申請福建福州廈門泉州ISO27001信息安全管理體系認證審核需要注意的問題

1 審核前

1.1 注意事項

找個一個評審機構交錢（相信機構大家能找到），簽合同，簽合同的時候需要注意幾點：

體系類型、覆蓋范圍、人數

體系類型這個問題不大，基本都不會錯；覆蓋范圍是需要慎重的，因為最后的證書上面會寫清楚公司所通過認真的范圍，如果不包含自己的業務那認證就白做了，當時寫錯了還要改合同，后面搞的很麻煩，希望大家不要重現我的坑；人數要寫真實的，人數會關系到最后這個認證的費用，人數越多費用越貴。

1.2 需要遞交的電子檔文件

1.2.1 電子文檔

組織簡介、組織機構圖、人員情況、申請認證產品的生產/加工/服務工藝流程圖；

管理手冊和程序文件；

關于認證活動的限制條件(如出于安全和/或保密等原因，存在時)；

信息安全管理體系方針和目標；

支持信息安全管理體系的規程和控制措施；

風險評估報告；（含風險評估方法的描述）；

殘余風險報告

風險處置計劃

適用性聲明；

適用的法律法規的標準的清單。

申請書附表四、五（見申請書第6、7頁）（到時候認證公司會給你文檔的，如果有需求我也可以分享）

2 審核中

所有文檔提交后，等待外審的到來，外審：分為一審和二審，外審的時候認證公司會聯系負責人并約定好檢查時間到現場檢查。如果項目含了外審老師的差旅費，后面就不需要公司承擔，如果不含的話，需要報銷審核老師的差旅費（建議簽合同的時候把這部分的錢包含了，免得后面太麻煩）。

3、 審核后

審核完成后需要對上面的不符合項進行整改，整個整改需要做的有：

1、 整改前后截圖

2、 打印紙質文檔，并需要手寫填寫

3、 掃描彩色版發給審核組長確認

44 總結

通過跟審核老師溝通，發現如果一個企業有做好安全的決心，并且也再去做，領導足夠重視那樣一般來說肯定可以過，但是如果審核過程中出現說的但是沒做，那就是原則性問題了，就會不過。ISO27001信息安全管理體系認證總體原則就是：說我所做，做我所說。說到必須要做，做的好不好是改進的地方。

所以審核不要怕有不符合項，不符合項是一定會有的。除了原則性問題外，有2種情況也會導致不過：

1、 不符合項太多

2、 區域性不符合，嚴重不符合，舉例子：抽查防病毒安裝情況，一個部門抽查都沒裝就是區域性；一個辦公環境一層都沒裝，而且包含很多部門，這個就是嚴重不符合

審核主要是自己有做，心里有底，最后照顧好審核老師的心情，中午一起吃個飯，這樣后面就好說話了，過的幾率就會大很多。

最后祝大家ISO27001外審都通過。