联系电话:19935869001
联系人:郭经理
微信号:19935869001
Q Q: 2492999604
邮 箱:2492999604@qq.com
联系地址:深圳市南山区粤海街道
一、标准版本绝对不能错(必看)
• 必须做:ISO/IEC 27001:2022(GB/T 22080-2022)
• 2013 版2025-10-31 起彻底失效,现在只能发 2022 版
• 新版附录 A:93 个控制项,分四大域:组织、人员、实体、技术

二、体系运行:时间 + 记录最容易翻车
1. 必须满 3 个月有效运行(差 1 天都不收)
2. 记录绝对不能临时补:
◦ 访问日志、备份记录、培训记录、权限变更记录必须真实、连续、时间戳合理
◦ 审核员查 “逻辑一致性”,补记录一眼识破,直接影响发证
3. 内审 + 管评必须真做:
◦ 内审:全覆盖、不符合项闭环整改
◦ 管评:最高管理者主持、有报告 + 纪要 + 决议

三、风险评估 + SoA(生命线,审核最重)
1. 风险评估不能形式化(53% 不通过案例栽在这里)
◦ 资产清单:全资产、分类、责任人明确
◦ 威胁 / 漏洞:要贴合企业实际,不能全网抄模板
◦ 风险处置:高风险必须有具体措施 + 执行记录
2. SoA(适用性声明)要严谨:
◦ 93 项控制:不能全选 “不适用”
◦ 删减必须写清理由,并与风险评估对应
◦ 常见乱删:云安全、供应链、加密、数据泄露响应(新版重点)

四、文件与执行:别 “写一套、做一套”
1. 文件要适配实际:手册、程序文件不能照搬模板,要和业务、IT 架构一致
2. 员工访谈必过:
◦ 普通员工要会:强密码、保密义务、事件上报渠道
◦ 研发 / IT 要懂:权限管理、日志、备份、漏洞管理
3. 技术 / 物理安全要落地:
◦ 机房:门禁、监控、消防、UPS、温湿度(现场必查)
◦ 网络:防火墙、防病毒、补丁管理、操作日志留存≥6 个月
◦ 数据:定期备份 +恢复测试记录(光备份不测试 = 无效)

五、合规与范围(辽宁企业重点)
1. 法律合规清单:必须覆盖网安法、数安法、个保法+ 辽宁本地数据合规要求
2. 多场所:沈阳、大连、异地办公室全部纳入范围,列清地址与职能
3. 外包 / 云服务:
◦ 供应商必须做安全评估
◦ 合同要有安全条款、数据保护、泄露责任
4. 行业资质:
◦ 互联网:ICP + 等保 2.0 报告
◦ 金融 / 医疗:对应许可 + 数据合规备案

六、认证机构选择(避坑核心)
1. 必须选:CNAS 认可 + 国家认监委(CNCA)备案的机构
2. 警惕:低价无资质、“包过”、快速拿证(证书无效,后期无监督)
3. 辽宁推荐:本地 CNAS 机构(沟通方便、差旅低、熟悉东北企业)

七、获证后维持(很多企业忽略)
• 证书3 年有效,但每年必须做:
◦ 第 12 个月:第一次监督审核
◦ 第 24 个月:第二次监督审核
◦ 第 36 个月:再认证
• 不做监督审核 → 证书暂停 / 撤销
• 体系要持续更新:风险每年更新、内审 / 管评每年至少 1 次

八、一句话总结(最精华)
2022 版、运行满 3 月、记录真实不补、风险评估要真、SoA 不乱删、文件执行一致、机房 / 网络安全到位、合规齐全、选 CNAS 机构、每年监督审核。
中正国际认证(深圳)有限公司-ISO体系认证机构
中正国际认证(深圳)有限公司是认监委批准的认证机构,包括ISO9001/ISO14001/ISO45001/ISO27001/ISO20000/ISO50001能源认证等第三方认证机构。
中正国际认证(深圳)有限公司是认监委批准的三体系认证机构,主要包括ISO9001/ISO14001/ISO45001/HSE石油行业管理体系认证等的第三方认证审核机构。
Copyright ©2024 中正国际认证(深圳)有限公司 备案号:晋ICP备2021000943号
中正国际认证全国服务热线:199-3586-9001
中正国际认证(深圳)有限公司
199-3586-9001