 流程汽车企业补充《车联网服务流程》，跨境企业增加《数据出境审批程序》

　　作业指导书机房运维、权限管理、服务交付等操作规范制定《冬季机房温度管控作业指导书》，应对吉林低温气候

　　3. 全员培训与意识宣贯

　　开展双体系标准培训：定制化课程，重点讲解工业数据安全、跨境合规

　　重点岗位(系统管理员、数据专员、客服)专项培训，考核合格上岗

　　制作《员工信息安全与服务规范手册》，张贴于办公区，强化执行意识

　　三、试运行阶段(≥3 个月，证据链完整收集)

　　1. 体系落地执行

　　严格按文件执行流程，保留完整记录：

　　ISO20000：工单处理记录、服务级别协议 (SLA) 达成率、变更审批单、问题解决报告

　　ISO27001：访问权限审批记录、安全事件处理日志、备份恢复测试报告、漏洞扫描记录

　　吉林企业重点记录：冬季机房巡检记录、工业控制系统漏洞修复记录、跨境数据传输审批单

　　2. 内部审核(试运行 2 个月后开展)

　　组建内审组(可外聘吉林本地审核专家)，制定《双体系内审计划》

　　开展全覆盖内审：检查文件符合性与执行有效性，重点核查双体系融合点

　　输出《内审报告》，对不符合项制定整改计划，明确责任人与完成期限

　　3. 管理评审(试运行 3 个月后，最高管理者主持)

　　评审内容：体系运行有效性、目标达成情况、风险变化、改进需求

　　重点关注：吉林市场需求变化、政策更新(如数据出境新规)对双体系的影响

　　输出《管理评审报告》，批准改进计划，为认证审核做好准备

　　四、认证申请阶段

　　提交申请材料(双认证合并提交)

　　材料类别具体清单吉林企业额外要求

　　基础材料认证申请书、营业执照、等保备案证明跨境企业需提供海关备案证明

　　体系文件管理手册、风险评估报告、SoA、程序文件突出工业数据安全、跨境合规的管控措施

　　运行证据内审报告、管理评审报告、3 个月运行记录冬季机房运维记录、工业控制系统安全日志

　　人员证明管理者代表任命书、内审员培训证书吉林本地培训证书优先认可

　　五、认证审核阶段(3-4 周，两阶段审核高效通过)

　　1. 第一阶段审核(文件审核，1-2 天)

　　审核内容：体系文件完整性、与标准符合性、范围界定合理性

　　吉林企业准备重点：展示双体系融合设计，突出工业数据安全、跨境合规管控措施

　　输出《第一阶段审核报告》，整改文件缺陷，确认第二阶段审核计划

　　2. 第二阶段审核(现场审核，2-3 天)

　　审核内容：现场核查服务交付、数据安全管控、员工执行情况，通过访谈 + 记录抽查验证有效性

　　吉林企业重点准备：

　　汽车企业：车联网服务流程演示、工业控制系统安全防护措施

　　医药企业：临床试验数据加密存储、访问权限管控现场验证

　　跨境企业：跨境数据传输审批流程、用户信息保护措施

　　输出《第二阶段审核报告》，列出不符合项(轻微 / 严重)

　　3. 不符合项整改(关键环节)

　　不符合项类型整改要求吉林企业整改提示

　　轻微不符合1 周内提交书面整改证据(如修订流程文件、补充记录)汽车企业需同步更新供应链合规文件

　　严重不符合制定整改计划(原因分析→措施→验证)，必要时现场复查跨境企业整改需符合《数据出境安全评估办法》要求

　　六、获证与维护阶段(长期，证书有效期 3 年)

　　1. 认证决定与证书颁发

　　整改通过后 1-2 周内获得双认证证书，可在官网查询

　　证书信息：企业名称、认证范围、有效期(3 年)、认证机构签章

　　2. 年度监督审核(每年 1 次)

　　联合审核可合并进行重点：检查体系持续有效性、风险变化应对措施、吉林政策合规性(如数据安全新规)

　　3. 再认证(证书到期前 3 个月申请)

　　全面复审，流程同新认证，可简化文件审核环节

　　建议提前 6 个月启动准备，避免证书过期影响招投标

　　七、吉林双认证补贴申请(获证后 6 个月内，最高覆盖 70% 成本)