联系电话:19935869001
联系人:郭经理
微信号:19935869001
Q Q: 2492999604
邮 箱:2492999604@qq.com
联系地址:深圳市南山区粤海街道
于老师:187-3485-9001
ISO27001 认证 关键注意事项一、认证前必须搞清楚的 4 件事1. 认证范围一定要写准◦ 包含:场所、业务、信息系统、人员◦ 云服务、外包、分公司、驻场人员都要写进去◦ 范围写小了,投标用不了;写大了,审核更严2. 体系必须真实运行 ≥3 个月◦ 不能只做文件,必须有连续 3 个月日志、记录、操作痕迹◦ 内审、管理评审必须在运行后做3. 风险评估不能瞎编◦ 必须先做资产清单 → 脆弱性 → 威胁 → 风险评估◦ 高风险必须有控制措施 + 整改记录◦ 审核老师一眼就能看出是不是造假4. SoA(适用性声明)必须真实◦ 适用 / 不适用每条都要写理由◦ 不适用的控制项不能直接全删二、审核老师最严、最容易挂的点1. 账号权限管理(必查)◦ 权限要最小权限◦ 定期权限评审(季度 / 半年)◦ 离职、转岗必须立即回收权限→ 这里一抓一个不符合2. 日志与审计◦ 服务器、网络设备、系统必须留日志◦ 日志要定期审计,不能只开不看◦ 不能日志为空、时间错乱3. 备份与恢复◦ 必须有备份策略◦ 必须做恢复测试,并留记录◦ 只备份不测试 = 不符合4. 物理安全 & 机房◦ 门禁、监控、访客登记◦ 服务器不能随便插 U 盘、乱连网◦ 无人管理的 WiFi、弱密码必被开不符合5. 培训与意识◦ 不能只签到,要有培训内容 + 考核◦ 新员工必须做安全入职培训6. 供应商 / 外包安全◦ 外包、云厂商、开发公司都要纳入◦ 要有安全评估、合同条款、定期审查三、文件与记录千万不要犯的错1. 制度一大堆,现场一条不执行2. 记录时间逻辑矛盾(同一天改几十次密码)3. 补记录痕迹太重(字体统一、签字一样)4. 只有制度,没有表单、没有证据5. 内审走过场,没有不符合项、没有整改四、一阶段、二阶段重点区别1. 一阶段(文审)◦ 查文件齐不齐、风险评估真不真、范围对不对◦ 文件不过关,直接不让进二阶段2. 二阶段(现场审核)◦ 查真实运行◦ 抽人问、抽系统查、抽记录看◦ 现场与文件不一致 = 直接不符合五、严重不符合项(碰了直接不通过)• 无风险评估或完全造假• 核心系统无权限管理、弱口令泛滥• 无备份、无应急、无日志• 数据泄露、网络攻击等安全事故隐瞒• 资料明显伪造六、获证后一定要注意• 每年监督审核必须做• 业务、系统、地址变更要报机构• 安全事件必须内部调查 + 整改• 证书不能乱用、不超范围宣传七、最简单的过审口诀范围准、风险真、记录实、权限严、日志全、备份测、培训做、内审真
中正国际认证(深圳)有限公司-ISO体系认证机构
中正国际认证(深圳)有限公司是认监委批准的认证机构,包括ISO9001/ISO14001/ISO45001/ISO27001/ISO20000/ISO50001能源认证等第三方认证机构。
中正国际认证(深圳)有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/HSE石油行业管理体系认证等的第三方认证审核机构。
Copyright ©2024 中正国际认证(深圳)有限公司 备案号:晋ICP备2021000943号
中正国际认证全国服务热线:199-3586-9001
中正国际认证(深圳)有限公司
199-3586-9001