實施ISO27001認證的步驟。
在長期的實踐中，英國凱悅總結創新了一套高效可行的ISO27001/ISMS項目實施標準化流程。

 

1、現狀調查分析：我們派顧問了解企業的基本情況；現階段主要是前期準備和規劃工作，包括明確評估目標、確定評估范圍、組建評估管理和實施團隊。通過對主要業務、組織結構、規章制度和信息系統的初步研究和溝通，確定評估項目的實施方案，并獲得高層許可。

2、項目準備:前期溝通，建立信息安全管理領導機構，組建信息安全推廣團隊，收集整理相關文件和資料。

3、訪問調查：與各部門進行訪談調查，核心和支持業務，分析業務對資源的需求和業務影響。確定信息安全管理體系范圍，定義信息安全政策。

4、前期培訓：動員會、信息安全管理意識和信息安全基礎知識培訓。

5、現狀分析：初步分期企業信息安全現狀，分析與ISO27001標準要求的差距。

6、明確職責：明確各部門信息安全職責，并形成相關文件。

7、資產識別和風險評估：對組織信息資產的資產價值、威脅因素和脆弱性進行分析，評估組織信息安全風險，選擇合適的措施，實現風險管理的目的。

八、資產識別：識別組織的各種信息資產。

九、風險評估：重要資產、威脅、弱點、風險識別與評估。

10、系統規劃制定：通過企業風險評估，制定相應的信息安全總體規劃、管理規劃、技術規劃等。并制定相應有效的安全控制措施。

文件編寫：確定信息安全管理系統的總體方案，編制各級ISMS管理文件，由管理層審核確定。

12，實施：ISMS實施計劃，系統文件發布，控制措施實施。

十三、中期培訓：全員文件學習落實、安全意識培訓、ISMS推廣培訓、必要考核。

14、系統實施：全面實施信息安全管理系統，實施信息安全管理技術計劃，實施信息安全管理控制措施。測試系統的有效性和穩定性。

15，系統運行：按照制定的安全管理計劃運行系統。

十六、后期培訓：對企業內系統執行人員進行專業培訓。

17、內部審計：制定內部審計計劃，建立內部審計機制，制定內部審計計劃，糾正審計后發現的問題，跟蹤改進措施的實施。

18、監督評價和循環改進：通過組織內部審計和管理評價，對組織整體信息安全管理水平進行綜合評價，提出改進方案，制定整改方案，在運行中不斷整改。

19.管理評估:信息安全管理委員會組織ISMS整體評估，評估ISMS改進的機會和需要，以及系統的運行。

二十、循環改進：根據內部審計和管理評估中發現的問題，不斷完善體系，以滿足預期要求。

二十一、審核認證階段：系統建立并穩定運行一段時間后，可申請認證。

二十二、認證準備：準備送審資料，落實部署審核事項。

二十三，協助認證：內部審計小組陪同協助處理審計問題。