一：项目前期准备阶段

目的：充分体现领导作用和全员参与的原则，确保各个层面意识到信息安全管理体系的必要性和管理层的决心。

内容：启动该项目所必需的组织准备包括：① 理解管理层意图，渗透管理思路；② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段；③ 组织建设，包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员，明确其职责。

二：现场调研诊断

目的：了解组织的现状，寻找与ISO27001标准的差距

内容：实施调研诊断包括：① 根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境（包括硬件、软件、数据、人力、服务等）进行安全要求的确定；② 对企业现行业务流程进行全面的了解，按照标准评估企业的信息安全管理体系；③ 识别各业务流程所采取的管理流程和管理职责；④ 对照标准要求，寻找改进的机会；⑤ 根据ISO27001标准的风险评估方法论，国家标准，制定科学、有效、适用的风险评估方法。

三：人员培训

目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力。

内容：动员会、ISO27001标准培训、信息安全管理体系文件编写培训、培训是落实要求的重要手段包括：动员会：提高全员信息安全意识，包括：什么是信息安全？什么是ISO27001信息安全管理体系？为什么要实施ISO27001？ISO27001信息安全管理体系对企业有什么意义？整个工作流程、进度是怎么安排的？都需要哪些人员培训此项工作？ISO27001标准培训：主要讲解ISO27001信息安全管理体系标准的条款理解及运用。管理层培训扩大到中层领导，最后与高层领导在一起培训，高层领导的参与就是一种榜样的力量，有助于全体员工信息安全意识的提高；

四：整合体系文件架设计

目的：策划覆盖各个业务流程的系统的文件化程序。

内容：根据现场诊断的结果，梳理所有管理活动流程，根据ISO27001标准要求形成信息安全管理体系文件清单包括：① 根据所识别的业务流程，形成管理活动流程图；优化或再造业务流程，保证管理活动的系统和顺畅；② 根据流程图及流程的复杂程度，策划符合标准要求和实际业务要求的信息安全管理体系文件清单；③ 形成信息安全管理体系文件说明，包括文件的目的、管控范围、职责、管理活动接口、管理流程等；与各业务流程负责人沟通修订文件清单。

五：确信信息安全方针和目标

目的：明确信息安全方针和目标，为信息安全管理体系提供导向。内容：根据业务要求及组织实际情况，制定安全方针和目标包括：① 与最高管理者进行沟通，理解管理意图和管理要求，确定信息安全管理方针；② 根据方针的要求，制定目标，并分解到各个管理活动中，形成可测量的指标体系，确保方针和目标得以实现；

六：建立管理组织机构

目的：建立完善的内控组织架构，为整合体系提供支持。

内容：良好的组织架构是确保各项管理活动落实的根本.包括：① 建立整合体系管理委员会，就重大信息安全事项进行决策；② 建立管理协调小组，就日常管理活动中的信息安全事项进行沟通改进；③ 明确管理活动中各流程责任人的职责，并文件化。

华菱咨询介绍

华菱咨询＆培训讲师团队均具有大型跨国企业多年工作经验，以及数百家企业服务经验，能将客户的需求转变为切实可行的解决方案，并能够将国际一流企业的最佳实践传递给客户。 根据客户的实际情况，指出企业的不足以及要解决的问题，以帮助企业持续改进。  

快速优质的服务为每位客户配备专业的技术支持人员，以解决客户提出的疑惑，并通过培训确保服务标准的一致性。可提供多种形式的培训公开课、定制化内训、在线学习、项目解决方案。 跨越时间和空间的限制，满足不同需求。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。