認(rèn)證流程

　　管理體系的流程大同小異，可參考ISO27001認(rèn)證流程：

　　1、建立體系框架

　　按照ISO27001信息安全管理體系標(biāo)準(zhǔn)要求建立體系框架。

　　2、體系運行

　　ISO27001信息安全體系建立后，需運行至少三個月，產(chǎn)生三個月的運行記錄。按照PDCA循環(huán)，至少走完一個完整的周期。

　　對于因為外部驅(qū)動力而決心實施 ISO27001 認(rèn)證的組織來說，提早進(jìn)行規(guī)劃是必要的。

　　3、選定認(rèn)證機(jī)構(gòu)、提交審核申請表、申請材料

　　選擇合規(guī)靠譜的認(rèn)證機(jī)構(gòu)。向認(rèn)證機(jī)構(gòu)遞交ISO27001《認(rèn)證申請表》、申請材料(見上面Part2所列的4項資料)。

　　注：營業(yè)執(zhí)照成立日期滿3個月后才有資格申請認(rèn)證。

　　4、合同評審、簽合同

　　認(rèn)證機(jī)構(gòu)對受審核方提交的《認(rèn)證申請表》等系列資料進(jìn)行評審，通過后即可簽訂《認(rèn)證合同書》，確定正式審核時間。

　　5、初次認(rèn)證審核階段審核

　　ISO2700認(rèn)證機(jī)構(gòu)將進(jìn)行初次認(rèn)證的階段審核階段審核應(yīng)至少覆蓋以下內(nèi)容：(1)結(jié)合現(xiàn)場情況，確認(rèn)申請組織實際情況與質(zhì)量管理體系成文信息描述的一致性，特別是體系成文信息中描述的產(chǎn)品和服務(wù)、部門設(shè)置和職責(zé)與權(quán)限、生產(chǎn)或服務(wù)過程等是否與申請組織的實際情況相一致。(2)結(jié)合現(xiàn)場情況，審核申請組織理解和實施GB/T 19001/ISO 9001標(biāo)準(zhǔn)要求的情況，評價質(zhì)量管理體系運行過程中是否實施了內(nèi)部審核與管理評審，確認(rèn)質(zhì)量管理體系是否已運行并且超過3個月。(3)確認(rèn)申請組織建立的質(zhì)量管理體系覆蓋的活動內(nèi)容和范圍、體系覆蓋范圍內(nèi)有效人數(shù)、過程和場所，遵守適用的法律法規(guī)及強(qiáng)制性標(biāo)準(zhǔn)的情況。(4)結(jié)合質(zhì)量管理體系覆蓋產(chǎn)品和服務(wù)的特點識別對質(zhì)量目標(biāo)的實現(xiàn)具有重要影響的關(guān)鍵點，并結(jié)合其他因素，科學(xué)確定重要審核點。(5)與申請組織討論確定第二階段審核安排。對質(zhì)量管理體系成文信息不符合現(xiàn)場實際、相關(guān)體系運行尚未超過3個月或者無法證明超過3個月的，以及其他不具備二階段審核條件的，不應(yīng)實施二階段審核。

　　6、初次認(rèn)證審核-第二階段審核

　　第二階段的目的是評價受審核方管理體系的實施情況，包括有效性。

　　第二階段應(yīng)在受審核方的現(xiàn)場進(jìn)行，并至少覆蓋以下方面：

　　(1)在階段審核中識別的重要審核點的過程控制的有效性。

　　(2)為實現(xiàn)質(zhì)量方針而在相關(guān)職能、層次和過程上建立質(zhì)量目標(biāo)是否具體適用、可測量并得到溝通、監(jiān)視。

　　(3)對質(zhì)量管理體系覆蓋的過程和活動的管理及控制情況。

　　(4)申請組織實際工作記錄是否真實。對于審核發(fā)現(xiàn)的真實性存疑的證據(jù)應(yīng)予以記錄并在做出審核結(jié)論及認(rèn)證決定時予以考慮。

　　(5)申請組織的內(nèi)部審核和管理評審是否有效。

　　7、不符合項整改

　　受審核方對二階段開出的不符合項進(jìn)行整改，初次認(rèn)證要求在6個月內(nèi)整改關(guān)閉。

　　8、注冊發(fā)證

　　整改關(guān)閉后，認(rèn)證機(jī)構(gòu)給受審核方發(fā)放ISO27001信息安全管理體系認(rèn)證證書。

　　9、定期監(jiān)督審核

　　ISO27001證書有效期3年，獲證后在有效期內(nèi)每年接受監(jiān)督審核至少1次。

　　如未在規(guī)定時間內(nèi)監(jiān)督審核，則將面臨暫停、甚至撤銷認(rèn)證證書的風(fēng)險。