实施ISO27001认证的步骤

实施ISO27001认证的步骤。
在长期的实践中，英国凯悦总结创新了一套高效可行的ISO27001/ISMS项目实施标准化流程。

 

1、现状调查分析：我们派顾问了解企业的基本情况；现阶段主要是前期准备和规划工作，包括明确评估目标、确定评估范围、组建评估管理和实施团队。通过对主要业务、组织结构、规章制度和信息系统的初步研究和沟通，确定评估项目的实施方案，并获得高层许可。

2、项目准备:前期沟通，建立信息安全管理领导机构，组建信息安全推广团队，收集整理相关文件和资料。

3、访问调查：与各部门进行访谈调查，核心和支持业务，分析业务对资源的需求和业务影响。确定信息安全管理体系范围，定义信息安全政策。

4、前期培训：动员会、信息安全管理意识和信息安全基础知识培训。

5、现状分析：初步分期企业信息安全现状，分析与ISO27001标准要求的差距。

6、明确职责：明确各部门信息安全职责，并形成相关文件。

7、资产识别和风险评估：对组织信息资产的资产价值、威胁因素和脆弱性进行分析，评估组织信息安全风险，选择合适的措施，实现风险管理的目的。

八、资产识别：识别组织的各种信息资产。

九、风险评估：重要资产、威胁、弱点、风险识别与评估。

10、系统规划制定：通过企业风险评估，制定相应的信息安全总体规划、管理规划、技术规划等。并制定相应有效的安全控制措施。

文件编写：确定信息安全管理系统的总体方案，编制各级ISMS管理文件，由管理层审核确定。

12，实施：ISMS实施计划，系统文件发布，控制措施实施。

十三、中期培训：全员文件学习落实、安全意识培训、ISMS推广培训、必要考核。

14、系统实施：全面实施信息安全管理系统，实施信息安全管理技术计划，实施信息安全管理控制措施。测试系统的有效性和稳定性。

15，系统运行：按照制定的安全管理计划运行系统。

十六、后期培训：对企业内系统执行人员进行专业培训。

17、内部审计：制定内部审计计划，建立内部审计机制，制定内部审计计划，纠正审计后发现的问题，跟踪改进措施的实施。

18、监督评价和循环改进：通过组织内部审计和管理评价，对组织整体信息安全管理水平进行综合评价，提出改进方案，制定整改方案，在运行中不断整改。

19.管理评估:信息安全管理委员会组织ISMS整体评估，评估ISMS改进的机会和需要，以及系统的运行。

二十、循环改进：根据内部审计和管理评估中发现的问题，不断完善体系，以满足预期要求。

二十一、审核认证阶段：系统建立并稳定运行一段时间后，可申请认证。

二十二、认证准备：准备送审资料，落实部署审核事项。

二十三，协助认证：内部审计小组陪同协助处理审计问题。