Iso27001流程

第一阶段：前期准备、现场调研

我方派咨询师对组织/企业从管理机制、日常运维、系统配置等方面的信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括：

项目启动：需求分析，沟通，制定认证咨询计划，成立项目小组，动员会。

前期培训：信息安全管理体系ISO27001标准培训，风险评估方法培训。

初始评估：初步了解信息安全现状，分析与标准要求的差距。

第二阶段：风险评估

对组织/企业的信息资产从威胁因素、资产价值、脆弱性等角度进行分析，确定风险评估的范围，指导各部门进行风险评估，汇总和分析风险评估结果，做出风险评估，制定风险处理计划，并选择合适的措施、放啊实现降低风险的目的。

评估准备：确定风险评估的目标，确定风险评估的范围，选择与组织想使用的具体的风险判断方法。

资产识别：识别贵公司的各种信息资产。

风险评估：重要资产、弱点、威胁风险识别与评估。

第三阶段体系策划、文件编写、体系建立

根据信息安全风险管理策划，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理体系。

文件编写：编写各级管理文件，进行修订，管理层讨论确认。

发布实施：制定信息女权管理体系实施计划，体系文件发布，控制措施实施。

中期培训：全员安全意识培训，信息安全管理体系实施培训，必要的考核。

第四阶段体系运行

信息安全管理体系发布运行之后，要通过一定时间的试运行来检验其有效性和稳定性，一般试运行周期为三个月。

后期培训：内审员专业技能培训，考核，颁发内审员证书。

内部审核：我方咨询师带领内审员进行指定审核计划，内部审核，不符合整改。

管理评审:管理层对管理体系的充分性、适宜性和有效性做出评价，纠正预防。

符合性审核：我方咨询师模拟第三方认证审核，纠正预防。

第五阶段：认证审核

经过体系试运行，组织/企业的信息安全管理体系达到一个稳定的状态，各项文档和记录已经建立完备，此时，可进行认证审核。

认证申请：选择第三方认证机构，准备材料申请认证，制定认证计划，预审核。

认证准备：准备送审文件，安排部署审核事项。

现场审核：接受第三方认证机构的现场审核。

协助认证：应对审核中发现的问题，进行及时的整顿、上报。

领取证书：获得权威的ISO27001认证证书。