清单

ISO 27001准备清单

包含25个关键检查点的验证清单，用于评估贵组织在ISO 27001审计前的准备状态。

此清单用于评估贵组织信息安全管理体系(ISMS)相对于ISO/IEC 27001:2022要求的成熟度。每个检查项均引用相应的规范条款。

验证要点

已识别与ISMS相关的内部和外部问题[4.1]

已确定相关方及其信息安全要求[4.2]

ISMS范围已定义并记录，包括边界和适用性[4.3]

最高管理层已发布与战略目标一致的信息安全政策[5.2]

已分配ISMS的角色、职责和权限[5.3]

存在记录的信息安全风险评估流程[6.1.2]

已识别与机密性、完整性和可用性丧失相关的风险[6.1.2]

存在已分配负责人的风险处理计划[6.1.3]

已编制适用性声明(SoA)，包含纳入和排除的理由[6.1.3]

已建立与政策一致的可衡量信息安全目标[6.2]

已为ISMS的建立、实施和改进分配充足的资源[7.1]

担任ISMS角色的人员具有可证明的能力（培训、经验）[7.2]

存在面向全体人员的信息安全意识培训计划[7.3]

已定义信息安全的内部和外部沟通渠道[7.4]

ISMS文件化信息受控（版本管理、审批、分发）[7.5]

ISMS运行过程按计划进行规划、实施和控制[8.1]

在计划的时间间隔或发生重大变更时进行风险评估[8.2]

风险处理计划已实施并保留结果记录[8.3]

已选择的附录A控制措施已实施并运行[8.1]

以受控方式管理可能影响信息安全的变更[8.1]

使用定义的指标监控和测量ISMS过程和控制[9.1]

按计划的时间间隔进行ISMS内部审计[9.2]

最高管理层按计划的时间间隔评审ISMS以确保其适宜性和有效性[9.3]

记录和分析不符合项，并采取文件化的纠正措施[10.1]

识别ISMS持续改进机会并实施措施[10.2]

关键推荐可选

典型的准备时间为6至12个月，具体取决于组织规模、现有控制措施的成熟度以及专用资源的可用性。差距分析可以精确估计所需的工作量。

最常见的不符合项包括：风险评估证据不足(6.1.2)、适用性声明不完整(6.1.3)、缺乏控制有效性指标(9.1)以及内部审计计划存在缺陷(9.2)。

不需要。标准要求组织根据其风险评估确定附录A中哪些控制措施适用。不适用的控制措施必须在适用性声明(SoA)中说明理由。选择标准必须可追溯至文件化的风险分析。

72个工作小时内完成诊断。ISO方法论。与认证机构无关联。

Loading content…

常见问题

典型的准备时间为6至12个月，具体取决于组织规模、现有控制措施的成熟度以及专用资源的可用性。差距分析可以精确估计所需的工作量。

最常见的不符合项包括：风险评估证据不足(6.1.2)、适用性声明不完整(6.1.3)、缺乏控制有效性指标(9.1)以及内部审计计划存在缺陷(9.2)。