厦门文鹤企业管理有限公司
福建ISO9001认证 , 厦门ISO9001认证
申请福建福州厦门泉州ISO27001信息安全管理体系认证审核需要注意的问题

申请福建福州厦门泉州ISO27001信息安全管理体系认证审核需要注意的问题

1 审核前

1.1 注意事项

找个一个评审机构交钱(相信机构大家能找到),签合同,签合同的时候需要注意几点:

 体系类型、覆盖范围、人数

体系类型这个问题不大,基本都不会错;覆盖范围是需要慎重的,因为证书上面会写清楚公司所通过认真的范围,如果不包含自己的业务那认证就白做了,当时写错了还要改合同,后面搞的很麻烦,希望大家不要重现我的坑;人数要写真实的,人数会关系到这个认证的费用,人数越多费用越贵。

1.2 需要递交的电子档文件

1.2.1 电子文档

组织简介、组织机构图、人员情况、申请认证产品的生产/加工/服务工艺流程图;

管理手册和程序文件;

关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);

信息安全管理体系方针和目标;

支持信息安全管理体系的规程和控制措施;

风险评估报告;(含风险评估方法的描述);

残余风险报告

风险处置计划

适用性声明;

适用的法律法规的标准的清单。

申请书附表四、五(见申请书第6、7页)(到时候认证公司会给你文档的,如果有需求我也可以分享)

2 审核中

所有文档提交后,等待外审的到来,外审:分为一审和二审,外审的时候认证公司会联系负责人并约定好检查时间到现场检查。如果项目含了外审老师的差旅费,后面就不需要公司承担,如果不含的话,需要报销审核老师的差旅费(建议签合同的时候把这部分的钱包含了,免得后面太麻烦)。

3、 审核后

审核完成后需要对上面的不符合项进行整改,整个整改需要做的有:

1、 整改前后截图

2、 打印纸质文档,并需要手写填写

3、 扫描彩色版发给审核组长确认

44 总结

通过跟审核老师沟通,发现如果一个企业有做好安全的决心,并且也再去做,领导足够重视那样一般来说肯定可以过,但是如果审核过程中出现说的但是没做,那就是原则性问题了,就会不过。ISO27001信息安全管理体系认证总体原则就是:说我所做,做我所说。说到必须要做,做的好不好是改进的地方。

所以审核不要怕有不符合项,不符合项是一定会有的。除了原则性问题外,有2种情况也会导致不过:

1、 不符合项太多

2、 区域性不符合,严重不符合,举例子:抽查防病毒安装情况,一个部门抽查都没装就是区域性;一个办公环境一层都没装,而且包含很多部门,这个就是严重不符合

审核主要是自己有做,心里有底,照顾好审核老师的心情,中午一起吃个饭,这样后面就好说话了,过的几率就会大很多。

祝大家ISO27001外审都通过。


展开全文
相关产品
拨打电话 QQ咨询 发送询价