江苏 ISO 27001 信息安全管理体系申请流程及要求全解

一、ISO 27001 简介

二、申请流程

（一）准备阶段

1. 确定认证范围
   企业首先需要明确自身的信息安全管理体系认证范围，即确定哪些业务流程、信息系统、组织部门等将纳入认证体系。认证范围的确定应基于企业的实际运营情况、信息资产分布以及战略规划，确保范围界定清晰、准确且具有可操作性。例如，一家江苏的软件研发企业，可能将其软件设计、开发、测试以及数据存储等相关业务流程纳入认证范围。
2. 现状评估与差距分析
   企业应对现有的信息安全管理状况进行全面评估，可通过内部审计、问卷调查、访谈等方式收集相关信息，了解企业在信息安全管理各个方面的实际做法与控制措施。将现状与 ISO 27001 标准要求进行对比，找出存在的差距与不足，为后续的体系建设与改进提供依据。例如，评估企业是否已制定信息安全方针，是否对员工进行了信息安全培训，信息系统的访问控制是否严格等。
3. 成立项目小组
   为确保 ISO 27001 认证项目的顺利推进，企业应成立专门的项目小组，成员包括企业高层管理人员、信息安全负责人、各相关部门代表以及外部咨询顾问（如有必要）。项目小组负责制定项目计划、协调资源、推动体系建设与实施、监督项目进展等工作。例如，高层管理人员负责提供战略指导与资源支持，信息安全负责人主导体系建设的技术工作，各部门代表负责本部门相关流程与控制措施的落实与改进。

（二）体系建设阶段

1. 制定信息安全方针与目标
   依据 ISO 27001 标准要求，结合企业的业务战略与信息安全需求，制定信息安全方针。信息安全方针应明确企业在信息安全管理方面的宗旨、方向和总体目标，体现企业对信息安全的承诺与重视。同时，根据方针制定具体的、可衡量的信息安全目标，确保方针能够得以有效实施与监控。例如，信息安全方针可能表述为 “保护企业信息资产的保密性、完整性与可用性，为企业业务发展提供坚实的信息安全保障”，相应的目标可以设定为 “在特定时间内将信息安全事件发生率降低至一定比例” 或 “确保员工信息安全培训覆盖率达到一定水平” 等。
2. 建立信息安全管理体系文件架构
   构建完善的信息安全管理体系文件架构，包括信息安全手册、程序文件、作业指导书以及相关记录表单等。信息安全手册作为体系的纲领性文件，应阐述企业的信息安全管理体系的范围、方针、目标、组织结构、职责权限以及各主要信息安全管理过程的概述等内容。程序文件则详细规定各项信息安全管理活动的流程、步骤、方法以及相关责任部门与人员。作业指导书针对具体的操作任务提供详细的操作指南，记录表单用于记录信息安全管理活动的执行情况与结果，为体系的有效运行与监控提供证据支持。例如，制定《信息安全风险评估程序》，明确风险评估的流程、方法、频率以及风险处理的原则与措施；编写《员工信息安全操作手册》，指导员工在日常工作中如何正确处理信息资产、遵守信息安全规定等。
3. 实施信息安全管理体系
   按照体系文件的要求，全面实施信息安全管理体系。这包括落实各项信息安全控制措施，如建立严格的访问控制机制，对信息系统用户进行身份认证与授权管理；加强数据加密与保护，确保敏感数据在传输与存储过程中的保密性；开展信息安全培训与教育，提高员工的信息安全意识与技能；定期进行信息系统安全漏洞扫描与修复，防范外部网络攻击等。同时，建立有效的内部沟通与协调机制，确保各部门之间能够密切配合，共同推进信息安全管理工作。例如，企业的 IT 部门负责信息系统的安全配置与维护，人力资源部门负责组织员工信息安全培训，各业务部门负责本部门信息资产的日常管理与安全防护等。

