点击图片查看原图
武老师15383615001
ISO27001 认证的材料清单:一次备齐不返工
企业在申请 ISO27001 认证时,需准备充分的证明材料,确保审核顺利进行。以下是核心材料清单,企业可根据自身情况调整补充:
(一)基础资质材料
- 企业营业执照、组织机构代码证(如已 “三证合一”,仅需提供营业执照);
- 企业组织架构图、部门职责说明书;
- 企业经营场所产权证明或租赁合同;
- 行业相关的资质证书(如涉及金融、医疗等特殊行业,需提供相应的行业许可证书)。
(二)体系文件材料
- 信息安全管理手册(明确信息安全方针、目标、组织架构、体系范围等);
- 程序文件(涵盖 ISO27001 标准要求的 11 个领域的控制程序);
- 作业指导书、管理制度、操作规程等三级文件;
- 信息安全方针发布文件、员工知晓记录。
(三)风险评估与处置材料
- 信息资产盘点表(明确资产名称、类别、责任人、重要性等级等);
- 风险评估报告(包括威胁识别、脆弱性分析、风险等级评定等);
- 风险处置计划及执行记录;
- 适用性声明(SoA),说明企业对 ISO27001 控制措施的选择和理由。
(四)体系运行证据材料
- 员工信息安全培训记录(培训计划、签到表、考核试卷、培训课件等);
- 内部审核记录(审核计划、检查表、不符合项报告、整改报告等);
- 管理评审记录(评审计划、会议纪要、改进措施跟踪记录等);
- 信息安全事件处置记录(事件报告、调查记录、处置结果、应急演练记录等);
- 资产管理制度执行记录(资产领用、移交、报废记录等);
- 访问控制执行记录(用户权限申请、变更、注销记录,密码修改记录等);
- 物理安全管理记录(门禁出入记录、监控录像、消防检查记录等);
- 系统运维记录(服务器、数据库备份记录,漏洞扫描、补丁更新记录等);
- 供应商管理记录(供应商评估表、信息安全协议、供应商监督记录等);
- 过程绩效指标统计及趋势分析报告(如信息安全事件发生率、整改完成率等)。
(五)认证申请材料
- ISO27001 认证申请书(需加盖企业公章);
- 企业合规声明(声明企业的信息安全管理符合相关法律法规和 ISO27001 标准要求);
- 认证范围说明(明确认证覆盖的业务范围、部门、场所等)。