贯标集团教您一步步通过ISO27001认证审核

1 审核前

1.1 注意事项

找个一个评审机构交钱（相信机构大家能找到），签合同，签合同的时候需要注意几点：

Ø 体系类型、覆盖范围、人数

体系类型这个问题不大，基本都不会错；覆盖范围是需要慎重的，因为Zui后的证书上面会写清楚公司所通过认真的范围，如果不包含自己的业务那认证就白做了，当时写错了还要改合同，后面搞的很麻烦，希望大家不要重现我的坑；人数要写真实的，人数会关系到Zui后这个认证的费用，人数越多费用越贵。

附一个ITSMS的可以受理的范围：

Ø 填写申请书《管理体系认证申请书》

公司名字和地址要真实，包含所有的分公司，其中有临时办公场所也需要写，分公司多的话检查的时候是需要抽查到不同的分公司审核的（说是抽查其实甲方可以指定）。如果只是一个地址认证就写对应的地址就好。

1.2 需要递交的电子档文件

1.2.1 电子文档

组织简介、组织机构图、人员情况、申请认证产品的生产/加工/服务工艺流程图；

管理手册和程序文件；

关于认证活动的限制条件(如出于安全和/或保密等原因，存在时)；

信息安全管理体系方针和目标；

支持信息安全管理体系的规程和控制措施；

风险评估报告；（含风险评估方法的描述）；

残余风险报告

风险处置计划

适用性声明；

适用的法律法规的标准的清单。

申请书附表四、五（见申请书第6、7页）（到时候认证公司会给你文档的，如果有需求我也可以分享）

1.2.2  所需原件：

合同，一式两份，签名盖章；

申请书，一式一份，签名盖章；

信息安全及信息技术服务管理体系保密协议，一式两份，签名盖章；

临时场所清单；加盖企业公章；（不存在临时场所企业不需提供）

营业执照、相关资质证书（Zui新年检副本）一式一份，加盖企业公章。

2 审核中

所有文档提交后，等待外审的到来，外审：分为一审和二审，外审的时候认证公司会联系负责人并约定好检查时间到现场检查。如果项目含了外审老师的差旅费，后面就不需要公司承担，如果不含的话，需要报销审核老师的差旅费（建议签合同的时候把这部分的钱包含了，免得后面太麻烦）。

在通知书里会包含审核的内容和计划，在审核老师来之前做好准备。

2.1 一审

一审安排：

主要是审核制度体系文件是否满足标准，公司有没按照体系制度的要求去执行，是否有运行记录的产出，公司的总体情况以及看一下公司的办公环境。一审主要是针对信息安全部进行的，以了解情况为主，一般来说有问题可以当场整改。

一般一审只需要一天，审核人员为：审核组长。审核完成会出一份审核结果。如果不通过一般都在一审不通过，不需要二审了。

2.2 二审

二审安排：

二审建议首末次会议zuihao有重要的领导参加，表示对安全的重视（至于为什么后面解释）。

二审需要的时间会较长，我们那时候是2个审核员审核4天，具体的时间需求会根据所申报的系统和人数去判定。系统多时间长审核的也很详细，审核的套路不是像等保对着一个一个标准制度过。我们的那2个审核老师是把对应的系统负责人叫过来大家聊天，如：你负责什么，平时正常工作什么做的，忙不忙周末要加班吗。如果心里有底气的不怕被套路，坐等没那么好的建议还是多培训一下，让主要负责人熟悉一下安全部所写的体系。

审核完成后现场给出不符合项进行整改，反正不管做的多好都有整改项的。

3 审核后

审核完成后需要对上面的不符合项进行整改，整个整改需要做的有：

1、 整改前后截图

2、 打印纸质文档，并需要手写填写

3、 扫描彩色版发给审核组长确认

Zui后就是把所有的资料扫描盖章快递到指定地址。

4

通过跟审核老师沟通，发现如果一个企业有做好安全的决心，并且也再去做，领导足够重视那样一般来说肯定可以过，如果审核过程中出现说的没做，那就是原则性问题了，就会ISO27001总体原则就是：说我所做，做我所说。说到必须要做，做的好不好是改进的地方。

审核不要怕有不符合项，不符合项是一定会有的。除了原则性问题外，有2种情况也会导致

1、 不符合项太多

2、区域性不符合，严重不符合，举例子：抽查防病毒安装情况，一个部门抽查都没装就是区域性；一个办公环境一层都没装，包含很多部门，这个就是严重不符合

审核主要是自己有做，心里有底，Zui后照顾好审核老师的心情，中午一起吃个饭，这样后面就好说话了，过的几率就会大很多。

Zui后祝大家ISO27001外审都通过。