內(nèi)部審核:由持證內(nèi)審員按照體系文件要求,核查各部門的執(zhí)行情況,識(shí)別不符合項(xiàng)(如 “員工密碼未定期更換”“服務(wù)器備份未按規(guī)定頻率執(zhí)行”),并制定整改計(jì)劃;管理評(píng)審:高層管理者組織召開評(píng)審會(huì)議,審議內(nèi)部審核報(bào)告、體系運(yùn)行效果、風(fēng)險(xiǎn)評(píng)估結(jié)果等,確認(rèn)體系是否滿足企業(yè)發(fā)展需求,形成管理評(píng)審報(bào)告。第三階段:認(rèn)證申請(qǐng)與現(xiàn)場(chǎng)審核(1-1.5 個(gè)月,認(rèn)證機(jī)構(gòu)主導(dǎo))
- 選擇認(rèn)證機(jī)構(gòu):需選擇獲得(CNCA)批準(zhǔn)、且通過國(guó)家認(rèn)可機(jī)構(gòu)(CNAS)認(rèn)可的第三方認(rèn)證機(jī)構(gòu),可在 CNCA 官網(wǎng)查詢機(jī)構(gòu)資質(zhì);
- 提交申請(qǐng)材料:
- 基礎(chǔ)文件:營(yíng)業(yè)執(zhí)照、行業(yè)許可、組織架構(gòu)圖、信息資產(chǎn)清單;
- 體系文件:信息安全管理手冊(cè)、程序文件清單、風(fēng)險(xiǎn)評(píng)估報(bào)告、內(nèi)部審核報(bào)告、管理評(píng)審報(bào)告;
- 運(yùn)行證據(jù):3 個(gè)月以上的培訓(xùn)記錄、備份日志、訪問控制記錄、安全事件處理記錄等;
- 簽訂認(rèn)證合同:明確認(rèn)證范圍(如 “XX 公司的客戶數(shù)據(jù)管理、IT 系統(tǒng)安全”)、審核時(shí)間、費(fèi)用(初次認(rèn)證費(fèi)用一般 3-10 萬元,根據(jù)企業(yè)規(guī)模、行業(yè)風(fēng)險(xiǎn)調(diào)整);
- 現(xiàn)場(chǎng)審核:
- 審核分為第一階段(文件審核)和第二階段(現(xiàn)場(chǎng)驗(yàn)證):
- 第一階段:審核員核查體系文件的符合性、完整性,確認(rèn)企業(yè)具備現(xiàn)場(chǎng)審核條件;
- 第二階段:審核員現(xiàn)場(chǎng)走訪各部門,通過訪談員工、查閱記錄、檢查設(shè)備(如服務(wù)器機(jī)房、辦公電腦)等方式,驗(yàn)證體系運(yùn)行的有效性;
- 審核結(jié)果處理:若存在輕微不符合項(xiàng),企業(yè)需在 15-30 天內(nèi)提交整改報(bào)告及證據(jù),審核員驗(yàn)證通過后關(guān)閉;若存在嚴(yán)重不符合項(xiàng),需重新整改并進(jìn)行補(bǔ)充審核。
第四階段:證書頒發(fā)與持續(xù)維護(hù)(貫穿 3 年認(rèn)證周期)
