如何进行ISO27001认证？

Question

卓尔丫丫 · Answer

第一阶段:现状调研 从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。 第二阶段:风险评估 对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。 第三阶段:管理策划 根据贵公司对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。 第四阶段:体系实施 ISMS建立起来（体系iso三体系认证正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。 第五阶段:认证咨询审核 经过一定时间运行，ISMS达到一个稳定的状

王曹鑫 · Answer

1 现场诊断； 
2 确定信息安全管理体系的方针、目标； 
3 明确信息安全管理体系的范围，根据组织的特性、地理位置、资产和技术来确定界限； 
4 对管理层进行信息安全管理体系基本知识培训； 
5 信息安全体系内部审核员培训； 
6 建立信息安全管理组织机构； 
7 实施信息资产评估和分类，识别资产所受到的威胁、薄弱环节和对组织的影响，并确定风险程度； 
8 根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险，确定风险控制手段； 
9 制定信息安全管理手册和各类必要的控制程序 ； 
10 制定适用性声明； 
11 制定商业可持续性发展计划； 
12 审核iso三体系认证、发布实施； 
13 体系运行，有效的实施选定的控制目标和控制方式； 
14 内部审核； 
15 外部第一阶段认证咨询审核； 
16 外部第二阶段认证咨询审核； 
17 颁发证书； 
18 体系持续运行/年度监督审核； 
19 复评审核（证书三年有效）。

piglettt · Answer

一、  初次获取证书费用：
    1、申请费：1000元；
    2、审定与申报费（含证书费）：2000元；
    3、审核费：按实际所需人·日收取，每审核人/日收费标准为6000元；
    二、保持证书费用：
    1、年金（含标志使用费）：2000元，每年度交纳一次；
    2、监督审核费：按实际所需人·日收取，每审核人/日收费标准为6000元；
    三、证书三年有效期满，申请再认证咨询费用：
    1、审定与申报费（含证书费）：2000元；
    2、年金：2000元；
    3、审核费：按实际所需人·日收取，每审核人/日收费标准为6000元；
    四、几个情况说明：
    1、审核现场分散在不同地点，每多一处增加2人·日费用，最多加收10人·日费用；
    2、随不同行业、业务的风险状况进行费用调整；
    3、扩大认证咨询范围时，对要求单独进行审核的，扩大认证咨询范围部分的审核费按照实际核定的人·日数加收，申请费免收；对要求在年度监督审核时进行的，扩大的部分可比照人日表标准的20～50%收取，原监督审核费仍按合同执行，申请费免收。
    4、由于受审核方原因，需要增加审核时间，费用由受审核方支付；
    5、审核员在进行审核时发生的食、宿、交通费用按实际支出由申请认证咨询方支付。
    6、需证书副本，需另收取证书费用100元（中英文各一张）；
    五、收费方式：
    1、申请费应在认证咨询合同签订之日起30日内由甲方支付给乙方。
    2、初次审核费的50%应于认证咨询合同签订之日起30日内由甲方支付给乙方，剩余部分的审核费应于现场审核结束前付清。
    3、审定与申报费（含证书费）应在相应证书批准之日起15日内，由甲方支付给乙方，乙方采取费到发证。
    4、年金（含标志使用费）：在三年认证咨询证书有效期内应交三次年金，初次认证咨询时，年金应与审核费一起支付。第三年的年金应在本认证咨询有效期内付清或在再认证咨询证书批准之日起15日内付清，乙方采取费到发证。
    5、监督审核费应于每次监督审核的45日之前一次支付。