（三）体系运行与监控阶段

1. 日常运行监控
   在信息安全管理体系运行过程中，企业应建立日常监控机制，对各项信息安全控制措施的执行情况进行持续跟踪与检查。通过定期审查信息系统日志、检查员工操作行为、进行安全巡检等方式，及时发现并纠正体系运行中出现的偏差与问题。例如，监控网络访问日志，查看是否存在异常的网络访问行为；检查员工是否按照信息安全操作手册的要求进行文件存储与传输等。
2. 内部审核
   定期开展内部审核，以评估信息安全管理体系是否符合 ISO 27001 标准要求以及企业自身制定的体系文件规定，验证体系的有效性与符合性。内部审核应由经过培训且具备资格的内部审核员实施，审核范围应覆盖体系的各个要素与所有相关部门与业务流程。审核过程中发现的不符合项应及时记录，并要求相关责任部门制定纠正措施并跟踪验证其实施效果。例如，每半年进行一次内部审核，审核内容包括信息安全方针的贯彻执行情况、风险评估与处理措施的有效性、信息安全控制措施的合规性等，对审核发现的问题如某部门未及时更新信息资产清单，要求该部门限期整改并复查整改结果。
3. 管理评审
   企业高层管理者应定期主持召开管理评审会议，对信息安全管理体系的整体绩效进行评审。管理评审应基于内部审核结果、日常监控数据、外部环境变化以及企业战略调整等因素，评估体系的适宜性、充分性与有效性，确定体系改进的方向与重点，并做出相应的决策与资源配置。例如，每年进行一次管理评审，评审内容包括信息安全目标的达成情况、信息安全事件的发生情况及处理效果、体系文件的更新需求、资源投入是否满足体系运行要求等，根据评审结果决定是否需要调整信息安全方针与目标、是否需要对体系文件进行修订、是否需要增加信息安全资源投入等。

（四）认证申请与审核阶段

1. 选择认证机构
   企业在完成信息安全管理体系的建设、运行与监控，并确认体系已基本符合 ISO 27001 标准要求后，可选择合适的认证机构进行认证申请。在选择认证机构时，应考虑其资质信誉、专业能力、认证范围、服务质量以及收费标准等因素。可通过查询认证机构的官方网站、咨询同行企业、参考相关行业评价等方式进行综合评估与筛选。例如，选择在信息安全认证领域具有丰富经验、获得国家认可机构认可、口碑良好且收费合理的认证机构。
2. 提交认证申请
   向选定的认证机构提交正式的认证申请，填写相关申请表格，提供企业的基本信息、认证范围、信息安全管理体系文件等资料。认证机构在收到申请后，将对申请资料进行初步审核，审核通过后将与企业签订认证合同，确定认证审核的时间安排、审核人员以及审核费用等事宜。例如，企业提交申请时需提供信息安全手册、程序文件、内部审核报告、管理评审报告等资料，认证机构审核资料完整性与符合性后，与企业签订合同并安排审核计划。
3. 认证审核
   认证审核通常包括第一阶段审核和第二阶段审核。第一阶段审核主要是对企业的信息安全管理体系文件进行审查，了解企业的信息安全管理体系架构、流程与控制措施的设计情况，确认体系是否覆盖了认证范围的所有要求，同时对企业的现场情况进行初步了解，评估企业是否具备实施第二阶段审核的条件。第二阶段审核则是对企业信息安全管理体系的实际运行情况进行全面、深入的审核，通过现场检查、文件审查、人员访谈、记录抽样等方式，验证体系是否有效运行，各项信息安全控制措施是否得到有效实施，是否符合 ISO 27001 标准要求以及企业自身制定的体系文件规定。审核过程中发现的不符合项将由认证机构记录并通知企业，企业需在规定时间内制定并实施纠正措施，认证机构将对纠正措施的有效性进行验证。例如，第一阶段审核时审核员审查信息安全手册中关于风险评估流程的设计是否合理，查看相关文件记录是否齐全；第二阶段审核时审核员深入各部门现场检查访问控制措施的执行情况，与员工交流信息安全培训的实际效果，对发现的如某部门信息资产标识不清晰等不符合项，企业需及时整改并提交整改证据供认证机构验证。
4. 获取认证证书
   如果企业在认证审核过程中未出现严重不符合项，且所有不符合项在规定时间内均已得到有效纠正并通过认证机构的验证，认证机构将向企业颁发 ISO 27001 信息安全管理体系认证证书。认证证书的有效期一般为三年，在有效期内，企业需接受认证机构的定期监督审核，以确保持续符合认证标准要求。例如，企业顺利通过审核后获得认证证书，每年需接受认证机构的监督审核，审核内容包括信息安全管理体系的持续运行情况、上次审核发现问题的整改情况、体系的变更情况等，如监督审核发现问题，企业需及时整改，否则认证机构可能暂停或撤销认证证书。

