如何进行ISO27001认证（1）

第一，项目前期准备阶段。
目的:充分体现领导作用和全体员工参与的原则，确保各级意识到信息安全管理体系的必要性和管理决心。

内容:启动项目所需的组织准备。

包括:
(1)了解管理意图，渗透管理理念；

(2)在组织内传达实施ISO27001项目的决策、目的、意义和要求，体现内部沟通、提高全体员工意识的必要手段；

③组织建设，包括任命管理人员代表设立标准化组织、各级信息安全管理者，明确其职责。

第二，现场调查诊断。

目的:了解组织现状，寻找与ISO27001标准的差距。

内容:实施调查诊断。

 

包括:
(1)根据贵公司主要业务流程产生的信息流及其依赖的计算环境(包括硬件、软件、数据、人力、服务等)确定安全要求；

②全面了解企业现行业务流程，按标准评估企业信息安全管理体系；

③识别各业务流程的管理流程和责任；

④根据标准要求，寻找改进的机会；

⑤根据ISO27001标准的风险评估方法论和国家标准，制定科学、有效、适用的风险评估方法。

 

第三，人员培训。
目的:提高各级领导和全体员工的信息安全意识，使内审员具备相应的能力。

内容:动员会、ISO27001标准培训、信息安全管理系统文件编制培训、培训是实施要求的重要手段。

 

包括:
动员会:提高所有员工的信息安全意识，包括:
信息安全是什么？ISO27001信息安全管理系统是什么？为什么实施ISO27001？ISO27001信息安全管理系统对企业有什么意义？整个工作流程和进度是如何安排的？谁需要培训这项工作？

ISO27001标准培训:主要讲解ISO27001信息安全管理系统标准的理解和应用。

管理层培训扩展到中层领导，最后与高层领导一起培训，高层领导的参与是榜样的力量，有助于提高全体员工的信息安全意识

 

第四，整合系统文件架设计。

目的:规划覆盖各种业务流程的系统文件程序。

内容:根据现场诊断结果，整理所有管理活动流程，根据ISO27001标准形成信息安全管理系统文件清单

 

包括:
(1)根据识别的业务流程，形成管理活动流程图；优化或重建业务流程，确保管理活动系统顺畅；

②根据流程图和流程复杂性，规划符合标准要求和实际业务要求的信息安全管理系统文件清单

③形成信息安全管理系统的文件描述，包括文件的目的、控制范围、职责、管理活动界面、管理流程等。；与业务流程负责人沟通修改文件清单。

 

第五，确定信息安全方针和目标。

目的:明确信息安全政策和目标，为信息安全管理系统提供指导。

内容:根据业务要求和组织实际情况，制定安全政策和目标。

包括:
(1)与最高管理人员沟通，了解管理意图和要求，确定信息安全管理政策；

②根据政策要求制定目标，分解到各种管理活动中，形成可测量的指标体系，保证政策和目标的实现；

第六，建立管理组织机构。

目的:建立完善的内部控制组织结构，为整合体系提供支持。

内容:良好的组织结构是确保各项管理活动实施的基础。

 

 

包括:

①成立整合体系管理委员会，决定重大信息安全事项；

②成立管理协调小组，就日常管理活动中的信息安全问题进行沟通和改进；

③明确管理活动中各流程负责人的责任，文件化。