1审核前
1.1注意事项
找个一个评审机构交钱(相信机构大家能找到),签合同,签合同的时候需要注意几点:
Ø体系类型、覆盖范围、人数
体系类型这个问题不大,基本都不会错;覆盖范围是需要慎重的,因为最后的证书上面会写清楚公司所通过认真的范围,如果不包含自己的业务那认证就白做了,当时写错了还要改合同,后面搞的很麻烦,希望大家不要重现我的坑;人数要写真实的,人数会关系到最后这个认证的费用,人数越多费用越贵。
附一个ITSMS的可以受理的范围:
Ø 填写申请书《管理体系认证申请书》
公司名字和地址要真实,包含所有的分公司,其中有临时办公场所也需要写,分公司多的话检查的时候是需要抽查到不同的分公司审核的(说是抽查其实甲方可以指定)。如果只是一个地址认证就写对应的地址就好。
1.2需要递交的电子档文件
1.1.1 电子文档
组织简介、组织机构图、人员情况、申请认证产品的生产/加工/服务工艺流程图;
管理手册和程序文件;
关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);
信息安全管理体系方针和目标;
支持信息安全管理体系的规程和控制措施;
风险评估报告;(含风险评估方法的描述);
残余风险报告
风险处置计划
适用性声明;
适用的法律法规的标准的清单。
申请书附表四、五(见申请书第6、7页)(到时候认证公司会给你文档的,如果有需求我也可以分享)
1.1.2 二、所需原件有:
合同,一式两份,签名盖章;
申请书,一式一份,签名盖章;
信息安全及信息技术服务管理体系保密协议,一式两份,签名盖章;
临时场所清单;加盖企业公章;(不存在临时场所企业不需提供)
营业执照、相关资质证书(最新年检副本)一式一份,加盖企业公章。
2审核中
所有文档提交后,等待外审的到来,外审:分为一审和二审,外审的时候认证公司会联系负责人并约定好检查时间到现场检查。如果项目含了外审老师的差旅费,后面就不需要公司承担,如果不含的话,需要报销审核老师的差旅费(建议签合同的时候把这部分的钱包含了,免得后面太麻烦)。
在通知书里会包含审核的内容和计划,在审核老师来之前做好准备。
2.1一审
一审安排:
主要是审核制度体系文件是否满足标准,公司有没按照体系制度的要求去执行,是否有运行记录的产出,公司的总体情况以及看一下公司的办公环境。一审主要是针对信息安全部进行的,以了解情况为主,一般来说有问题可以当场整改。
一般一审只需要一天,审核人员为:审核组长。审核完成会出一份审核结果。如果不通过一般都在一审不通过,不需要二审了。
2.2二审
二审安排:
二审建议首末次会议最好有重要的领导参加,表示对安全的重视(至于为什么后面解释)。
二审需要的时间会较长,我们那时候是2个审核员审核4天,具体的时间需求会根据所申报的系统和人数去判定。系统多时间长审核的也很详细,审核的套路不是像等保对着一个一个标准制度过。我们的那2个审核老师是把对应的系统负责人叫过来大家聊天,如:你负责什么,平时正常工作什么做的,忙不忙周末要加班吗。如果心里有底气的不怕被套路,坐等没那么好的建议还是多培训一下,让主要负责人熟悉一下安全部所写的体系。
审核完成后现场给出不符合项进行整改,反正不管做的多好都有整改项的。
3审核后
审核完成后需要对上面的不符合项进行整改,整个整改需要做的有:
- 整改前后截图
- 打印纸质文档,并需要手写填写
- 扫描彩色版发给审核组长确认
最后就是把所有的资料扫描盖章快递到指定地址。
4总结
通过跟审核老师沟通,发现如果一个企业有做好安全的决心,并且也再去做,领导足够重视那样一般来说肯定可以过,但是如果审核过程中出现说的但是没做,那就是原则性问题了,就会不过。ISO27001总体原则就是:说我所做,做我所说。说到必须要做,做的好不好是改进的地方。
所以审核不要怕有不符合项,不符合项是一定会有的。除了原则性问题外,有2种情况也会导致不过:
- 不符合项太多
- 区域性不符合,严重不符合,举例子:抽查防病毒安装情况,一个部门抽查都没装就是区域性;一个办公环境一层都没装,而且包含很多部门,这个就是严重不符合
审核主要是自己有做,心里有底,最后照顾好审核老师的心情,中午一起吃个饭,这样后面就好说话了,过的几率就会大很多。
最后祝大家ISO27001外审都通过。