ISO27001认证基本要求 GSV验厂注意的重要问题点

ISO27001认证的基本要求如下：

一、法律与合规基础

A.合法注册与运营

1.企业需持有工商行政管理部门颁发的《企业法人营业执照》《生产许可证》等有效文件（中国企业），或相关机构的登记注册证明（外国企业）。

2.近一年内未受到主管部门行政处罚，且未被列入严重违法失信名单。

B.资质与许可

1.涉及特殊行业（如通信、金融、电力等）的企业，需提交行业主管或监管部门同意的证明文件。

2.涉及国家秘密的企业，需提供保密行政管理部门同意的文件。

二、信息安全管理体系（ISMS）要求

A.体系建立与运行

1.按ISO/IEC 27001:2013标准建立信息安全管理体系，并有效运行3个月以上。

2.体系文件需覆盖信息安全方针、目标、程序、记录等，确保可追溯性和可操作性。

B.风险评估与管理

1.完成至少一次全面的信息安全风险评估，识别关键资产、威胁、脆弱性及潜在影响。

2.制定风险处置计划，明确风险接受准则和应对措施（如规避、降低、转移或接受风险）。

C.内部审核与管理评审

1.完成至少一次内部审核，验证体系符合性和有效性。

2.完成至少一次管理评审，由高层管理者评估体系持续适宜性、充分性和有效性。

三、文件与记录要求

A.核心文件清单

1.法律地位证明：营业执照、税务登记证、组织机构代码证等复印件（加盖公章）。

2.体系文件：信息安全方针、目标、适用性声明、风险评估报告、程序文件、操作规程等。

3.记录文件：内部审核报告、管理评审记录、员工培训记录、风险处置记录等。

B.特殊行业附加文件

1.政府信息技术外包服务商：需提供工业和信息化主管部门同意的通知文件（若认证范围涉及政府信息）。

2.多场所企业：需提供场所清单、人员分布、认证范围说明等。

四、人员与资源要求

A.人员能力

1.关键岗位人员（如信息安全管理员、风险评估人员）需具备相应资质或培训记录。

2.全体员工需接受信息安全意识培训，确保理解并执行体系要求。

B.资源保障：提供必要的资源（如资金、设备、技术）支持体系运行，包括安全防护工具、监控系统等。

五、持续改进要求

A.监控与测量

1.建立信息安全事件监控机制，定期收集和分析数据，评估体系绩效。

2.通过内部审核、管理评审、客户反馈等渠道识别改进机会。

B.纠正与预防措施

1.对不符合项采取纠正措施，并验证其有效性。

2.分析潜在问题根源，制定预防措施避免重复发生。

六、审核流程与配合

A.审核阶段

1.第一阶段审核：文件审查，评估体系文件符合性及现场准备情况。

2.第二阶段审核：现场审核，验证体系实际运行情况，包括访谈、记录检查、设施观察等。

B.企业配合义务

1.提供审核所需文件、记录和访问权限。

2.确保审核期间关键人员在场，配合完成访谈和演示。