建立ISO27001的步骤

建立信息安全管理系统的步骤:
强化员工信息安全意识，规范信息安全行为组织；

全面系统地保护组织的关键信息资产，保持竞争优势；

当信息系统受到攻击时，确保业务持续发展，最大限度地减少损失；

使组织的业务伙伴和客户对组织充满信心；

如果通过系统认证，说明系统符合标准，证明组织有能力保证重要信息，提高组织的知名度和信任度；

 

促使管理层坚持信息安全体系。
信息安全管理系统(ISMS)是一个系统化、程序化、文件化的管理系统，属于风险管理范畴。系统的建立需要基于系统、全面、科学的安全风险评估。ISM体现了预防和控制的理念，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制成本和风险平衡的原则，合理选择安全控制方式保护组织拥有的关键信息资产，保证信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的可持续性。

构建信息安全管理系统不是一蹴而就的，也不是每个企业都使用统一的模板。不同的组织在建立和完善信息安全管理系统时，可以根据自己的特点和具体情况采取不同的步骤和方法。但是，总的来说，建立信息安全管理体系一般要经过以下主要步骤：

1.信息安全管理系统的规划和准备。
规划和准备阶段主要是做好建立信息安全管理体系的各项前期工作。内容包括教育培训、计划制定、安全管理发展调查、人力资源配置和管理。

2.确定信息安全管理系统的适用范围。
信息安全管理系统的范围是需要重点管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内实施。在这一阶段，组织应分为不同的信息安全控制领域，以便组织对不同需求的领域进行适当的信息安全管理。在定义适用范围时，应重点关注组织的适用环境、适用人员、现有IT技术、现有信息资产等。

 

三、现状调查和风险评估。
根据相关信息安全技术和管理标准，对信息系统及其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调查和评估，评估信息资产面临的威胁和导致安全事件的可能性，结合安全事件涉及的信息资产价值判断安全事件对组织的影响。

四、建立信息安全管理框架。
建立信息安全管理体系，要规划和建立合理的信息安全管理框架，从整体和全局的角度，从信息系统的各个层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特点、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明，从而建立安全体系，提出安全解决方案。

五、编写信息安全管理系统文件。
建立O/IEC27001:2005标准O/IEC27001:2005标准的总体要求。编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是组织实现风险控制、评估和完善信息安全管理体系的必要依据。建立信息安全管理体系的文件应包括:安全政策文件、适用范围文件、风险评估文件、实施和控制文件、适用性声明文件。

6.信息安全管理体系的运行和改进。
信息安全管理系统文件编制完成后，组织应按照文件控制要求进行审核、批准和发布实施。到目前为止，信息安全管理系统将进入运行阶段。在此期间，组织应加强运行，充分发挥系统本身的功能，及时发现系统规划中存在的问题，找出问题的根源，采取纠正措施，按照更改控制程序的要求更改系统，以进一步完善信息安全管理系统。

 

7.审核信息安全管理系统。
系统审计是为了获取审计证据，对系统进行客观的评估，以确定符合审计准则的程度而进行的系统独立的、形成文件的检查过程。系统审计包括内部审计和外部审计(第三方审计)。内部审计一般以组织的名义进行，可以作为组织自我检查的基础；外部审计由外部独立组织进行，可以提供符合ISO27001要求的认证或注册。

 

对于应该采用哪些控制方法，需要精心规划，注意控制细节。信息安全管理需要组织中所有员工的参与。

 

 

例如，为了防止组织外的第三方人员非法进入组织的办公区域，获得组织的技术秘密，除了物理控制外，还需要组织所有员工参与，加强控制。此外，还需要供应商、客户或股东的参与，以及组织以外的专家建议。信息系统和信息网络是信息处理过程和支持信息的重要商业资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象至关重要。

目前，越来越多的组织及其信息系统和网络面临着计算机诈骗、间谍、故意破坏、火灾、洪水等广泛的安全威胁，如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾害变得更加普遍，有计划，难以察觉。组织对信息系统和信息服务的依赖意味着更容易受到安全威胁的破坏。公共和私人网络的互联和信息资源的共享增加了访问控制的难度。

很多信息系统本身并不是按照安全系统的要求来设计的，所以仅仅依靠技术手段来实现信息安全有其局限性，因此信息安全的实现必须得到管理和程序控制的适当支持。确定应该采取哪些控制方法需要精心规划和注意细节。信息安全管理至少需要组织中所有员工的参与，还需要供应商、客户或股东的参与以及信息安全专家的建议。