ISO27001认证关注要点

1.建立信息安全管理体系（ISMS）：组织需要根据ISO27001标准建立、实施、维护和持续改进ISMS，确保信息资产的安全。

2.风险评估：组织必须进行正式的风险评估，识别、评估并实施重要的信息安全控制措施，以降低信息安全风险。

3.遵守法律法规：ISMS必须符合所有相关的法律、法规和合同义务，以避免违规风险。

4.文档和记录的管理：所有必要的文档和记录都必须得到妥善管理，以证明组织遵守了ISO27001的要求。

5.内部审核和管理评审：组织需要定期进行内部审核和管理评审，以确保ISMS的有效性和符合性。

6.员工培训和意识提升：员工需要对ISO27001有所了解，并接受有关信息安全政策和程序的培训，以提高信息安全意识。

7.持续改进：ISO27001强调持续改进，组织需要不断分析和审查ISMS，确保其有效性，并随着业务的发展和新风险的出现而改进现有流程和控制措施。

ISO27001认证的时间周期会受到多种因素的影响，包括企业的规模、信息安全管理的现状、认证机构的工作效率等。一般来说，从开始准备认证到获得证书，整个过程大约需要3到6个月的时间。具体的时间周期可以分为以下几个阶段：

A.准备阶段（1~2个月）：

1.组建认证工作小组，明确职责和分工。

2.制定信息安全管理体系建设方案，包括方针、目标、策略和流程等。

B.实施阶段（1~2个月）：按照建设方案，实施信息安全管理体系，包括制定和完善相关制度、流程和操作指南，开展培训和宣传活动，加强信息安全技术防护等。

C.内部审核阶段（1个月）：组织内部审核，检查信息安全管理体系的实施情况，发现问题并及时整改。

D.管理评审阶段（1个月）：由企业高层领导对信息安全管理体系进行评审，评估其有效性和适应性，提出改进意见和建议。

E.认证审核阶段（1~2个月）：

1.向认证机构提交认证申请，认证机构受理申请后，会安排审核员进行现场审核。

2.审核员会对企业的信息安全管理体系进行全面审查，包括文件审核和现场审核。

3.审核通过后，认证机构会颁发ISO27001认证证书。

需要注意的是，以上时间周期仅供参考，实际时间可能会有所不同。此外，ISO27001认证证书的有效期为三年，在证书有效期内，企业需要每年进行一次年审。