管理体系的流程大同小异,可参考ISO27001认证流程:
1、建立体系框架
按照ISO27001信息安全管理体系标准要求建立体系框架。
2、体系运行
ISO27001信息安全体系建立后,需运行至少三个月,产生三个月的运行记录。按照PDCA循环,至少走完一个完整的周期。
对于因为外部驱动力而决心实施 ISO27001 认证的组织来说,提早进行规划是必要的。
3、选定认证机构、提交审核申请表、申请材料
选择合规靠谱的认证机构。向认证机构递交ISO27001《认证申请表》、申请材料(见上面Part2所列的4项资料)。
注:营业执照成立日期满3个月后才有资格申请认证。
4、合同评审、签合同
认证机构对受审核方提交的《认证申请表》等系列资料进行评审,通过后即可签订《认证合同书》,确定正式审核时间。
5、初次认证审核阶段审核
ISO2700认证机构将进行初次认证的阶段审核阶段审核应至少覆盖以下内容:(1)结合现场情况,确认申请组织实际情况与质量管理体系成文信息描述的一致性,特别是体系成文信息中描述的产品和服务、部门设置和职责与权限、生产或服务过程等是否与申请组织的实际情况相一致。(2)结合现场情况,审核申请组织理解和实施GB/T 19001/ISO 9001标准要求的情况,评价质量管理体系运行过程中是否实施了内部审核与管理评审,确认质量管理体系是否已运行并且超过3个月。(3)确认申请组织建立的质量管理体系覆盖的活动内容和范围、体系覆盖范围内有效人数、过程和场所,遵守适用的法律法规及强制性标准的情况。(4)结合质量管理体系覆盖产品和服务的特点识别对质量目标的实现具有重要影响的关键点,并结合其他因素,科学确定重要审核点。(5)与申请组织讨论确定第二阶段审核安排。对质量管理体系成文信息不符合现场实际、相关体系运行尚未超过3个月或者无法证明超过3个月的,以及其他不具备二阶段审核条件的,不应实施二阶段审核。
6、初次认证审核-第二阶段审核
第二阶段的目的是评价受审核方管理体系的实施情况,包括有效性。
第二阶段应在受审核方的现场进行,并至少覆盖以下方面:
(1)在阶段审核中识别的重要审核点的过程控制的有效性。
(2)为实现质量方针而在相关职能、层次和过程上建立质量目标是否具体适用、可测量并得到沟通、监视。
(3)对质量管理体系覆盖的过程和活动的管理及控制情况。
(4)申请组织实际工作记录是否真实。对于审核发现的真实性存疑的证据应予以记录并在做出审核结论及认证决定时予以考虑。
(5)申请组织的内部审核和管理评审是否有效。
7、不符合项整改
受审核方对二阶段开出的不符合项进行整改,初次认证要求在6个月内整改关闭。
8、注册发证
整改关闭后,认证机构给受审核方发放ISO27001信息安全管理体系认证证书。
9、定期监督审核
ISO27001证书有效期3年,获证后在有效期内每年接受监督审核至少1次。
如未在规定时间内监督审核,则将面临暂停、甚至撤销认证证书的风险。