認證標(biāo)準(zhǔn)：ISO/IEC27001:2022 

適用企業(yè)：不限

硬件要求：合規(guī)合法

營業(yè)執(zhí)照：

范圍/邊界：

服務(wù)器數(shù)量；外包或供應(yīng)商數(shù)；網(wǎng)絡(luò)設(shè)備數(shù)量（要準(zhǔn)確，影響方案策劃）

PC終端數(shù)量：

認證客戶對保密要求的說明

1）是否存在信息安全管理體系范圍內(nèi)不允許機構(gòu)接觸的信息資產(chǎn)？

2）機構(gòu)在接觸客戶信息資產(chǎn)時，是否存在特定的法律要求、認證客戶自身要求、相關(guān)方要求、對認證機構(gòu)的資質(zhì)要求、對認證人員的身份背景要求？

3）是否存在對機構(gòu)的其他安全要求：

外部抽查：

運行時間：

         為政府部門提供信息技術(shù)外包服務(wù)的機構(gòu)或組織若其認證范圍涉及政府信息，須提供經(jīng)工業(yè)和信息化主管部門同意的通知文件方可受理，否則認證范圍不能涉及政府信息。

        通信、金融、鐵路、民航、電力等基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)運營單位應(yīng)提交事先報行業(yè)主管或監(jiān)管部門同意的文件，其他涉及國計民生的國有企業(yè)提交事先報國有資產(chǎn)監(jiān)督管理部門同意的文件，涉及國家秘密的應(yīng)提交報保密行政管理部門同意的文件。

認證標(biāo)準(zhǔn)：ISO/IEC27001:2022 

適用企業(yè)：不限

必查項目：

管理手冊（符合性、一致性）

程序文件（規(guī)模、性質(zhì)、復(fù)雜程度）

信息安全適用性聲明（SOA）

（重點關(guān)注刪減的理由充分性，不要輕易刪減。目前比較常見的刪減：企業(yè)確實不是軟件開發(fā)行業(yè)，也沒有自己定制的網(wǎng)站、OA等，可以刪減A.8.4、A.8.25、A.8.27-31條款。）

風(fēng)險評估報告；

風(fēng)險處置計劃；

情況調(diào)查表；

信息資產(chǎn)清單

信息安全管理體系范圍復(fù)雜性調(diào)查表。

內(nèi)審審核

認證標(biāo)準(zhǔn)：ISO/IEC27001:2022 

適用企業(yè)：不限

特別注意/常見問題：

?信息資產(chǎn)清單識別不準(zhǔn)確，尤其是機房、服務(wù)器、網(wǎng)絡(luò)設(shè)施、在用軟件系統(tǒng)（OA、考勤、監(jiān)控、財務(wù)、網(wǎng)站等）（一定要準(zhǔn)確，影響整個體系）

?SOA刪減理由不充分

?訪問控制：（要注意用戶訪問權(quán)限分配和職責(zé)分離）

?缺少網(wǎng)絡(luò)拓撲圖、辦公或生產(chǎn)平面布置圖：

? 風(fēng)險計劃和處置：

?（注意計劃和處置時間，不要幾天就處置結(jié)束了，好多措施不是幾天就達到效果的。建議至少處置1個月。處置措施也要合理， 目前好多企業(yè)感覺太薄弱）。