一目了然的認證流程

1、項目前期準備階段

目的：充分體(ti) 現領導作用和全員參與(yu) 的原則，確保各個(ge) 層麵都能意識到信息安全管理體(ti) 係的必要性和管理層的決(jue) 心 。
內(nei) 容：啟動該項目所必需的組織準備。
包括：
    a.理解管理層意圖，滲透管理思路;
    b.將實施ISO27001項目的決(jue) 定、目的、意義(yi) 、要求在組織內(nei) 傳(chuan) 達，這也是體(ti) 現內(nei) 部溝通，提高全體(ti) 員工意識的必要手段; 
    c.組織建設，包括任命管理者代表、成立信息安全管理組織機構、各級信息安全管理人員，明確其職責。

2、現場調研診斷

目的：了解組織的現狀，尋找與(yu) ISO27001標準的差距。
內(nei) 容：實施調研診斷 。
包括：
    a.根據貴公司的主要業(ye) 務流程所產(chan) 生的信息流及其所依賴的計算環境(包括硬件、軟件、數據、人力、 服務等)進行安全要求的確定;
    b.對企業(ye) 現行業(ye) 務流程進行全麵的了解，按照標準評估企業(ye) 的信息安全管理體(ti) 係;
    c.識別各業(ye) 務流程所采取的管理流程和管理職責; 
    d.對照標準要求，尋找改進的機會(hui) ;
    e.根據ISO27001標準的風險評估方法論，國家標準，製定科學、有效、適用的風險評估方法。

3、人員培訓

目的：提升各級領導和全員的信息安全意識，使內(nei) 審員具備相應能力。
內(nei) 容：動員會(hui) 、ISO27001標準培訓、信息安全管理體(ti) 係文件編寫(xie) 培訓、培訓是落實要求的重要手段。
包括：
    a.動員會(hui) -提高全員信息安全意識；
    b.什麽(me) 是信息安全?什麽(me) 是ISO27001信息安全管理體(ti) 係?為(wei) 什麽(me) 要實施ISO27001?ISO27001信息安全管理體(ti) 係對企業(ye) 有什麽(me) 意義(yi) ?整個(ge) 工作流程、進度是怎麽(me) 安排的?都需要哪些人員培訓此項工作?
ISO27001標準培訓：主要講解ISO27001信息安全管理體(ti) 係標準的條款理解及運用。

管理層培訓擴大到中層領導，最後與(yu) 高層領導在一起培訓，高層領導的參與(yu) 就是一種榜樣的力量，有助於(yu) 全體(ti) 員工信息安全意識的提高;

4、確定信息安全方針和目標

目的：明確信息安全方針和目標，為(wei) 信息安全管理體(ti) 係提供導向。
內(nei) 容：根據業(ye) 務要求及組織實際情況，製定安全方針和目標。
包括：
    a.與(yu) 最高管理者進行溝通，理解管理意圖和管理要求，確定信息安全管理方針;
    b.根據方針的要求，製定目標，並分解到各個(ge) 管理活動中，形成可測量的指標體(ti) 係，確保方針和目標 得以實現;

5、整合體(ti) 係文件架設計

目的：策劃覆蓋各個(ge) 業(ye) 務流程的係統的文件化程序。
內(nei) 容：根據現場診斷的結果，梳理所有管理活動流程，根據ISO27001標準要求形成信息安全管理體(ti) 係文件的 清單。
包括：
    a.  根據所識別的業(ye) 務流程，形成管理活動流程圖;優(you) 化或再造業(ye) 務流程，保證管理活動的係統和順暢;
    b.  根據流程圖及流程的複雜程度，策劃符合標準要求和實際業(ye) 務要求的信息安全管理體(ti) 係文件清單;
    c.形成信息安全管理體(ti) 係文件說明，包括文件的目的、管控範圍、職責、管理活動接口、管理流程等;與(yu) 各業(ye) 務流程負責人溝通修訂文件清單。

6、建立管理組織機構

目的：建立完善的內(nei) 控組織架構，為(wei) 整合體(ti) 係提供支持。
內(nei) 容：良好的組織架構是確保各項管理活動落實的根本。
包括：
    a.建立整合體(ti) 係管理委員會(hui) ，就重大信息安全事項進行決(jue) 策;
    b.建立管理協調小組，就日常管理活動中的信息安全事項進行溝通改進;
    c.明確管理活動中各流程責任人的職責，並文件化。

