申请福建福州厦门泉州ISO27001信息安全管理体系认证审核需要注意的问题
1 审核前
1.1 注意事项
找个一个评审机构交钱(相信机构大家能找到),签合同,签合同的时候需要注意几点:
体系类型、覆盖范围、人数
体系类型这个问题不大,基本都不会错;覆盖范围是需要慎重的,因为证书上面会写清楚公司所通过认真的范围,如果不包含自己的业务那认证就白做了,当时写错了还要改合同,后面搞的很麻烦,希望大家不要重现我的坑;人数要写真实的,人数会关系到这个认证的费用,人数越多费用越贵。
1.2 需要递交的电子档文件
1.2.1 电子文档
组织简介、组织机构图、人员情况、申请认证产品的生产/加工/服务工艺流程图;
管理手册和程序文件;
关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);
信息安全管理体系方针和目标;
支持信息安全管理体系的规程和控制措施;
风险评估报告;(含风险评估方法的描述);
残余风险报告
风险处置计划
适用性声明;
适用的法律法规的标准的清单。
申请书附表四、五(见申请书第6、7页)(到时候认证公司会给你文档的,如果有需求我也可以分享)
2 审核中
所有文档提交后,等待外审的到来,外审:分为一审和二审,外审的时候认证公司会联系负责人并约定好检查时间到现场检查。如果项目含了外审老师的差旅费,后面就不需要公司承担,如果不含的话,需要报销审核老师的差旅费(建议签合同的时候把这部分的钱包含了,免得后面太麻烦)。
3、 审核后
审核完成后需要对上面的不符合项进行整改,整个整改需要做的有:
1、 整改前后截图
2、 打印纸质文档,并需要手写填写
3、 扫描彩色版发给审核组长确认
44 总结
通过跟审核老师沟通,发现如果一个企业有做好安全的决心,并且也再去做,领导足够重视那样一般来说肯定可以过,但是如果审核过程中出现说的但是没做,那就是原则性问题了,就会不过。ISO27001信息安全管理体系认证总体原则就是:说我所做,做我所说。说到必须要做,做的好不好是改进的地方。
所以审核不要怕有不符合项,不符合项是一定会有的。除了原则性问题外,有2种情况也会导致不过:
1、 不符合项太多
2、 区域性不符合,严重不符合,举例子:抽查防病毒安装情况,一个部门抽查都没装就是区域性;一个办公环境一层都没装,而且包含很多部门,这个就是严重不符合
审核主要是自己有做,心里有底,照顾好审核老师的心情,中午一起吃个饭,这样后面就好说话了,过的几率就会大很多。
祝大家ISO27001外审都通过。