第一，項目前期準備階段。
目的:充分體現領(lǐng)導作用和全體員工參與的原則，確保各級意識到信息安全管理體系的必要性和管理決心。

內容:啟動(dòng)項目所需的組織準備。

包括:
(1)了解管理意圖，滲透管理理念；

(2)在組織內傳達實(shí)施ISO27001項目的決策、目的、意義和要求，體現內部溝通、提高全體員工意識的必要手段；

③組織建設，包括任命管理人員代表設立標準化組織、各級信息安全管理者，明確其職責。

第二，現場(chǎng)調查診斷。

目的:了解組織現狀，尋找與ISO27001標準的差距。

內容:實(shí)施調查診斷。

 

包括:
(1)根據貴公司主要業(yè)務(wù)流程產(chǎn)生的信息流及其依賴(lài)的計算環(huán)境(包括硬件、軟件、數據、人力、服務(wù)等)確定安全要求；

②全面了解企業(yè)現行業(yè)務(wù)流程，按標準評估企業(yè)信息安全管理體系；

③識別各業(yè)務(wù)流程的管理流程和責任；

④根據標準要求，尋找改進(jìn)的機會(huì )；

⑤根據ISO27001標準的風(fēng)險評估方法論和國家標準，制定科學(xué)、有效、適用的風(fēng)險評估方法。

 

第三，人員培訓。
目的:提高各級領(lǐng)導和全體員工的信息安全意識，使內審員具備相應的能力。

內容:動(dòng)員會(huì )、ISO27001標準培訓、信息安全管理系統文件編制培訓、培訓是實(shí)施要求的重要手段。

 

包括:
動(dòng)員會(huì ):提高所有員工的信息安全意識，包括:
信息安全是什么？ISO27001信息安全管理系統是什么？為什么實(shí)施ISO27001？ISO27001信息安全管理系統對企業(yè)有什么意義？整個(gè)工作流程和進(jìn)度是如何安排的？誰(shuí)需要培訓這項工作？

ISO27001標準培訓:主要講解ISO27001信息安全管理系統標準的理解和應用。

管理層培訓擴展到中層領(lǐng)導，最后與高層領(lǐng)導一起培訓，高層領(lǐng)導的參與是榜樣的力量，有助于提高全體員工的信息安全意識

 

第四，整合系統文件架設計。

目的:規劃覆蓋各種業(yè)務(wù)流程的系統文件程序。

內容:根據現場(chǎng)診斷結果，整理所有管理活動(dòng)流程，根據ISO27001標準形成信息安全管理系統文件清單

 

包括:
(1)根據識別的業(yè)務(wù)流程，形成管理活動(dòng)流程圖；優(yōu)化或重建業(yè)務(wù)流程，確保管理活動(dòng)系統順暢；

②根據流程圖和流程復雜性，規劃符合標準要求和實(shí)際業(yè)務(wù)要求的信息安全管理系統文件清單

③形成信息安全管理系統的文件描述，包括文件的目的、控制范圍、職責、管理活動(dòng)界面、管理流程等。；與業(yè)務(wù)流程負責人溝通修改文件清單。

 

第五，確定信息安全方針和目標。

目的:明確信息安全政策和目標，為信息安全管理系統提供指導。

內容:根據業(yè)務(wù)要求和組織實(shí)際情況，制定安全政策和目標。

包括:
(1)與最高管理人員溝通，了解管理意圖和要求，確定信息安全管理政策；

②根據政策要求制定目標，分解到各種管理活動(dòng)中，形成可測量的指標體系，保證政策和目標的實(shí)現；

第六，建立管理組織機構。

目的:建立完善的內部控制組織結構，為整合體系提供支持。

內容:良好的組織結構是確保各項管理活動(dòng)實(shí)施的基礎。

 

 

包括:

①成立整合體系管理委員會(huì )，決定重大信息安全事項；

②成立管理協(xié)調小組，就日常管理活動(dòng)中的信息安全問(wèn)題進(jìn)行溝通和改進(jìn)；

③明確管理活動(dòng)中各流程負責人的責任，文件化。