認證流程

　　管理體系的流程大同小異，可參考ISO27001認證流程：

　　1、建立體系框架

　　按照ISO27001信息安全管理體系標準要求建立體系框架。

　　2、體系運行

　　ISO27001信息安全體系建立后，需運行至少三個月，產生三個月的運行記錄。按照PDCA循環，至少走完一個完整的周期。

　　對于因為外部驅動力而決心實施 ISO27001 認證的組織來說，提早進行規劃是必要的。

　　3、選定認證機構、提交審核申請表、申請材料

　　選擇合規靠譜的認證機構。向認證機構遞交ISO27001《認證申請表》、申請材料(見上面Part2所列的4項資料)。

　　注：營業執照成立日期滿3個月后才有資格申請認證。

　　4、合同評審、簽合同

　　認證機構對受審核方提交的《認證申請表》等系列資料進行評審，通過后即可簽訂《認證合同書》，確定正式審核時間。

　　5、初次認證審核階段審核

　　ISO2700認證機構將進行初次認證的階段審核階段審核應至少覆蓋以下內容：(1)結合現場情況，確認申請組織實際情況與質量管理體系成文信息描述的一致性，特別是體系成文信息中描述的產品和服務、部門設置和職責與權限、生產或服務過程等是否與申請組織的實際情況相一致。(2)結合現場情況，審核申請組織理解和實施GB/T 19001/ISO 9001標準要求的情況，評價質量管理體系運行過程中是否實施了內部審核與管理評審，確認質量管理體系是否已運行并且超過3個月。(3)確認申請組織建立的質量管理體系覆蓋的活動內容和范圍、體系覆蓋范圍內有效人數、過程和場所，遵守適用的法律法規及強制性標準的情況。(4)結合質量管理體系覆蓋產品和服務的特點識別對質量目標的實現具有重要影響的關鍵點，并結合其他因素，科學確定重要審核點。(5)與申請組織討論確定第二階段審核安排。對質量管理體系成文信息不符合現場實際、相關體系運行尚未超過3個月或者無法證明超過3個月的，以及其他不具備二階段審核條件的，不應實施二階段審核。

　　6、初次認證審核-第二階段審核

　　第二階段的目的是評價受審核方管理體系的實施情況，包括有效性。

　　第二階段應在受審核方的現場進行，并至少覆蓋以下方面：

　　(1)在階段審核中識別的重要審核點的過程控制的有效性。

　　(2)為實現質量方針而在相關職能、層次和過程上建立質量目標是否具體適用、可測量并得到溝通、監視。

　　(3)對質量管理體系覆蓋的過程和活動的管理及控制情況。

　　(4)申請組織實際工作記錄是否真實。對于審核發現的真實性存疑的證據應予以記錄并在做出審核結論及認證決定時予以考慮。

　　(5)申請組織的內部審核和管理評審是否有效。

　　7、不符合項整改

　　受審核方對二階段開出的不符合項進行整改，初次認證要求在6個月內整改關閉。

　　8、注冊發證

　　整改關閉后，認證機構給受審核方發放ISO27001信息安全管理體系認證證書。

　　9、定期監督審核

　　ISO27001證書有效期3年，獲證后在有效期內每年接受監督審核至少1次。

　　如未在規定時間內監督審核，則將面臨暫停、甚至撤銷認證證書的風險。