企业建立的信息管理体系要申请认证,必须满足两个基本条件:
(1)遵守中国的信息法律、法规和标准;
(2)ISO27001体系试运行满3个月。
在满足上述两个重要前提下,ISO27001信息管理体系认证流程大致上分为以下四个阶段:
一、受理申请方的申请:
申请认证的组织首先要综合考虑各认证机构的性、信誉和费用等方面的因素,然后选择合适的认证机构,并与其取得联系,提出信息管理体系认证申请,认证机构会提供相应的认证申请书给拟申请认证的组织填写。
认证机构接到申请方的正式申请书之后,将对申请方的申请文件进行初步的审查,如果符合申请要求,与其签订管理体系审核/注册合同,确定受理其申请。
二、信息管理体系审核:
在整个认证过程中,对申请方的信息管理体系的审核是关键的环节。认证机构正式受理申请方的申请之后,迅速组成一个审核小组,并任命一个审核组长,审核组中至少有一名具有该审核范围专业项目种类的专业审核人员或技术专家,协助审核组进行审核工作。
审核工作大致分为三步:
1.文件审核:
对申请方提交的准备文件进行详细的审查,这是实施现场审核基础工作。申请方需要编写好其信息管理体系文件,在审核过程中,若发现申请方的ISMS手册不符合要求,则由其采取有效纠正措施直至符合要求。认证机构对这些文件进行认真审核之后,如果认为合格,就准备进入现场审核阶段。
2.现场审核:
在完成对申请方的文件审查和预审基础上,审核组长要制定一个审核计划,告知申请方并征求申请方的意见,申请方接到审核计划之后,如果对审核计划的某些条款或安排有不同意见,立即通知审核组长或认证机构,并在现场审核前解决好这些问题。解决好这些问题之后,审核组正式实施现场审核,主要目的就是通过对申请方进行现场实地考察,验证ISMS手册、程序文件和作业指导书等一系列文件的实际执行情况,从而来评价该信息管理体系运行的有效性,判别申请方建立的信息管理体系和ISO27001标准是否相符合。
在实施现场审核过程中,审核小组每天都要进行内部讨论,由审核组长主持,全体审核员参加,对本次审核的结构进行的评定,确定现场审核中发现的哪些不符合情况需写成不符合项报告及其严重程度。
3.审核:
申请方按照审核计划与认证机构商定时间纠正发现的不符合项,纠正措施完成之后递交认证机构。认证机构收到材料后,组织原来的审核小组的成员对纠正措施的效果进行审核。如果审核结果表明被审核方报来的材料详细确实,则可以进入注册阶段的工作。
三、报批并颁发证书
根据注册材料上报清单的要求,审核组长对上报材料进行整理并填写注册推荐表,该表后上交认证机构进行复审,如果合格,认证机构将编制并发放证书,将该申请方列入获证目录,申请方可以通过各种媒介来宣传,并可以宣传材料商加贴注册标识。
四、监督检查及复评换证
在证书有效期限内,认证机构对获证企业进行监督检查,以保证该信息管理体系符合ISO27001标准要求,并能够切实、有效地运行。证书有效期满后,或者企业的认证范围、模式、机构名称等发生重大变化后,该认证机构受理企业的换证申请,以保证企业不断改进和完善其信息管理体系。