認證標準：ISO/IEC27001:2022 

適用企業：不限

硬件要求：合規合法

營業執照：

范圍/邊界：

服務器數量；外包或供應商數；網絡設備數量（要準確，影響方案策劃）

PC終端數量：

認證客戶對保密要求的說明

1）是否存在信息安全管理體系范圍內不允許機構接觸的信息資產？

2）機構在接觸客戶信息資產時，是否存在特定的法律要求、認證客戶自身要求、相關方要求、對認證機構的資質要求、對認證人員的身份背景要求？

3）是否存在對機構的其他安全要求：

外部抽查：

運行時間：

         為政府部門提供信息技術外包服務的機構或組織若其認證范圍涉及政府信息，須提供經工業和信息化主管部門同意的通知文件方可受理，否則認證范圍不能涉及政府信息。

        通信、金融、鐵路、民航、電力等基礎網絡和重要信息系統運營單位應提交事先報行業主管或監管部門同意的文件，其他涉及國計民生的國有企業提交事先報國有資產監督管理部門同意的文件，涉及國家秘密的應提交報保密行政管理部門同意的文件。

認證標準：ISO/IEC27001:2022 

適用企業：不限

必查項目：

管理手冊（符合性、一致性）

程序文件（規模、性質、復雜程度）

信息安全適用性聲明（SOA）

（重點關注刪減的理由充分性，不要輕易刪減。目前比較常見的刪減：企業確實不是軟件開發行業，也沒有自己定制的網站、OA等，可以刪減A.8.4、A.8.25、A.8.27-31條款。）

風險評估報告；

風險處置計劃；

情況調查表；

信息資產清單

信息安全管理體系范圍復雜性調查表。

內審審核

認證標準：ISO/IEC27001:2022 

適用企業：不限

特別注意/常見問題：

?信息資產清單識別不準確，尤其是機房、服務器、網絡設施、在用軟件系統（OA、考勤、監控、財務、網站等）（一定要準確，影響整個體系）

?SOA刪減理由不充分

?訪問控制：（要注意用戶訪問權限分配和職責分離）

?缺少網絡拓撲圖、辦公或生產平面布置圖：

? 風險計劃和處置：

?（注意計劃和處置時間，不要幾天就處置結束了，好多措施不是幾天就達到效果的。建議至少處置1個月。處置措施也要合理， 目前好多企業感覺太薄弱）。