联系电话:19935869001
联系人:郭经理
微信号:19935869001
Q Q: 2492999604
邮 箱:2492999604@qq.com
联系地址:深圳市南山区粤海街道
一、辽宁 ISO27001 标准与基本门槛(先确认)
• 必须做:ISO/IEC 27001:2022(GB/T 22080-2022)
• 硬性条件:
1. 辽宁本地营业执照(或在辽有实际办公 / 机房)
2. 体系运行满 3 个月 + 完整记录
3. 完成风险评估、SoA、内审、管评
4. 近 12 个月无信息安全处罚、不在失信名单
5. 行业资质:互联网要ICP + 等保,金融 / 医疗要对应许可

二、办理全流程(辽宁企业标准 6–8 个月)
1)启动与诊断(2–4 周)
• 定范围:沈阳 / 大连 / 全省、哪些系统 / 数据纳入
• 成立小组:管理层 + IT + 业务 + 行政
• 差距分析:对照 27001:2022 找缺项
• 输出:范围说明、差距报告、实施计划
2)体系文件编写(4–6 周)
核心文件(缺一不可):
• 信息安全方针 & 目标(最高管理者签发)
• 信息安全管理手册
• 10 + 程序文件(访问控制、事件、备份、供应商等)
• 资产清单 → 风险评估报告 → 风险处置计划 → SoA(适用性声明)
• 法规清单(含网安法、数安法、个保法 + 辽宁本地要求)
3)体系试运行(至少 3 个月,关键)
• 全员培训(签到 + 课件 + 考核记录)
• 技术:防火墙、权限、日志、备份、漏洞管理
• 物理:机房门禁、监控、消防、UPS
• 记录:访问日志、操作日志、备份记录、培训记录、权限变更记录、事件记录
• 必须做:一次内审 + 一次管理评审(高层主持)
4)申请认证(选辽宁 / 东北正规机构)
• 选机构:CNAS 认可 + 国家认监委备案(如辽宁恒威、东北认证 NAC)
• 提交材料:
◦ 营业执照、组织架构、网络拓扑
◦ 全套体系文件(含 SoA、风险评估)
◦ 3 个月运行记录、内审报告、管评报告
5)两阶段审核(核心)
阶段一:文件审核(远程 / 现场)
• 查文件是否符合 27001:2022
• 重点看:风险评估→SoA→控制措施一致性
• 问题整改后,进入阶段二
阶段二:现场审核(辽宁企业一般 2–3 天)
• 访谈:管理层、IT、业务、普通员工
• 查现场:机房、办公区、涉密区
• 查记录:日志、备份、培训、权限、事件
• 开不符合项 → 企业限期闭环整改
6)发证与维持
• 整改验证通过 → 发ISO27001:2022 证书(3 年有效)
• 每年1 次监督审核(第 12、24 个月)
• 第 3 年再认证

三、辽宁企业办理重点注意事项(高频踩坑)
1)标准版本别错
• ❌ 不能做 2013 版;只能做 2022 版
2)运行时长卡死 3 个月
• 差 1 天都不能受理;记录必须连续、有时间戳、不能补
3)风险评估 + SoA 是生命线(辽宁审核最严)
• 资产清单:全、分类、责任人明确
• 风险评估:威胁 / 漏洞要真实,不抄模板
• SoA:不能全选不适用,删减必须写理由,且和风险对应
4)辽宁本地合规要点
• 数据合规:个人信息、跨境数据必须符合《个保法》《数安法》
• 多场所:沈阳 + 大连 + 异地办公室要全部纳入、列清单
• 外包 / 云:供应商安全评估 + 合同安全条款(辽宁审核必查)
5)现场审核高频必查
• 机房:门禁、监控、消防、UPS、温湿度
• 员工:普通员工要会说强密码、保密、事件上报
• 记录:日志、备份、培训、权限变更不能断
6)机构选择(辽宁建议)
• 优先辽宁 / 东北本地 CNAS 机构:沟通方便、差旅低、熟悉东北企业
• 警惕低价无资质机构:证书无效、后期乱收费
7)获证后别忘维持
• 每年监督审核,不做会暂停 / 撤销证书
• 体系持续运行:记录不断、风险每年更新、内审 / 管评每年至少 1 次
中正国际认证(深圳)有限公司-ISO体系认证机构
中正国际认证(深圳)有限公司是认监委批准的认证机构,包括ISO9001/ISO14001/ISO45001/ISO27001/ISO20000/ISO50001能源认证等第三方认证机构。
中正国际认证(深圳)有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/HSE石油行业管理体系认证等的第三方认证审核机构。
Copyright ©2024 中正国际认证(深圳)有限公司 备案号:晋ICP备2021000943号
中正国际认证全国服务热线:199-3586-9001
中正国际认证(深圳)有限公司
199-3586-9001