1柿谖sV · Answer

一、项目前期准备阶段
      ① 理解管理层意图，渗透管理思路；
     ② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段；
     ③ 组织建设，包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员，明确其职责。
     二、现场调研诊断
     目的：了解组织的现状，寻找与ISO27001标准的差距
     内容：实施调研诊断
     三、人员培训
     目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力
     内容：动员会、ISO27001标准培训、信息安全管理体系iso三体系认证编写培训、培训是落实要求的重要手段
     四、整合体系iso三体系认证架iso认证
     目的：策划覆盖各个业务流程的系统的iso三体系认证化程序。
     内容：根据现场诊断的结果，梳理所有管理活动流程，根据ISO27001标准要求形成信息安全管理体系iso三体系认证清单，
     五、确定信息安全方针和目标
     目的：明确信息安全方针和目标，为信息安全管理体系提供导向。
     内容：根据业务要求及组织实际情况，制定安全方针和目标，
     六、建立管理组织机构
     目的：建立完善的内控组织架构，为整合体系提供支持。
     内容：良好的组织架构是确保各项管理活动落实的根本.
    七、信息安全风险评估
     目的：实施风险评估，识别不可接受风险，明确管理目标；
     内容：风险评估是整个风险管理的基础，本阶段将根据前期策划的风险评估方法
      八、ISMS体系iso三体系认证编写
     目的：建立iso三体系认证化的信息安全管理体系。
     内容：根据iso三体系认证体系策划的结果，编写信息安全管理体系iso三体系认证，
     九、ISMS管理体系记录的iso认证
     目的：iso认证科学的信息安全管理体系记录，保证各管理流程的可控性和可追溯性。
     内容：根据各个管理流程和iso三体系认证对管理过程的记录要求，iso认证记录表格格式
    十、ISMS管理体系iso三体系认证审核
     目的：确保ISMS信息安全管理体系iso三体系认证的系统性、有效性和效率。
     内容：对信息安全管理体系iso三体系认证进行评审
    十一、ISMS体系iso三体系认证发布实施
     目的：发布ISMS信息安全管理体系iso三体系认证，落实管理要求。
     内容：由较高管理者组织发布管理iso三体系认证，并提出管理要求
      十二、组织全员进行iso三体系认证学习
     目的：确保信息安全管理体系iso三体系认证要求在各个层级、各个岗位均得到有效的沟通和理解。
     内容：培训是提升信息安全意识，明确信息安全要求的有效途径，组织全员参与到体系的运行维护中，发挥每一个员工的重要作用
       十三、业务连续性管理
     目的：确保在任何情况下，核心业务均可保持提供连续提供服务的能力。
     内容：根据标准要求，对重大的灾难性事件发生时所引发的业务中断进行应急响应和灾难恢复的iso认证
        十四、审核培训及内审
     目的：实施内部审核，发现信息安全管理体系运行中的不符合，寻找改进的机会。
     内容：根据项目计划实施内部审核
       十五、管理体系有效性测量
     目的：根据量化指标，测量信息安全管理体系的有效性。
     内容：制定测量的方法论，根据 ISO27004 指南的内容，进行信息安全管理体系有效性测量。
      十六、管理评审
     目的：将体系运行过程中的成效和问题向管理层汇报，由较高管理者提出改进的要求和资源的支持。
     内容：根据管理评审流程的要求实施管理评审，
      十七、认证咨询机构正式审核
     目的：由第三方权威机构审核信息安全管理体系的有效性。
     内容：由认证咨询机构对建立的信息安全管理体系进行进一步的审核验证，发现改进机会

婷婷 · Answer

ISO27001认证咨询的步骤，
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和iso三体系认证化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。
步骤/方法
1按照ISO27001（BS7799－2：2005）建立框架。
2认证咨询机构评估费用和正式审核时间。
3向认证咨询机构递交正式申请
4（可选项）认证咨询机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。
5（可选项）认证咨询机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。
6认证咨询机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证咨询机构通常将现场审核并给出建议。
7如果能顺利完成审核，在确定清楚认证咨询范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。
注意事项
ISO27001咨询-ISMS运行过程.注意事项-有针对性地宣贯信息安全管理体系iso三体系认证。体系iso三体系认证的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行，就必须认真学习、贯彻信息安全管理体系iso三体系认证。
ISO27001咨询-ISMS运行过程注意事项加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。所有与信息安全管理体系活动有关的人员都应按体系iso三体系认证要求，做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。信息安全体系iso三体系认证属于组织的信息资产，包含有关组织的全部安全管理等敏感信息，组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制，未经认证不得随意复制或借阅。
ISO27001咨询-ISMS运行过程.注意事项-将体系试运行中暴露出的问题，如体系iso认证不周、项目不全等进行协调、改进。信息安全管理体系的运行涉及组织体系范围的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。
ISO27001咨询-ISMS运行过程注意事项-实践是检验真理的唯一标准。 体系iso三体系认证通过试运行必然会出现一些问题，全体员工应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措施。

老萌 · Answer

第一阶段：现状调研
从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。
第二阶段：风险评估
对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。
第三阶段：管理策划
根据贵公司对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
第四阶段：体系实施
ISMS建立起来（体系iso三体系认证正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。
第五阶段：认证咨询审核
经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证咨询。
如有需要可以参考我们已认证咨询的资料

https://pan.baidu/s/1Z2Fh2MFF4jfbIgWqTsMc-A 提取码: jrmr

啊喵 · Answer

ISO认证咨询可以说已经扭曲成了一种商业行为，只要你们公司的钱给到位了，基本上一定是会通过的，但是如果认证咨询机构没选好，会受很多气，多花冤枉钱的。
我就把自己公司做iso认证咨询的切身体会，遇到的坑，里边的潜规则说一说吧，希望对您有所帮助。
我们公司之前做了ISO9001的认证咨询，后来又做了ISO9001的年审和ISO27001的认证咨询，这三次认证咨询从头到尾都是我跟进的，我就把做ISO认证咨询的一些体会分享一下，希望对其他要做相关认证咨询的朋友有所帮助，以免增加不必要的损失。