三、申请要求

（一）组织与人员要求

1. 明确信息安全管理职责
   企业应在组织架构中明确信息安全管理的职责与权限，设立信息安全管理部门或岗位，配备足够的信息安全管理人员。信息安全管理部门或岗位应负责制定并实施信息安全策略、规划与计划，监督信息安全管理体系的运行，协调处理信息安全事件等工作。例如，企业可设立信息安全管理委员会，由企业高层领导担任主席，成员包括各部门负责人，负责信息安全管理的战略决策与协调；设立信息安全管理办公室作为日常工作机构，负责具体的信息安全管理工作实施与监督。
2. 员工信息安全意识与能力
   企业员工应具备一定的信息安全意识与能力，了解信息安全管理的基本知识与要求，掌握本职工作相关的信息安全操作技能与应急处理方法。企业应通过开展信息安全培训与教育活动，如入职培训、定期专题培训、在线学习等方式，提高员工的信息安全意识与能力水平。例如，新员工入职时接受信息安全基础知识培训，包括信息安全政策、密码安全、数据保护等内容；每年组织全体员工参加信息安全应急演练，提高员工在信息安全事件发生时的应急处理能力。

（二）信息安全风险管理要求

1. 风险评估与识别
   企业应建立信息安全风险评估机制，定期对信息资产面临的安全风险进行识别、分析与评估。风险评估应涵盖企业的所有信息资产，包括硬件设备、软件系统、数据信息、人员、业务流程等，识别可能面临的安全威胁（如黑客攻击、病毒感染、自然灾害、人为失误等）以及信息资产自身的脆弱性（如系统漏洞、密码强度不足、人员安全意识淡薄等），并采用适当的风险评估方法与工具（如定性分析、定量分析、风险矩阵等）确定风险的严重程度与发生可能性，从而确定风险等级。例如，企业每半年对信息系统进行一次全面的风险评估，识别新出现的安全威胁与系统漏洞，评估其对业务运营的潜在影响，确定高、中、低风险等级。
2. 风险处理与监控
   根据风险评估结果，企业应制定并实施相应的风险处理计划，选择合适的风险处理措施，如风险规避（如停止某项高风险业务活动）、风险降低（如安装防火墙、入侵检测系统、加密数据等）、风险转移（如购买信息安全保险）或风险接受（如对于低风险且处理成本过高的风险选择接受并加强监控）。同时，企业应建立风险监控机制，对风险处理措施的实施效果进行持续跟踪与评估，及时调整风险处理策略，确保信息资产的风险始终处于可接受水平。例如，企业针对高风险的信息系统漏洞及时安装补丁程序进行风险降低处理，并在处理后持续监控系统的运行状态，查看是否仍存在安全隐患，如发现补丁无效或出现新的风险因素，及时调整风险处理措施。

