先搞清楚 3 件事
- 目标:拿证书(外部公关、投标)还是真降风险(内部管理)?
- 范围:全公司、某个子公司、还是只限“XX 云平台”?
- 资源:预算(15–80 万)、高层挂帅、至少 1 名全职“ISMS 经理”。
10 步路线图(时间轴 6–12 个月)
微信号:15321396264
添加微信好友, 获取更多信息
复制微信号
添加微信好友, 获取更多信息
复制微信号
| 阶段 | 关键交付物 | 常见坑 | 建议工期 |
|---|---|---|---|
| 管理层动员 | 任命 ISMS 经理、签《信息安全方针》 | 老板只口头支持 | 1 周 |
| 定义范围 | 《ISMS 范围说明书》+《适用性声明 SoA》 | 范围太大导致文档爆炸 | 1 周 |
| 风险评估 | 《资产清单》《风险表》《风险处置计划》 | 用技术漏洞扫描代替业务风险 | 3–4 周 |
| 设计控制 | 选 Annex A 114 项控制,写《控制措施说明》 | 直接抄模板,评审不过 | 2 周 |
| 制度落地 | 一级方针、二级制度、三级流程、四级记录 | 制度“墙上挂”无记录 | 6–8 周 |
| 培训与意识 | 全员钓鱼邮件测试、签到表、成绩单 | 只培训 IT 部 | 贯穿全程 |
| 内部审核 | 《内审计划》《不符合报告》 | 审核员自己审自己 | 1 周 |
| 管理评审 | 总经理主持会议纪要 | 走形式,无资源决策 | 半天 |
| 纠正措施 | 关闭所有 Major 不符合 | 证据链缺失 | 2–4 周 |
| 阶段一审核(文审) | 认证机构远程评审 | SoA 漏选 A.5 被开 Major | 1 天 |
| 阶段二审核(现场) | 推荐认证 | 员工答不上“什么是 CIA” | 2–3 天 |
Annex A 114 项控制速查表(2022 新版)
| 领域 | 高频缺失项 | 快速取证示例 |
|---|---|---|
| A.5 组织安全 | 风险责任人任命书 | 红头文件+签字 |
| A.6 政策 | 信息安全方针官网公示 | 网页截图+日期 |
| A.7 人力资源 | 离职交接清单 | 离职员工 30 份样本 |
| A.8 资产管理 | 资产标签、硬盘序列号 | 扫码枪导出 Excel |
| A.9 访问控制 | 特权账号每月评审 | AD 审计日志 |
| A.12 运维 | 机房进出记录 | 门禁系统 CSV |
| A.16 事件管理 | 事件台账+根因报告 | 5 份高危事件 |
| A.18 合规 | 《适用法律法规清单》 | 包含《个人信息保护法》 |
文件层级模板(可直接套)
一级:信息安全方针(1 页,CEO 签发)
二级:制度(20 个左右,覆盖 114 项控制)
三级:流程/作业指导书(S-SDLC、变更、备份、事件响应等)
四级:记录表单(内审、培训、巡检、日志)
工具与预算(2024 市场价)
| 类别 | 国产/开源 | 国外 | 费用 |
|---|---|---|---|
| 风险评估 | 谷安、安全牛 | vsRisk、RiskLens | 3–8 万 |
| 制度模板 | 某宝 500 元 | ITGP 全套 2 万 | 05–2 万 |
| 咨询顾问 | 1500–3000 元/人天 | 大四大于 6000 | 10–30 万 |
| 审核费 | 国内机构 1.2–1.5 万/人天 | SGS/BV 2–2.5 万 | 3–6 万 |
| 总预算 | 50 人公司 15 万 | 500 人 35 万 | 15–80 万 |
维护与年审(拿证后别躺平)
- 年审:每年监督审核,飞检 0.5–1 天,可抽查远程。
- 换证:第 3 年再认证,需重新做全条款审核。
- 持续改进:
- 每年至少 1 次风险评估更新
- 每季度 KPI:钓鱼点击率 <5%,事件关闭率 >90%
- 重大变更(上云、并购、新数据中心)必须重新评估风险
0–1 自建清单(可打印打钩)
□ 任命 ISMS 经理红头文件
□ 信息安全方针官网公示截图
□ 资产清单 ≥ 90% 覆盖率
□ 风险表 Top10 有责任人、处置日期
□ 适用性声明 SoA 114 项逐条解释
□ 内审员证书(至少 4 人)
□ 管理评审会议纪要(总经理签字)
□ 不符合报告关闭证据
□ 认证合同 & 审核计划
□ 证书电子版备份(防丢失)
一句话总结
ISO 27001 = 30% 写制度 + 40% 跑记录 + 30% 老板站台;
先画范围、再补记录、最后让审核员“看得见、问得出、查得到”。
祝 100% 一次性通过!
以上是对“ISO27001认证指南!”的简单介绍,如果您有任何疑问,可以添加我们微信或者拨打电话:15321396264,免费咨询,专人1对1解答,北京壹点壹线咨询有限公司专业办理增值电信业务经营许可证、网络文化经营许可证、工商注册、知识产权等一站式企业服务平台,竭诚为您服务。