第一，項目前期準備階段。
目的:充分體現領導作用和全體員工參與的原則，確保各級意識到信息安全管理體系的必要性和管理決心。

內容:啟動項目所需的組織準備。

包括:
(1)了解管理意圖，滲透管理理念；

(2)在組織內傳達實施ISO27001項目的決策、目的、意義和要求，體現內部溝通、提高全體員工意識的必要手段；

③組織建設，包括任命管理人員代表設立標準化組織、各級信息安全管理者，明確其職責。

第二，現場調查診斷。

目的:了解組織現狀，尋找與ISO27001標準的差距。

內容:實施調查診斷。

 

包括:
(1)根據貴公司主要業務流程產生的信息流及其依賴的計算環境(包括硬件、軟件、數據、人力、服務等)確定安全要求；

②全面了解企業現行業務流程，按標準評估企業信息安全管理體系；

③識別各業務流程的管理流程和責任；

④根據標準要求，尋找改進的機會；

⑤根據ISO27001標準的風險評估方法論和國家標準，制定科學、有效、適用的風險評估方法。

 

第三，人員培訓。
目的:提高各級領導和全體員工的信息安全意識，使內審員具備相應的能力。

內容:動員會、ISO27001標準培訓、信息安全管理系統文件編制培訓、培訓是實施要求的重要手段。

 

包括:
動員會:提高所有員工的信息安全意識，包括:
信息安全是什么？ISO27001信息安全管理系統是什么？為什么實施ISO27001？ISO27001信息安全管理系統對企業有什么意義？整個工作流程和進度是如何安排的？誰需要培訓這項工作？

ISO27001標準培訓:主要講解ISO27001信息安全管理系統標準的理解和應用。

管理層培訓擴展到中層領導，最后與高層領導一起培訓，高層領導的參與是榜樣的力量，有助于提高全體員工的信息安全意識

 

第四，整合系統文件架設計。

目的:規劃覆蓋各種業務流程的系統文件程序。

內容:根據現場診斷結果，整理所有管理活動流程，根據ISO27001標準形成信息安全管理系統文件清單

 

包括:
(1)根據識別的業務流程，形成管理活動流程圖；優化或重建業務流程，確保管理活動系統順暢；

②根據流程圖和流程復雜性，規劃符合標準要求和實際業務要求的信息安全管理系統文件清單

③形成信息安全管理系統的文件描述，包括文件的目的、控制范圍、職責、管理活動界面、管理流程等。；與業務流程負責人溝通修改文件清單。

 

第五，確定信息安全方針和目標。

目的:明確信息安全政策和目標，為信息安全管理系統提供指導。

內容:根據業務要求和組織實際情況，制定安全政策和目標。

包括:
(1)與最高管理人員溝通，了解管理意圖和要求，確定信息安全管理政策；

②根據政策要求制定目標，分解到各種管理活動中，形成可測量的指標體系，保證政策和目標的實現；

第六，建立管理組織機構。

目的:建立完善的內部控制組織結構，為整合體系提供支持。

內容:良好的組織結構是確保各項管理活動實施的基礎。

 

 

包括:

①成立整合體系管理委員會，決定重大信息安全事項；

②成立管理協調小組，就日常管理活動中的信息安全問題進行溝通和改進；

③明確管理活動中各流程負責人的責任，文件化。