- 发布
- 厦门文鹤企业管理有限公司
- 价格
- ¥15000.00/件
- 品牌
- 厦门文鹤企业管理有限公司
- 周期
- 30天
- 规格
- 证书
- 分类
- 体系证书
- 起订
- 1件
- 发货
- 3天内
- 电话
- 13459288341
- 手机
- 13459288341
- 发布时间
- 2026-01-20 10:54:47
企业需在厦门合法注册,持有有效的营业执照(经营范围需与申请认证的业务相关)。
若涉及特定行业(如金融、医疗、云计算等),需具备相应的行业许可证(如《增值电信业务经营许可证》等)。
2. 信息安全管理体系(ISMS)已运行至少3个月ISMS需在企业内部正式实施并运行3个月以上,确保有足够的记录证明其有效性。
认证机构会审核过去3个月的安全日志、操作记录、审计报告等。
二、体系文件要求企业需建立完整的ISMS文档体系,包括但不限于:
1. 核心文件信息安全方针(Information Security Policy)
明确企业信息安全目标、管理框架和责任人。
风险评估报告(Risk Assessment Report)
识别信息资产(如数据库、服务器、员工电脑)、威胁(如黑客攻击、数据泄露)和脆弱性,并评估风险等级。
风险处置计划(Risk Treatment Plan, RTP)
针对高风险项制定控制措施(如加密、访问控制、备份策略)。
适用性声明(Statement of Applicability, SoA)
说明企业采用ISO 27001标准中的哪些控制措施(如A.9访问控制、A.12运维安全)。
2. 支持性文件内部审核报告(Internal Audit Report)
证明企业已自行检查ISMS的运行情况。
管理评审记录(Management Review Records)
高层管理者对ISMS的评审会议记录(至少每年一次)。
员工信息安全培训记录
证明员工已接受安全意识培训(如防钓鱼、密码管理)。
事件管理记录(Incident Management Logs)
记录过去发生的信息安全事件及处理措施(如数据泄露、系统宕机)。
三、技术与管理措施1. 技术安全控制访问控制(如权限管理、多因素认证)
数据加密(如传输加密TLS/SSL、存储加密AES)
网络安全防护(如防火墙、入侵检测系统IDS)
备份与灾难恢复(如定期备份、应急演练)
2. 物理安全控制机房/数据中心安全(如门禁、监控、防火设施)
办公区域安全管理(如访客登记、设备防盗)
3. 法律与合规符合中国网络安全法规(如《网络安全法》《数据安全法》《个人信息保护法》)
合同中的信息安全条款(如与供应商、客户签订的数据保护协议)
四、认证审核流程一阶段审核(文件审核)
认证机构检查企业提交的ISMS文档是否符合ISO 27001标准。
第二阶段审核(现场审核)
访谈管理层和员工
检查安全控制措施(如机房、日志记录)
验证内部审核和管理评审的有效性
审核员到厦门企业现场,检查ISMS的实际运行情况,包括:
整改与发证
若发现不符合项(NC),企业需在规定时间内整改,审核通过后颁发证书(有效期3年,每年需监督审核)。