ISO27001认证审核流程及注意事项 ISO27001认证监督审核每年都要做吗

　　一、是的，监督审核每年都要做

　　ISO27001 证书有效期虽为 3 年，但并非“一证管三年”。在有效期内，企业必须接受每年 1 次的监督审核(Surveillance Audit)，通常安排在获证后第 12 个月和第 24 个月。若未按时参加或整改不通过，证书会被暂停甚至撤销。

　　此外，在第 3 年证书到期前，还需通过再认证审核(全面审核)来换发新证书，开启下一个 3 年周期。

　　二、ISO27001 认证审核全流程

　　整个认证周期(3年)的审核流程主要分为初次认证、监督审核和再认证三个阶段：

　　1. 前期准备(企业内部完成)

　　体系搭建：依据 ISO/IEC 27001 标准建立 ISMS(信息安全管理体系)，包括资产识别、风险评估、制定方针目标等。

　　运行时长：体系需实际运行 ≥3 个月。

　　内审与管评：必须至少完成 1 次完整的内部审核(Internal Audit)和 1 次管理评审(Management Review)，并有书面记录。

　　2. 初次认证审核(两阶段)

　　第一阶段(文件审核)：审核组检查体系文件(手册、程序、SoA 适用性声明等)是否符合标准，确认企业是否准备好进入二阶段。通常在现场或线上进行，耗时 1-3 天。

　　第二阶段(现场审核)：核心环节。审核组到现场通过访谈、查阅记录、观察操作，验证 ISMS 是否有效实施和保持。若有不符合项，需在规定时间内(通常 90 天)完成整改。

　　颁证：整改关闭后，机构颁发证书(有效期 3 年)。

　　3. 年度监督审核(第 1、2 年)

　　比初次审核简短，主要核查体系运行的持续符合性和有效性，重点关注过往不符合项的整改、内审/管评执行情况、风险评估更新等。三年内覆盖所有标准条款。

　　4. 再认证审核(第 3 年)

　　证书到期前 3-6 个月启动，审核强度接近初次认证，全面复核体系。通过后换发新证。

　　三、关键注意事项(避坑指南)

　　切勿“补材料”：体系运行记录(如访问日志、培训记录、备份记录)必须是连续的、真实的，不能为了审核临时突击补造，审核员很容易识别时间戳逻辑矛盾。

　　关注标准版本：目前新版本为 ISO/IEC 27001:2022(国内等同 GB/T 22080-2025)，新增了云安全、供应链安全等控制项，初次认证和再认证都需按新版执行。

　　员工意识与执行：审核时会随机访谈普通员工。如果文件写了“强密码策略”，但员工实际使用的密码很简单，或不知道信息安全基本职责，会被开具不符合项。

　　SoA(适用性声明)：需严谨论证为何选择某些控制项、为何排除某些控制项，不能照搬模板或仅写“不适用”而无理由。

　　选择正规机构：务必选择经 CNAS 认可且在认监委(CNCA)备案的机构，否则证书在国内可能不被承认。