事情的经过我就略过不说了，只根据自己的切身体会谈谈ISO认证咨询的潜规则吧。其实ISO认证咨询也好，其他认证咨询也好（我还做过好几种认证咨询，就不一一说了），本质上已经演变成了一种商业行为——披着认证咨询外衣的金钱交易。认证咨询公司的内部分工跟其他公司差不多，也分为类似的业务部、技术部和售后服务部（跟单）。具体的流程是业务部找到要做认证咨询的企业后，售后部跟进确认审核细节（时间和人员等），再由审核员上门审核，最后发证。
那么，这里边都有哪些坑呢？
首先，是关于审核员，有两点我想曝光一下：一是索要红包，帮我们公司认证咨询的机构叫上海挪亚确定是收红包的，其他公司的审核员听说也收红包，每个审核员每次至少几百块的红包，这似乎成了他们这一行不成文的规定。他们索要红包的暗号就是挑刺，到处挑刺——飞机座位小了、酒iso认证公司公寓差了、吃得不好了、公司问题多了……总之，从出现在你面前开始，审核员就会不断挑刺，直到你把红包递给他们，他们的嘴才会闭上。二是审核员的态度（仅针对我打过交道的某些审核员，不代表全部）——一幅高高在上的样子，十分傲慢，非常爱显摆，经常把自己接受过多高多高的接待挂在嘴边，可以说丝毫没有服务意识。而且要全程包吃包住，报销所有交通费用。所以，建议要做认证咨询的朋友尽量找本地的认证咨询机构，而且审核员要找本地的，这样可以节省审核员的住宿很交通费用。
其次，是关于售后，其他公司的售后不知道怎么样，但该公司的售后实在是让人恶习，就像狗皮膏药一样，粘着你不放。离下一次年审还有半年的时候，他们就开始不停地给你打电话、发邮件，而且态度依然是高高在上，完全是命令的口吻，丝毫不征求他们客户的意见——XXX，请于XX月XX日之前把年审费用打到XX账户，见下图：

如果你跟他们说不想做了，他们就缠着你不放，换着法逼你跟他们做认证咨询，什么如果你不做就把证书寄回来，说是怕我们拿过期的证书做之类的，还说如果不寄回去就给你发iso认证老师函。一听到这帮披着认证咨询外衣的强盗的话，我就禁不住来气，也没答理他们。结果，没过多久，他们真就寄了封iso认证老师函过来，见下图：

这家机构真是让我感到恶心透了，我都忍不住想骂人了：TMD！我们公司花钱做了认证咨询，证书本来就是我们的，你们有啥资格收回去，还诬陷我们做。为了跟单的提成毫无底限，真TMD不要脸！
所以，我也只能是“吃一堑，长一智”了，以后选择认证咨询机构，包括做生意找合作伙伴，消费申报也一样，一定要提前了解清楚他们在业界的口碑，不能再起跟这样的狗皮膏药打交道了。否则，花了钱，陪吃陪喝，还惹上一堆麻烦，甩都甩不掉，净让人闹心。
为了让自己少生烦、工作的更加轻松愉快恼，我们一定要擦亮眼睛，用心识别出那些让人闹心的人或机构，远离傲慢自大、纠缠不休的家伙，多与诚实谦虚的人合作，踏踏实实地发展壮大。

天敌 · Answer

ISO27001认证的步骤，信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。步骤/方法1按照ISO27001（BS7799－2：2005）建立框架。2认证机构评估费用和正式审核时间。3向认证机构递交正式申请4（可选项）认证机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。5（可选项）认证机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。6认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议。7如果能顺利完成审核，在确定清楚认证范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。注意事项ISO27001咨询-ISMS运行过程.注意事项-有针对性地宣贯信息安全管理体系文件。体系文件的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行，就必须认真学习、贯彻信息安全管理体系文件。ISO27001咨询-ISMS运行过程注意事项加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。所有与信息安全管理体系活动有关的人员都应按体系文件要求，做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。信息安全体系文件属于组织的信息资产，包含有关组织的全部安全管理等敏感信息，组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制，未经授权不得随意复制或借阅。ISO27001咨询-ISMS运行过程.注意事项-将体系试运行中暴露出的问题，如体系设计不周、项目不全等进行协调、改进。信息安全管理体系的运行涉及组织体系范围的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。ISO27001咨询-ISMS运行过程注意事项-实践是检验真理的唯一标准。 体系文件通过试运行必然会出现一些问题，全体员工应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措施。