ISO27001认证注意事项
注意事项
整个ISO27001从发布文件到最终评估最少4个月
首先修改信息安全手册：公司组织架构：10人以下
然后修改适应性声明文档；ISO27001标准的附录A很重要，适应性声明是根据附录A制定的，评估时根据适应性声明作为评估范围
重点是管理评审和内审，至少1次，内审后至少1周之后进行管理评审
“风险评估”每个部门必须看，重要资产清单、风险识别、评估、缓解措施很重要，针对资产风险制定的安全措施的实施记录要全
0101-信息安全风险识别与评价管理程序 ：每个部门必须看，关键是资产、威胁、脆弱性赋值、风险等级评价
?
重要的文档
信息安全手册
重要的是确定组织架构、总共的人员数量，每个部门的人员数量
信息安全角色和职责
确定授权的管理者代表
适应性声明
与ISO27001标准的附录A条款的对应表，确定哪些条款适用、哪些条款不适用
不适用的条款需要写明不适应的理由
0101-信息安全风险识别与评价管理程序
信息资产识别与评价
对资产价值、威胁、脆弱性的评分
“风险评估”相关的记录文档
重要的活动
内审
确定至少2个内审员（属于不同的部门），对公司所有部门的ISO27001遵循情况进行内审
至少内审1次，正式评估之前一个半月左右进行内审即可
管理评审
确定1个管理者代表
内审后一周做管理评审
重要的资产管理
服务器
办公区域，门禁管理
软件是否是正版的，正版软件需要提供正版 的证明，不是正版的软件需要提供使用授权书
?
文档修改要求
发布时间为 年 月 日
修改公司名称、人员姓名、时间
?
ISO27001体系建立与实施过程
年月日ISO27001开始启动
ISO27001培训（公司所有员工）
培训签到表
年 月 日体系正式发布
资产识别与风险评估
资产识别
风险评估
风险评估报告
风险处置计划（处置开始时间、结束时间）
风险处置计划检查
残余风险报告
实施记录文件
年 月 日内审
年 月 日管理评审
?
现场审核注意事项
灭火设备要经过检查记录
个人办公桌面整理整洁
网线\电线\电缆等理顺
所有有形资产必须贴上标签
所有电子文档准备完整，可供评估师审核
手册,SOA,程序文件打印出来签字
内审员、管理者代表协助评估师评估（负责提供证据，解答评估师的问题）