7、信息安全風險評估

目的：實施風險評估，識別不可接受風險，明確管理目標。
內(nei) 容：風險評估是整個(ge) 風險管理的基礎，本階段將根據前期策劃的風險評估方法。
包括：
    a.根據業(ye) 務要求及信息的密級劃分，對信息資產(chan) 的重要程度進行判定，識別對關(guan) 鍵核心業(ye) 務具有關(guan) 鍵作用的信息資產(chan) 清單;對重要信息資產(chan) 從(cong) 內(nei) 部及外部識別其所麵臨(lin) 的威脅;
    b.根據威脅，從(cong) 管理和技術兩(liang) 方麵識別重要信息資產(chan) 所存在的薄弱點;
    c.根據風險評估的方法指南，對威脅利用薄弱點對重要信息資產(chan) 所產(chan) 生的風險在保密性、完整性、可用性三方麵所造成的影響進行評價(jia) ;評價(jia) 威脅利用薄弱點引發安全風險事件的可能性;
    d.根據風險影響及發生的可能性評價(jia) 風險等級;
    e.根據信息安全方針，各核心業(ye) 務流程的安全要求，與(yu) 管理層進行溝通，確定不可接受風險等級的標準;
    f.針對不可接受的高風險，製定風險處理計劃，從(cong) ISO27002及顧問的行業(ye) 經驗來選擇適宜的風險管控措施;實施所選擇的控製措施，降低、轉移或消除安全風險;
    g.編寫(xie) 風險評估報告。

8、ISMS體(ti) 係文件編寫(xie)

目的：建立文件化的信息安全管理體(ti) 係。
內(nei) 容：根據文件體(ti) 係策劃的結果，編寫(xie) 信息安全管理體(ti) 係文件。
包括：
    a.整合信息安全管理體(ti) 係手冊(ce) ，明確各管理過程的順序及相互關(guan) 係;
    b.整合信息安全管理體(ti) 係所要求的程序文件，從(cong) 體(ti) 係維護管理、資產(chan) 管理、物理環境安全、人力資源安全、訪問控製、通信和運作管理、業(ye) 務連續性管理、信息安全事件管理、符合性等方麵對各類管理活動及作業(ye) 指導進行文件化;
    c.製定各類安全策略，如：電子郵件策略、互聯網訪問策略，訪問控製策略等。

9、ISMS管理體(ti) 係記錄的設計

目的：設計科學的信息安全管理體(ti) 係記錄，保證各管理流程的可控性和可追溯性。
內(nei) 容：根據各個(ge) 管理流程和文件對管理過程的記錄要求，設計記錄表格格式。
包括：
    a.搜集原有管理記錄;
    b.優(you) 化記錄或重新設計;
    c.溝通記錄的形式和管理記錄填寫(xie) 的必要性，保證信息安全管理體(ti) 係的可控性與(yu) 記錄保持的數量之間的平衡。

10、ISMS管理體(ti) 係文件審核

目的：確保ISMS信息安全管理體(ti) 係文件的係統性、有效性和效率。
內(nei) 容：對信息安全管理體(ti) 係文件進行評審。
包括：
    a.對照風險評估結果，對照核心業(ye) 務流程，審核程序文件及作業(ye) 指導書(shu) 的係統性;
    b.針對每一個(ge) 具體(ti) 的管理流程，審核文件所描述的管理職責、管理活動是否符合實際情況，流程責任人是否能夠按照文件要求執行管理活動;
    c.針對文件所要求的管理活動，審核其效率是否滿足管理的要求;形成文件審核的結論，並通過管理層的審批，對文件進行修訂，形成發布稿

11、ISMS體(ti) 係文件發布實施

目的：發布ISMS信息安全管理體(ti) 係文件，落實管理要求。
內(nei) 容：由最高管理者組織發布管理文件，並提出管理要求。
包括：
    a.召開文件發布會(hui) ，最高管理者提出信息安全管理體(ti) 係運行的總要求，使全員意識到信息安全管理體(ti) 係文件是管理活動的行動指南和強製要求;
    b.各流程責任人根據信息安全管理體(ti) 係文件的要求落實各項管理活動，保持信息安全管理體(ti) 係所要求的記錄;認證項目組搜集體(ti) 係運行中所發現的問題，包括流程上的、職責上的、資源上的、技術上的等，統一修改、處理、答複。

12、組織全員進行文件學習(xi)

