第一次申请体系认证：认证费用、申请条件、能否拿到证？ 机构亲答

受审核方首次申请认证，关心费用、申请条件和获证问题，为了让大家更清楚了解认证申请，英格尔认证小伙伴为大家一一解答。

我们以ISO27001信息安全管理体系为例来说明，管理体系的不同认证项目虽有一些差别，但大同小异、以供借鉴。

ISO27001认证审核费用

认证机构的报价决定因素包括：

1、受审核组织的员工数量；

2、审核范围；

3、场所数量；

ISO27001认证材料：

1、基础证件

营业执照、厂房租赁合同/协议或房产证（多场所时，需提供每个场所）；

2、行业强制性资质

行业上有强制性要求的资质证书、许可证等；

3、管理体系成文信息

4、其他

· 组织信息化建设情况说明；（ISO27001强制）

· 风险评估报告/风险评估结果材料；（ISO27001强制）

· 适用性声明；（ISO27001强制）

组织最终能否拿到证，决定因素如下：

1、受审核方的信息安全管理体系有重大缺陷，不符合GB/T 27021.1/ISO 27001标准的要求。

2、对于审核中发现的不符合项，受审核方应在约定的期限内完成原因分析、纠正和制定纠正措施，并提交机构以便及时进行整改有效性的验证，否则将可能面临认证注册失败的风险。

管理体系的流程大同小异，可参考ISO27001认证流程：

1、建立体系框架

按照ISO27001信息安全管理体系标准要求建立体系框架。

2、体系运行

ISO27001信息安全体系建立后，需运行至少三个月，产生三个月的运行记录。按照PDCA循环，至少走完一个完整的周期。

对于因为外部驱动力而决心实施 ISO27001 认证的组织来说，提早进行规划是必要的。

3、选定认证机构、提交审核申请表、申请材料

选择合规靠谱的认证机构。向认证机构递交ISO27001《认证申请表》、申请材料（见上面Part2所列的4项资料）。

注：营业执照成立日期满3个月后才有资格申请认证。

4、合同评审、签合同 

认证机构对受审核方提交的《认证申请表》等系列资料进行评审，通过后即可签订《认证合同书》，确定正式审核时间。

5、初次认证审核-第一阶段审核

6、初次认证审核-第二阶段审核

第二阶段的目的是评价受审核方管理体系的实施情况，包括有效性。

第二阶段应在受审核方的现场进行，并至少覆盖以下方面：

（1）在第一阶段审核中识别的重要审核点的过程控制的有效性。

（2）为实现质量方针而在相关职能、层次和过程上建立质量目标是否具体适用、可测量并得到沟通、监视。

（3）对质量管理体系覆盖的过程和活动的管理及控制情况。

（4）申请组织实际工作记录是否真实。对于审核发现的真实性存疑的证据应予以记录并在做出审核结论及认证决定时予以考虑。

（5）申请组织的内部审核和管理评审是否有效。

7、不符合项整改

受审核方对二阶段开出的不符合项进行整改，初次认证要求在6个月内整改关闭。

8、注册发证

整改关闭后，认证机构给受审核方发放ISO27001信息安全管理体系认证证书。

9、定期监督审核

ISO27001证书有效期3年，获证后在有效期内每年接受监督审核至少1次。

如未在规定时间内监督审核，则将面临暂停、甚至撤销认证证书的风险。