对于新能源制造企业(如光伏组件、储能电池、逆变器、充电桩制造商)而言,同时办理 ISO/IEC 27001(信息安全管理体系) 和 ISO/IEC 20000(IT服务管理体系) 已成为行业标配。这两项认证通常被合称为“IT双认证”,办理时可以同步进行,既能降低审核成本,又能系统性提升企业数字化管理水平。
为什么要办“双证”?(行业驱动力)
ISO 27001:数据保命
保护研发源代码、防止电站监控数据泄露、保障户用储能用户隐私、满足欧盟GDPR合规要求。
ISO 20000:服务保稳
规范ERP/MES/PLM等核心业务系统的运维、提升IT部门对生产制造的支撑效率、确保供应链系统稳定运行。
一、 基础门槛(硬性红线)
这两条是申请认证的“入场券”,缺一不可:
具有独立法人资格,持有有效的《企业法人营业执照》。
经营范围需涵盖相关业务(如软件开发、技术服务、新能源设备制造等)。
合规记录:体系运行期间及建立体系前一年内,未受到市场监管、网信、公安等主管部门的行政处罚,且未被列入经营异常名录或严重失信名单。
信息安全管理体系(27001)和 IT 服务管理体系(20000)均需按照标准要求建立,并实际有效运行至少 3 个月。
需提供这3个月内的完整运行记录(如:安全巡检记录、事件处理工单、变更记录等)。
更多证书办理详情可直接与我们方圆盛世网站在线客服联系,或电话咨询官方热线:400-090-3278
二、 ISO 27001 专项条件(管安全)
针对新能源制造企业,审核员会重点关注研发数据和生产控制系统的安全。
完成风险评估与处置
必须完成至少一次全面的信息安全风险评估。
新能源重点:需覆盖工业控制系统(ICS)、研发环境(源代码、图纸)、供应链数据以及物联网设备(如逆变器、储能EMS)的云端通信安全。
需制定并实施对应的风险处置计划,保留验证记录。
关键控制措施落地
物理安全:机房需配备门禁(生物识别或刷卡)和 7×24 小时监控,监控录像保存通常需≥90天。
网络安全:部署防火墙、入侵检测/防御系统(IDS/IPS),关键系统需实现双因素认证。
文档化:需建立《信息安全方针》、《适用性声明》(SoA)等核心文件,且所有文档需体现 PDCA(计划-实施-检查-改进)循环。
人员与意识
至少配备具备资质的信息安全管理人员。
全体员工需接受信息安全培训(年培训时长通常建议≥8小时),并保留培训记录和考核记录。
三、 ISO 20000 专项条件(管服务)
针对新能源制造企业,重点在于IT对生产运营的支撑能力。
必须建立并运行核心 IT 服务流程,包括:
事件管理(故障处理)
问题管理(根因分析)
变更管理(系统升级)
配置管理(CMDB,即IT资产台账)
发布管理
新能源重点:需证明 IT 服务能支撑 ERP(企业资源计划)、MES(制造执行系统)、PLM(产品生命周期管理) 等核心生产管理系统的稳定运行。
需定义明确的服务目标(如:系统可用率≥99.9%、故障响应时间≤30分钟),并提供实际达成情况的报告。