（三）信息安全控制措施要求

1. 物理与环境安全
   企业应采取适当的物理与环境安全控制措施，保护信息资产所在的物理环境与设施设备的安全。包括设置物理访问控制措施，如门禁系统、监控摄像头等，限制未经授权人员进入信息处理区域；提供适宜的物理环境条件，如温湿度控制、防火、防水、防雷、防静电等，确保信息系统设备的正常运行；对重要信息资产进行物理隔离与防护，如设置专门的机房、保险柜等存储敏感数据与设备。例如，企业机房设置严格的门禁系统，只有授权人员通过指纹识别或密码验证才能进入，机房内安装温湿度传感器与自动调节设备，配备灭火器材与防水设施，服务器等重要设备放置在专门的机柜内并加锁保护。
2. 网络与通信安全
   建立健全网络与通信安全控制措施，保障信息在网络传输过程中的安全。包括实施网络访问控制，如划分不同安全级别的网络区域，设置防火墙、入侵检测与防御系统等，限制外部网络对内部网络的非法访问，同时控制内部网络用户的访问权限；采用加密技术对敏感信息进行加密传输，如使用 SSL/TLS 协议加密网站数据传输，采用 VPN 技术保障远程办公人员的网络安全连接；加强网络监控与审计，及时发现并处理网络异常行为与安全事件。例如，企业在网络边界部署防火墙，阻挡外部非法网络访问，内部网络根据部门职能划分不同的 VLAN 区域，对不同区域之间的访问进行严格控制；企业内部邮件系统采用加密传输，确保邮件内容的保密性；网络管理员定期审查网络监控日志，发现异常网络流量及时进行分析与处理。
3. 信息系统开发与维护安全
   在信息系统开发与维护过程中，遵循安全开发原则与流程，确保信息系统的安全性与可靠性。包括在系统设计阶段进行安全需求分析与设计，考虑系统的身份认证、授权管理、数据加密、日志记录等安全功能；在开发过程中采用安全的编程规范与技术，避免出现安全漏洞；在系统上线前进行全面的安全测试，如漏洞扫描、渗透测试等；在系统运行维护阶段，及时安装安全补丁，定期进行系统备份与恢复测试，确保信息系统能够持续稳定运行并有效应对安全威胁。例如，企业在开发新的业务系统时，要求开发团队在需求分析阶段明确安全需求，如用户多因素身份认证、数据传输加密等，开发过程中遵循安全编码规范，开发完成后进行全面的安全测试，上线后定期对系统进行漏洞扫描并及时安装补丁，每周进行一次数据备份并每月进行恢复测试。
4. 数据安全与隐私保护
   重视数据安全与隐私保护，采取有效措施确保数据的保密性、完整性与可用性。包括建立数据分类分级制度，根据数据的重要性与敏感性进行分类分级管理，对不同级别的数据实施不同强度的安全保护措施；实施数据访问控制，对数据的访问权限进行严格管理，只有授权人员才能访问相应的数据；采用数据加密技术对敏感数据进行加密存储与传输，如数据库加密、文件加密等；建立数据备份与恢复机制，定期备份数据，确保在数据丢失或损坏时能够及时恢复；遵守相关法律法规与道德规范，保护用户个人信息隐私。例如，企业将数据分为机密、秘密、内部公开等级别，对机密数据采用高强度加密算法进行存储与传输，只有特定岗位的授权人员才能访问机密数据，每天对重要业务数据进行备份并存储在异地灾备中心，在处理用户个人信息时严格遵守相关隐私政策，确保用户信息不被泄露。

（四）合规性要求

1. 法律法规合规
   企业的信息安全管理活动应符合国家相关法律法规以及行业监管要求，如《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等。企业应建立法律法规合规性评估机制，定期评估自身信息安全管理体系是否满足法律法规要求，及时调整体系以适应法律法规的变化。例如，企业定期组织内部法务人员与信息安全管理人员对信息安全管理体系进行合规性审查，确保在数据收集、存储、使用、传输等方面符合法律法规规定，如发现新出台的法律法规对数据跨境传输有新的要求，及时调整企业的数据跨境传输策略与控制措施。
2. 合同与协议合规
   企业在与外部合作伙伴（如供应商、客户、合作伙伴等）签订的合同与协议中，应明确信息安全相关条款与责任，确保双方在信息交互与合作过程中的信息安全。合同与协议应涵盖信息安全保护要求、数据共享与使用限制、安全责任划分、安全事件处理等内容，避免因合同漏洞导致信息安全风险。例如，企业与供应商签订的服务合同中明确规定供应商在提供服务过程中应遵守企业的信息安全政策，对涉及企业的信息资产进行妥善保护，如因供应商原因导致信息安全事件发生，供应商应承担相应的赔偿责任与法律后果。