目的：確保信息安全管理體(ti) 係文件要求在各個(ge) 層級、各個(ge) 崗位均得到有效的溝通和理解。
內(nei) 容：培訓是提升信息安全意識，明確信息安全要求的有效途徑，組織全員參與(yu) 到體(ti) 係的運行維護中，發揮每一個(ge) 員工的重要作用
包括：
    a.充分考慮管理活動的範圍，設計分層次、分階段的係統性的培訓計劃;
    b.培訓中考慮到管理要求的內(nei) 容，也將考慮到技術上的要求，不簡單的對體(ti) 係文件照本宣科;對培訓的效果進行評價(jia) ，采用考試、實際操作、討論等多種方式進行，確保培訓的有效性。

13、業(ye) 務連續性管理

目的：確保在任何情況下，核心業(ye) 務均可保持提供連續提供服務的能力。
內(nei) 容：根據標準要求，對重大的災難性事件發生時所引發的業(ye) 務中斷進行應急響應和災難恢複的設計。
包括：
    a.從(cong) 戰略的層麵進行業(ye) 務連續、永續經營的考慮，明確各核心業(ye) 務流程的最大可容許中斷時間;
    b.識別核心業(ye) 務可能遭受到的災難性風險事件;
    c.評估災難性事件所引發的影響;
    d.針對災難性事件，設計管控措施，製定詳細的業(ye) 務連續性計劃，包括應急響應的組織架構、人員職責、響應流程、恢複流程等;
    e.實施業(ye) 務連續性計劃所要求的管理上及技術上的改進;
    f.測試業(ye) 務連續性計劃的每一個(ge) 步驟，確保其有效性;根據測試的結果進一步改進業(ye) 務連續性計劃，為(wei) 應對災難事件提供信心保證。

14、審核培訓及內(nei) 審

目的：實施內(nei) 部審核，發現信息安全管理體(ti) 係運行中的不符合，尋找改進的機會(hui) 。
內(nei) 容：根據項目計劃實施內(nei) 部審核。
包括：
    a.製定內(nei) 部審核計劃，與(yu) 受審核人員進行溝通;
    b.召開內(nei) 部審核首次會(hui) 議，明確審核計劃、審核範圍、審核目的、審核活動的安排等事項;
    c.帶領內(nei) 審員實施現場審核活動：
    d.根據審核發現開具不符合項報告，明確審核的對象、審核發現、不符合事實、改進要求，並確定整改責任人，限期改進;
    e.召開內(nei) 部審核末次會(hui) 議，報告所有的審核發現：對不符合事項進行跟蹤驗證，確保所有的不符合均被有效關(guan) 閉。

15、管理體(ti) 係有效性測量

目的：根據量化指標，測量信息安全管理體(ti) 係的有效性。
內(nei) 容：製定測量的方法論，根據 ISO27004 指南的內(nei) 容，進行信息安全管理體(ti) 係有效性測量。
包括：
    a.設計測量方法，從(cong) 各個(ge) 管理流程中製定安全關(guan) 鍵績效指標KPI;
    b.搜集運行過程中的記錄數據，利用量化的數據分析，體(ti) 現信息安全管理體(ti) 係所帶來的改進;
    c.對比信息安全管理目標和指標體(ti) 係，測量KPI是否達成管理目標的要求;
    d.對所發現的問題進行溝通，製定糾正預防措施並落實責任人，改進管理 體(ti) 係的有效性。

16、管理評審

目的：將體(ti) 係運行過程中的成效和問題向管理層匯報，由最高管理者提出改進的要求和資源的支持。
內(nei) 容：根據管理評審流程的要求實施管理評審
包括：
    a.製定管理評審計劃;
    準備管理評審輸入材料，包括風險狀況、安全措施落實情況、各相關(guan) 方的反饋、業(ye) 務連續性管理架構、信息安全管理體(ti) 係內(nei) 部審核情況、體(ti) 係有效性測 量報告等;
    c.召開管理評審會(hui) 議;根據最高管理者提出的管理要求，實施糾正預防措施或管理改進方案;
    d.跟蹤糾正預防措施及管理改進方案的落實情況。

17、認證機構正式審核

目的：由第三方權威機構審核信息安全管理體(ti) 係的有效性。
內(nei) 容：由認證機構對建立的信息安全管理體(ti) 係進行進一步的審核驗證，發現改進機會(hui) 。