認(rèn)證標(biāo)準(zhǔn)：ISO/IEC27001:2022 

適用企業(yè)：不限

硬件要求：合規(guī)合法

營(yíng)業(yè)執(zhí)照：

范圍/邊界：

服務(wù)器數(shù)量；外包或供應(yīng)商數(shù)；網(wǎng)絡(luò)設(shè)備數(shù)量（要準(zhǔn)確，影響方案策劃）

PC終端數(shù)量：

認(rèn)證客戶對(duì)保密要求的說(shuō)明

1）是否存在信息安全管理體系范圍內(nèi)不允許機(jī)構(gòu)接觸的信息資產(chǎn)？

2）機(jī)構(gòu)在接觸客戶信息資產(chǎn)時(shí)，是否存在特定的法律要求、認(rèn)證客戶自身要求、相關(guān)方要求、對(duì)認(rèn)證機(jī)構(gòu)的資質(zhì)要求、對(duì)認(rèn)證人員的身份背景要求？

3）是否存在對(duì)機(jī)構(gòu)的其他安全要求：

外部抽查：

運(yùn)行時(shí)間：

         為政府部門(mén)提供信息技術(shù)外包服務(wù)的機(jī)構(gòu)或組織若其認(rèn)證范圍涉及政府信息，須提供經(jīng)工業(yè)和信息化主管部門(mén)同意的通知文件方可受理，否則認(rèn)證范圍不能涉及政府信息。

        通信、金融、鐵路、民航、電力等基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)運(yùn)營(yíng)單位應(yīng)提交事先報(bào)行業(yè)主管或監(jiān)管部門(mén)同意的文件，其他涉及國(guó)計(jì)民生的國(guó)有企業(yè)提交事先報(bào)國(guó)有資產(chǎn)監(jiān)督管理部門(mén)同意的文件，涉及國(guó)家秘密的應(yīng)提交報(bào)保密行政管理部門(mén)同意的文件。

認(rèn)證標(biāo)準(zhǔn)：ISO/IEC27001:2022 

適用企業(yè)：不限

必查項(xiàng)目：

管理手冊(cè)（符合性、一致性）

程序文件（規(guī)模、性質(zhì)、復(fù)雜程度）

信息安全適用性聲明（SOA）

（重點(diǎn)關(guān)注刪減的理由充分性，不要輕易刪減。目前比較常見(jiàn)的刪減：企業(yè)確實(shí)不是軟件開(kāi)發(fā)行業(yè)，也沒(méi)有自己定制的網(wǎng)站、OA等，可以刪減A.8.4、A.8.25、A.8.27-31條款。）

風(fēng)險(xiǎn)評(píng)估報(bào)告；

風(fēng)險(xiǎn)處置計(jì)劃；

情況調(diào)查表；

信息資產(chǎn)清單

信息安全管理體系范圍復(fù)雜性調(diào)查表。

內(nèi)審審核

認(rèn)證標(biāo)準(zhǔn)：ISO/IEC27001:2022 

適用企業(yè)：不限

特別注意/常見(jiàn)問(wèn)題：

?信息資產(chǎn)清單識(shí)別不準(zhǔn)確，尤其是機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)施、在用軟件系統(tǒng)（OA、考勤、監(jiān)控、財(cái)務(wù)、網(wǎng)站等）（一定要準(zhǔn)確，影響整個(gè)體系）

?SOA刪減理由不充分

?訪問(wèn)控制：（要注意用戶訪問(wèn)權(quán)限分配和職責(zé)分離）

?缺少網(wǎng)絡(luò)拓?fù)鋱D、辦公或生產(chǎn)平面布置圖：

? 風(fēng)險(xiǎn)計(jì)劃和處置：

?（注意計(jì)劃和處置時(shí)間，不要幾天就處置結(jié)束了，好多措施不是幾天就達(dá)到效果的。建議至少處置1個(gè)月。處置措施也要合理， 目前好多企業(yè)感覺(jué)太薄弱）。