ISO27001信息安全管理体系认证的申请条件及材料有哪些？ISO认证代办机构靠谱吗？

ISO27001信息安全管理体系认证的申请条件及材料清单（适用于中国企业）

申请条件（官方要求 + 实践门槛）

微信号：15321396264
添加微信好友, 获取更多信息
复制微信号

1. 法律地位
   • 持有工商行政管理部门颁发的《营业执照》（或事业单位法人证书/社团登记证）。
   • 成立时间 ≥ 3 个月（认监委统一规定，不足 3 个月需等满期）。

2. 体系运行证据
   • 体系文件发布并实施 ≥ 3 个月（手册、程序、适用性声明 SOA、风险评估报告、风险处置计划）。
   • 至少完成一次内部审核 + 一次管理评审，并保留记录。

3. 人员与资源
   • 任命信息安全管理者代表（必须为公司正式员工，不可外聘）。
   • 建立日常监控机制（日志审计、漏洞扫描、备份恢复测试等）。

4. 无重大处罚
   • 近 1 年内无信息安全、数据泄露等重大行政处罚或媒体曝光事件。

5. 认证范围
   • 范围须与营业执照经营范围匹配，且能现场审核（不能有 100 % 外包的“空壳”范围）。

材料清单（一次性提交给认证机构）

1. 法律资质
   ▪ 营业执照副本复印件（盖章）。
   ▪ 行政许可/资质证书（如 ISP、ICP、支付牌照、等保证明等，适用时）。

2. 体系文件（电子版 + 纸质受控版）
   ▪ 信息安全管理手册（ISMS Manual）。
   ▪ 程序文件（至少包含 A.5-A.18 控制域对应的 30+ 份程序）。
   ▪ 适用性声明（SOA，含删减理由）。
   ▪ 风险评估程序、风险评估报告、风险处置计划。
   ▪ 适用法规清单（含《网络安全法》《数据安全法》《个人信息保护法》等）。

3. 运行记录（3 个月）
   ▪ 内部审核全套记录（计划、检查表、不符合报告、纠正措施）。
   ▪ 管理评审记录（会议签到、输入报告、输出决议）。
   ▪ 培训记录（信息安全意识、专业人员证书，如 CISP、CISSP、ISO27001 LA）。
   ▪ 日志审计、备份恢复、漏洞扫描、渗透测试报告。
   ▪ 用户访问权限评审记录、变更记录、事件/事故台账。

4. 组织与场所信息
   ▪ 组织架构图、各部门职责。
   ▪ 认证范围文字描述、主要业务流程图、网络拓扑图。
   ▪ 多场所/临时场所清单（如有）。

5. 其他
   ▪ 认证申请表（机构模板）。
   ▪ 保密协议、合同评审表。
   ▪ 受审核方廉洁承诺函。

代办机构（咨询公司）是否靠谱？如何识别？

1. 市场现状
   • 国内 90 % 的企业通过咨询公司完成体系建立，纯 DIY 不足 10 %。
   • 代办机构本身不能同时做“咨询+认证”，否则违反认监委《认证机构与咨询机构隔离规定》，一经查实证书将被撤销。

2. 识别靠谱机构的 7 个硬指标
   ① 查资质：
   – 咨询公司：营业执照经营范围含“管理体系认证咨询/信息技术咨询”。
   – 认证公司：必须在中国认监委（CNCA）官网“认证机构名录”能查到，且具备“27001”资质代码。

   ② 查人员：
   – 至少 2 名全职 ISO27001 主任审核员（LA）证书，可在“中国认证认可协会 CCAA”官网查询注册号。

   ③ 查案例：
   – 提供近 1 年内 10 张以上 27001 证书副本（遮盖客户名称后应保留证书编号，可在“全国认证认可信息公共服务平台”真伪查验）。

   ④ 查合同：
   – 咨询合同与认证合同分开签署、主体不同；价格分开开票；承诺“不通过全额退款”条款写进合同。

   ⑤ 查流程：
   – 必须做现场调研、风险评估、差距分析、培训、模拟审核等至少 5 个阶段；拒绝“打包文件、包过”式服务。

   ⑥ 查价格：
   – 咨询费：与规模挂钩，50 人以下市场区间 3–5 万元；认证费：国内机构 1.8–2.2 万元，外资 2.5–3 万元；明显低于此需警惕假证、外购证。

   ⑦ 查售后：
   – 提供监审（第 1、2 年）提醒、免费答疑、版本升级（27002:2022）辅导；拒绝一次性“交证走人”。

3. 高风险信号
   ✘ 宣称“与认监委合作”“内部绿色通道”“一周出证”。
   ✘ 不提供审核计划、现场审核照片、审核报告。
   ✘ 证书发证机构为境外非认可机构（如“QEC××”“GIC××”且未在 CNCA 多边互认名单）。

建议步骤（企业视角）

1. 先登录“全国认证认可信息公共服务平台”查询 3–5 家正规认证机构，记录其联系方式与审核费。
2. 同时招标 2–3 家咨询公司，用上面 7 个指标打分；要求提供项目计划甘特图。
3. 签订咨询合同后,先运行体系 3 个月，再让咨询公司推荐 2 家认证机构供企业自行选择。
4. 认证审核分两阶段：
   – Stage 1（文件审核）→ 出具书面不符合项 → 整改。
   – Stage 2（现场审核）→ 出具不符合项 → 整改 → 发证。
5. 拿到证书后,每年接受监审（无需咨询公司也可自行应对），第 3 年再认证。

常见问答 Q1：我们 20 人的软件公司，无专职安全岗位，能通过吗？
A：可以，外聘顾问做风险评估，内部指定 1 名技术骨干兼任信息安全管理员，通过培训+工具（如漏洞扫描 SaaS）即可满足审核要求。

Q2：证书有效期多久？
A：3 年；但每年必须接受认证机构的年度监督审核（监审），否则证书会暂停甚至撤销。

Q3：加急最快多久？
A：理论上 45 天（文件准备 15 天 + 运行 3 个月可并行 + 审核 15 天），但认监委系统制证需 5–7 个工作日，无法进一步压缩。

Q4：认证机构可以远程审核吗？
A：2020 年后允许“非现场+远程”方式，但首次认证至少 Stage 2 需有部分现场，纯远程只适用于监审或再认证，且需认监委备案。

结论
ISO27001 申请的核心是“3 个月体系运行 + 真实记录”，材料并不复杂；选择代办机构时，用“认监委官网可查 + 合同分离 + 价格透明”三把尺子，基本可避开 90 % 的坑。