ISO27001 认证在时间方面有以下一些要求:
一、建立信息安全管理体系的时间
对于新建立体系的企业,通常需要一定的时间来完成体系的建设和实施。一般来说,可能需要 3个月到半年甚至更长的时间,具体取决于企业的规模、复杂程度以及资源投入情况。
要进行信息安全现状调研和风险评估,这个过程可能需要 1-2个月,包括对企业的业务流程、信息资产、威胁和脆弱性进行全面分析。
根据风险评估结果制定信息安全方针、目标和控制措施,编写体系文件,这可能需要 1-2 个月。
接着进行体系文件的培训和宣贯,让全体员工了解信息安全管理体系的要求,这个过程可能需要 1 个月左右。
Zui后进行体系的试运行和内部审核、管理评审,对体系进行调整和完善,这个过程也可能需要 1-2 个月。
二、审核时间安排
初次认证审核通常分为两个阶段。
第一阶段审核主要是对企业的信息安全管理体系文件进行审查,了解企业的基本情况和体系建设情况,这个阶段可能需要 1-2天的时间。
第二阶段审核是现场审核,对企业的信息安全管理体系的实施情况进行全面检查,这个阶段通常需要 3-5天的时间,具体取决于企业的规模和复杂程度。
监督审核一般每年进行一次,每次监督审核的时间通常为 2-3 天。
监督审核主要是检查企业信息安全管理体系的持续有效性,是否按照体系文件的要求进行运行,是否有重大变化等。
再认证审核在证书有效期届满前进行,再认证审核的时间和初次认证审核类似,可能需要 3-5天的时间,具体取决于企业在证书有效期内的变化情况。
三、不符合项整改时间
在审核过程中,如果发现不符合项,企业需要在规定的时间内进行整改。
一般来说,轻微不符合项的整改时间可能为 1 个月左右,严重不符合项的整改时间可能为 2-3个月甚至更长,具体取决于不符合项的性质和严重程度。
企业在整改完成后,需要向认证机构提交整改报告,认证机构对整改情况进行验证。这个过程可能需要 1-2 周的时间。
四、证书有效期和换证时间
ISO27001 认证证书的有效期一般为三年。
在证书有效期内,企业需要持续保持信息安全管理体系的有效运行,接受认证机构的监督审核。
在证书有效期届满前,企业需要进行再认证审核,以获得新的认证证书。
企业通常需要在证书到期前 3-6 个月开始准备再认证审核工作,确保在证书有效期届满前完成再认证审核。
