联系电话:19935869001
联系人:郭经理
微信号:19935869001
Q Q: 2492999604
邮 箱:2492999604@qq.com
联系地址:深圳市南山区粤海街道
认证范围一定要写准范围写太大容易审不过,写太小招投标用不了。常见写法:信息安全管理体系覆盖 XX 公司的软件开发 / IT 运维 / 数据中心 / 办公信息化等业务活动。
必须运行满 3 个月不足 3 个月认证机构一律不受理,不要试图造假。
信息资产要真实盘点服务器、网络设备、业务系统、客户数据、合同、财务数据都要列,不能只写几台电脑。
风险评估不能走过场要识别:漏洞、黑客、内部泄密、人为误操作、自然灾害等,并对应有控制措施,否则审核直接开严重不符合。
必须有《适用性声明 SoA》这是 ISO27001 特有文件,说明哪些控制项采用、哪些不采用及原因,没有基本无法通过。
制度不能照搬模板密码策略、机房管理、权限管理、外包管理、移动介质管理等要贴合企业实际。
运行记录必须完整审核会重点查:
账号开通 / 变更 / 注销记录
日志审计记录
备份与恢复记录
安全培训记录
漏洞扫描、补丁更新记录
应急演练记录
杜绝 “两张皮”文件写得再好,现场一问三不知、没有记录,直接不通过。
权限管理混乱离职人员账号未删除、权限过大、共享账号,是最常见问题。
无日志审计或不看日志服务器、防火墙、应用系统日志要留存并定期检查。
备份只备不恢复审核会问:是否做过恢复测试?没有就是不符合。
涉密资料随意摆放合同、身份证信息、客户数据未加密、未归档。
员工不清楚信息安全要求随机抽查员工,答不上来基本会开不符合。
近 1 年无重大信息安全事故出现数据泄露、被攻击造成重大影响,基本无法认证。
有等保的企业要同步合规互联网、金融、政企客户一般会要求等保与 ISO27001 配套。
不使用虚假资质、虚假记录一旦被发现,会被列入黑名单,证书撤销。
每年必须做监督审核不做会导致证书暂停、撤销。
体系要持续运行不是拿证就结束,每年要有内审、管理评审。
业务变化要及时更新范围新增系统、分公司、业务要纳入体系。
ISO27001 审核核心就看三点:文件齐全、记录真实、风险可控做到这三点,基本一次过证。
中正国际认证(深圳)有限公司-ISO体系认证机构
中正国际认证(深圳)有限公司是认监委批准的认证机构,包括ISO9001/ISO14001/ISO45001/ISO27001/ISO20000/ISO50001能源认证等第三方认证机构。
中正国际认证(深圳)有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/HSE石油行业管理体系认证等的第三方认证审核机构。
Copyright ©2024 中正国际认证(深圳)有限公司 备案号:晋ICP备2021000943号
中正国际认证全国服务热线:199-3586-9001
中正国际认证(深圳)有限公司
199-3586-9001