上海申请ISO27001ISMS适用性及审核重点

认证标准：ISO/IEC27001:2022 

适用企业：不限

硬件要求：合规合法

营业执照：

范围/边界：

服务器数量；外包或供应商数；网络设备数量（要准确，影响方案策划）

PC终端数量：

认证客户对保密要求的说明

1）是否存在信息安全管理体系范围内不允许机构接触的信息资产？

2）机构在接触客户信息资产时，是否存在特定的法律要求、认证客户自身要求、相关方要求、对认证机构的资质要求、对认证人员的身份背景要求？

3）是否存在对机构的其他安全要求：

外部抽查：

运行时间：

         为政府部门提供信息技术外包服务的机构或组织若其认证范围涉及政府信息，须提供经工业和信息化主管部门同意的通知文件方可受理，否则认证范围不能涉及政府信息。

        通信、金融、铁路、民航、电力等基础网络和重要信息系统运营单位应提交事先报行业主管或监管部门同意的文件，其他涉及国计民生的国有企业提交事先报国有资产监督管理部门同意的文件，涉及国家秘密的应提交报保密行政管理部门同意的文件。

认证标准：ISO/IEC27001:2022 

适用企业：不限

必查项目：

管理手册（符合性、一致性）

程序文件（规模、性质、复杂程度）

信息安全适用性声明（SOA）

（重点关注删减的理由充分性，不要轻易删减。目前比较常见的删减：企业确实不是软件开发行业，也没有自己定制的网站、OA等，可以删减A.8.4、A.8.25、A.8.27-31条款。）

风险评估报告；

风险处置计划；

情况调查表；

信息资产清单

信息安全管理体系范围复杂性调查表。

内审审核

认证标准：ISO/IEC27001:2022 

适用企业：不限

特别注意/常见问题：

•信息资产清单识别不准确，尤其是机房、服务器、网络设施、在用软件系统（OA、考勤、监控、财务、网站等）（一定要准确，影响整个体系）

•SOA删减理由不充分

•访问控制：（要注意用户访问权限分配和职责分离）

•缺少网络拓扑图、办公或生产平面布置图：

• 风险计划和处置：

•（注意计划和处置时间，不要几天就处置结束了，好多措施不是几天就达到效果的。建议至少处置1个月。处置措施也要合理， 目前好多企业感觉太薄弱）。