申請(qǐng)福建福州廈門(mén)泉州ISO27001信息安全管理體系認(rèn)證審核需要注意的問(wèn)題

1 審核前

1.1 注意事項(xiàng)

找個(gè)一個(gè)評(píng)審機(jī)構(gòu)交錢(qián)（相信機(jī)構(gòu)大家能找到），簽合同，簽合同的時(shí)候需要注意幾點(diǎn)：

體系類型、覆蓋范圍、人數(shù)

體系類型這個(gè)問(wèn)題不大，基本都不會(huì)錯(cuò)；覆蓋范圍是需要慎重的，因?yàn)樽詈蟮淖C書(shū)上面會(huì)寫(xiě)清楚公司所通過(guò)認(rèn)真的范圍，如果不包含自己的業(yè)務(wù)那認(rèn)證就白做了，當(dāng)時(shí)寫(xiě)錯(cuò)了還要改合同，后面搞的很麻煩，希望大家不要重現(xiàn)我的坑；人數(shù)要寫(xiě)真實(shí)的，人數(shù)會(huì)關(guān)系到最后這個(gè)認(rèn)證的費(fèi)用，人數(shù)越多費(fèi)用越貴。

1.2 需要遞交的電子檔文件

1.2.1 電子文檔

組織簡(jiǎn)介、組織機(jī)構(gòu)圖、人員情況、申請(qǐng)認(rèn)證產(chǎn)品的生產(chǎn)/加工/服務(wù)工藝流程圖；

管理手冊(cè)和程序文件；

關(guān)于認(rèn)證活動(dòng)的限制條件(如出于安全和/或保密等原因，存在時(shí))；

信息安全管理體系方針和目標(biāo)；

支持信息安全管理體系的規(guī)程和控制措施；

風(fēng)險(xiǎn)評(píng)估報(bào)告；（含風(fēng)險(xiǎn)評(píng)估方法的描述）；

殘余風(fēng)險(xiǎn)報(bào)告

風(fēng)險(xiǎn)處置計(jì)劃

適用性聲明；

適用的法律法規(guī)的標(biāo)準(zhǔn)的清單。

申請(qǐng)書(shū)附表四、五（見(jiàn)申請(qǐng)書(shū)第6、7頁(yè)）（到時(shí)候認(rèn)證公司會(huì)給你文檔的，如果有需求我也可以分享）

2 審核中

所有文檔提交后，等待外審的到來(lái)，外審：分為一審和二審，外審的時(shí)候認(rèn)證公司會(huì)聯(lián)系負(fù)責(zé)人并約定好檢查時(shí)間到現(xiàn)場(chǎng)檢查。如果項(xiàng)目含了外審老師的差旅費(fèi)，后面就不需要公司承擔(dān)，如果不含的話，需要報(bào)銷(xiāo)審核老師的差旅費(fèi)（建議簽合同的時(shí)候把這部分的錢(qián)包含了，免得后面太麻煩）。

3、 審核后

審核完成后需要對(duì)上面的不符合項(xiàng)進(jìn)行整改，整個(gè)整改需要做的有：

1、 整改前后截圖

2、 打印紙質(zhì)文檔，并需要手寫(xiě)填寫(xiě)

3、 掃描彩色版發(fā)給審核組長(zhǎng)確認(rèn)

44 總結(jié)

通過(guò)跟審核老師溝通，發(fā)現(xiàn)如果一個(gè)企業(yè)有做好安全的決心，并且也再去做，領(lǐng)導(dǎo)足夠重視那樣一般來(lái)說(shuō)肯定可以過(guò)，但是如果審核過(guò)程中出現(xiàn)說(shuō)的但是沒(méi)做，那就是原則性問(wèn)題了，就會(huì)不過(guò)。ISO27001信息安全管理體系認(rèn)證總體原則就是：說(shuō)我所做，做我所說(shuō)。說(shuō)到必須要做，做的好不好是改進(jìn)的地方。

所以審核不要怕有不符合項(xiàng)，不符合項(xiàng)是一定會(huì)有的。除了原則性問(wèn)題外，有2種情況也會(huì)導(dǎo)致不過(guò)：

1、 不符合項(xiàng)太多

2、 區(qū)域性不符合，嚴(yán)重不符合，舉例子：抽查防病毒安裝情況，一個(gè)部門(mén)抽查都沒(méi)裝就是區(qū)域性；一個(gè)辦公環(huán)境一層都沒(méi)裝，而且包含很多部門(mén)，這個(gè)就是嚴(yán)重不符合

審核主要是自己有做，心里有底，最后照顧好審核老師的心情，中午一起吃個(gè)飯，這樣后面就好說(shuō)話了，過(guò)的幾率就會(huì)大很多。

最后祝大家ISO27001外審都通過(guò)。